Si vendes cursos o membresías en WordPress, tu web no es un blog. Es una caja registradora con datos de tus alumnos dentro. Y este mes de junio nos ha vuelto a recordar lo fácil que es dejarla abierta.
El 2 de junio de 2026 se hizo pública una vulnerabilidad crítica en Kirki, un framework que usan más de medio millón de webs. Puntuación de gravedad: 9.8 sobre 10. La cosa no es teórica: los atacantes ya la están explotando de forma activa. Y el detalle que debería ponerte los pelos de punta es cómo lo hacen.
No hace falta hackear nada complejo. Basta con pedir un cambio de contraseña.
El caso de junio: cuando «he olvidado mi contraseña» se vuelve un arma
Kirki tenía un fallo en el mecanismo de restablecimiento de contraseña. En condiciones normales, cuando alguien pide recuperar su cuenta, el enlace se envía al correo registrado de esa cuenta. Es lo lógico. Es lo único que tiene sentido.
En las versiones afectadas (6.0.0 a 6.0.6), el plugin aceptaba que el atacante indicara a qué correo enviar ese enlace. Tú escribes el nombre de usuario del administrador, pones tu propio email, y el enlace de recuperación te llega a ti. Cuenta de admin, servida en bandeja, sin necesidad de tener ninguna cuenta previa en la web.
La solución es inmediata: actualiza Kirki a la versión 6.0.7 o superior, ahora mismo. Y aquí viene el detalle traicionero: Kirki no es un plugin que la mayoría instala a conciencia. Es un framework que usan muchos temas por debajo para generar sus opciones de personalización (colores, tipografías, logos…). Traducción: puede que lo tengas instalado sin haberlo elegido nunca, porque vino con tu tema. Es el ejemplo perfecto del plugin que ni miras porque ni sabías que estaba.
Como cuando hay explotación activa el daño puede haberse hecho ya, revisa también que no haya administradores nuevos que no reconozcas, cambios raros de email en perfiles, ni archivos extraños en el servidor.
Hasta aquí, el incidente del mes. Pero si fuera un caso aislado, no haría falta un artículo. El problema es que no lo es.
No es mala suerte, es un patrón
Si miramos los últimos meses, la misma película se repite con plugins que posiblemente tengas instalados:
- Post SMTP (más de 400.000 instalaciones). En marzo de 2026 se reportaron dos fallos: uno permitía a un usuario con permisos mínimos manipular la configuración de envío de correo, y otro era un XSS que solo afecta a la versión Pro con la extensión de Reporting activada. No son de gravedad 9.8 como Kirki, pero el aprendizaje es el mismo. Se corrigió en la versión 3.9.0: si usas este plugin, comprueba que estás en esa versión o superior.
- Avada Builder (más de un millón de instalaciones). Los parches de abril y mayo corrigieron una lectura arbitraria de archivos y una inyección SQL que podían filtrar hashes de contraseñas. Si construyes con Avada, asegúrate de tener la última versión.
¿Ves el hilo?
Plugins populares, muy instalados, con fallos en cosas tan básicas como recuperar una contraseña o validar quién puede tocar la configuración.
El patrón
El riesgo no está en el plugin oscuro que instalaste una vez. Está en los de siempre, los que ni miras porque «funcionan».
Por qué tú tienes más que perder
Un blog hackeado es un fastidio. Una escuela online o un sitio de membresía hackeados es otra cosa:
- Tienes datos personales de tus alumnos (RGPD diciendo hola).
- Tienes pagos y suscripciones activas.
- Tienes una reputación que se construye sobre la confianza: si un alumno descubre que su cuenta se ha visto comprometida en tu plataforma, no vuelve.
Y casi nunca tienes un equipo de seguridad detrás. Eres tú, tu web, y la esperanza de que los plugins se porten bien. La buena noticia: no necesitas ser técnico para cerrar el 90% de los agujeros. Necesitas una rutina.
Tu rutina de seguridad mensual (apúntala en el calendario)
Bloquea como mínimo 30 minutos una vez al mes (cuanto más a menudo, mejor). Solo eso. Este es el guion:
1. Audita lo que tienes instalado
Entra en Plugins y mira la lista entera. ¿Hay alguno que no recuerdes para qué sirve? ¿Alguno desactivado desde hace meses? Un plugin desactivado pero presente sigue siendo código vulnerable en tu servidor. Si no lo usas, bórralo. Menos plugins, menos superficie de ataque.
Para un chequeo rápido sin instalar nada, tienes herramientas gratuitas online. Sucuri SiteCheck te dice si tu web está infectada ahora mismo (malware, listas negras), e InspectWP te muestra tu superficie de ataque: versiones expuestas, configuraciones a reforzar, endpoints abiertos. Pásale tu web a las dos: la primera te dice si estás limpio, la segunda qué deberías reforzar.
Pero ojo con un punto importante: estas herramientas escanean desde fuera, como un visitante anónimo, así que solo ven lo que un atacante vería sin entrar en tu web. Un plugin con una vulnerabilidad conocida que no muestra su versión públicamente puede pasar desapercibido para ellas y aun así ser un riesgo. Por eso son un buen primer paso, pero no sustituyen una monitorización real desde dentro de tu WordPress. (Si quieres comprobar un plugin concreto a mano, la base de datos de Patchstack tiene un buscador con todas las vulnerabilidades conocidas, plugin por plugin.)
2. Actualiza, y activa las actualizaciones automáticas en los de confianza
Para los plugins serios y bien mantenidos activa la actualización automática. WordPress lo permite plugin por plugin desde la propia lista. Así, cuando salga un parche crítico a las 3 de la madrugada, ya estás cubierto sin levantarte.
Un apunte importante: activar las automáticas tiene todo el sentido si tu hosting hace copias de seguridad diarias. Así, si una actualización rara da problemas, siempre puedes volver atrás. Si no tienes backups automáticos, esto es lo primero que deberías resolver, con o sin actualizaciones automáticas.
3. Ten un cortafuego delante, pero entiende qué hace y qué no
Un firewall de aplicación bloquea muchos ataques antes de que lleguen a tu WordPress. Si tu hosting es bueno, ya incluye uno a nivel de servidor, y eso, sumado a un plugin ligero de limit login attempts para frenar los intentos de fuerza bruta contra el acceso, te cubre la mayor parte del ruido del día a día sin cargar la web.
Ahora bien, sé honesto con sus límites: un cortafuegos genérico detecta patrones de ataque conocidos (inyecciones, subidas de archivos maliciosos), pero no siempre frena un fallo lógico como el de Kirki, donde la petición maliciosa parece perfectamente normal. Para eso solo hay dos defensas: actualizar rápido (el punto siguiente) o un servicio de virtual patching como Patchstack, que aplica una regla específica para cada vulnerabilidad conocida y es mucho más ligero que las soluciones que meten todo un motor de escaneo dentro de WordPress. Si tu web ya va justa de recursos, ese enfoque ligero es el camino.
4. Crea el hábito de respuesta rápida
Suscríbete a un boletín de seguridad de WordPress (el de Patchstack o el de Wordfence van perfectos) o sigue alguna fuente fiable. Cuando leas «explotación activa» y el nombre de un plugin que usas, esa misma tarde actualizas. La diferencia entre estar a salvo y estar comprometido suele medirse en horas, no en días.
El resumen, por si solo lees esto
- Si usas Kirki, actualiza ya a 6.0.7. Hay ataques en curso.
- Si usas Post SMTP, actualiza a la 3.9.0 o superior.
- Si usas Avada, comprueba que tienes la última versión.
- Y sobre todo: mete una rutina en tu calendario para auditar plugins, dejar las actualizaciones automáticas activadas en los de confianza, y tener un cortafuegos haciendo guardia.
Lo que importa
La seguridad de tu escuela online no es un proyecto que terminas. Es un hábito que repites. Mínimo treinta minutos al mes frente a la alternativa de explicarle a tus alumnos por qué les han robado los datos. No hay color.
¿Y si esa rutina la pongo yo?
Si prefieres dedicar tu tiempo a crear cursos y no a vigilar parches de seguridad, para eso está mi servicio de mantenimiento WordPress para escuelas online. No es un repaso de vez en cuando: hago una revisión semanal de cada plataforma y, casi a diario, un vistazo rápido con mis herramientas de monitorización para detectar vulnerabilidades nuevas en cuanto aparecen. Auditoría de plugins, actualizaciones controladas, cortafuegos configurado y vigilancia constante para que tú no tengas que enterarte por las malas de la próxima brecha.
