Test de Penetración WordPress: Plugin CVE, REST API y Seguridad CMS Enterprise

WordPress alimenta el 43% de todos los sitios web — incluyendo miles de PYMES españolas, e-commerce WooCommerce y blogs editoriales. Las vulnerabilidades WordPress se concentran en plugins (1.500+ CVE/año según WPScan) y la API REST. CVE-2024-1827 (Elementor), CVE-2023-5561 (REST API user enum), CVE-2023-1862 (jQuery XSS) son ejemplos recientes. Matproof Sentinel realiza pentests WordPress dirigidos con reportes audit-ready LOPDGDD / DORA desde 149 €.

Iniciar escaneo gratuito

Escrito por Malte Wagenbach

Fundador de Matproof Security. Especializado en pruebas de penetración impulsadas por IA y cumplimiento UE (DORA, NIS2, ENS, ISO 27001).

Última revisión: 17 de mayo de 2026

Por qué WordPress requiere atención especial al pentest

WordPress es el CMS más popular del mundo, pero también el más atacado: Sucuri reporta que 43% de los sitios hackeados en 2024 fueron WordPress, con la mayoría de breaches causados por plugins obsoletos. WPScan ha catalogado más de 5.000 CVE en plugins WordPress solo en 2023-2024. Las instalaciones WordPress exponen superficies legacy: XML-RPC habilitado por defecto permite amplificación DDoS y brute-force, wp-config.php expuesto si mal configurado, wp-admin sin limitación IP es atacado por botnets. Para empresas españolas con presencia WordPress, un pentest WordPress documentado es elemento estándar de cumplimiento RGPD Art. 32 y DORA Art. 24.

CVE-2024-1827 (Elementor < 3.16.4): stored XSS para session hijacking — Elementor instalado en 5+ millones de sitios WordPress.
CVE-2023-5561 (WordPress core < 6.3.2): user enumeration mediante REST API.
CVE-2023-1862 (jQuery XSS via plugins): XSS exploitable en cientos de plugins.
5.000+ CVE en plugins WordPress documentadas por WPScan en 2023-2024.
XML-RPC habilitado por defecto: permite amplificación DDoS (pingback method) y brute-force.
REST API expuesta: enumeración usuarios (/wp-json/wp/v2/users), posts privados, exposed meta data.
WooCommerce + e-commerce: superficie ataque adicional — payment processing, customer PII.

Qué testeamos específicamente en una instalación WordPress

Plugin audit: enumeración de todos los plugins instalados, cross-reference con WPScan vulnerability database (5.000+ CVE).
WordPress core: detección de versión, check CVE aplicables, audit de custom themes/child themes.
REST API: enumeración endpoints /wp-json/, user enumeration via /wp-json/wp/v2/users, exposed sensitive data.
XML-RPC: verificación habilitación, test pingback amplificación DDoS, brute-force via system.multicall.
Authentication: wp-login.php con rate limiting (Wordfence), 2FA, wp-admin con HTTPS + IP whitelist.
wp-config.php / file system: protección wp-config.php y .env, file upload directory sin ejecución PHP.
Database security: prefix tablas no default, usuario DB con privilegios mínimos, conexión sobre TLS.
WooCommerce / e-commerce: payment gateway plugin audit, PCI-DSS scope, customer data export endpoints.
SEO plugins (Yoast, RankMath): admin panel exposure, XML sitemap leaks.
Backup plugins: UpdraftPlus, BackupBuddy — backup files expuestos públicamente vía URL prediction.

Ejemplo de hallazgo

Alto

Plugin Elementor < 3.16.4 con stored XSS explotable (CVE-2024-1827)

La instalación WordPress usa Elementor 3.15.2, afectado por CVE-2024-1827. La vulnerabilidad permite a un usuario con rol Contributor o superior insertar stored XSS en widgets Elementor que se renderizan en el panel admin de otros usuarios. El test demostró: (1) creación de usuario Contributor; (2) inserción payload XSS; (3) cuando un Administrator accede al panel, el XSS roba la cookie wordpress_logged_in_*; (4) takeover completo cuenta Administrator.

Corrección: Acción inmediata: actualizar Elementor ≥ 3.16.4. Deshabilitar registro abierto si patch no se puede aplicar inmediatamente. Acciones complementarias: auditoría completa plugins con WPScan CLI; habilitar 2FA para todos los usuarios Editor+; restringir wp-admin via IP whitelist; configurar auto-updates para plugins de seguridad; log monitoring para actividad anómala.

Referencia: CVE-2024-1827 (CVSS 5.4) · WPScan ID 5d80e0e4-2873-4dd1-8b6b-2d7e0e3e6e4f · CWE-79 · OWASP A03:2021

Pentest WordPress: opciones comparadas

—	Escaneo gratuito	Matproof Sentinel	Consultoría tradicional
Motor de escaneo automatizado	✓ (vista previa 3 min)	✓ Escaneo completo	✗ Solo manual
Cobertura OWASP Top 10	Parcial	✓ Completa	✓ Completa
Evidencia proof-of-exploit	✗	✓ Por hallazgo	✓ Por hallazgo
Mapeo normativo (DORA/NIS2/ISO 27001)	✗	✓ Automatizado	✓ Manual
Informe PDF listo para auditoría	✗	✓ Inmediato	✓ Entrega 2–4 semanas
Escaneos continuos / recurrentes	✗	✓ Por despliegue	✗ Encargo anual
Tiempo hasta el primer resultado	~3 min	~30 min escaneo completo	2–4 semanas
Precio	€0	Desde €149	€8.000–€25.000
Revisión de código fuente (SAST)	✗	✓ Plan Growth	✓ En alcance
Pruebas de API (REST/GraphQL)	✗	✓ Automatizado	✓ Manual

Paquetes Pentest WordPress

Escaneo único

€149 pago único

1 escaneo pentest completo
Hallazgos priorizados por IA con CVSS 3.1
Proof-of-exploit por hallazgo
Informe PDF listo para auditoría
Mapeo normativo (DORA, NIS2, ISO 27001)

Comprar escaneo único →

Recomendado

Starter

€299 / mes

Escaneos ilimitados (hasta 3 dominios)
Monitorización continua
Integración CI/CD (GitHub, GitLab)
Todos los mapeos normativos
Soporte prioritario

Iniciar Starter →

Growth

€799 / mes

Escaneos + dominios ilimitados
Pruebas autenticadas / White-Box
Pruebas de API e infraestructura cloud
Account manager de seguridad dedicado
SLA de respuesta en 24h

Contactar para Growth →

Preguntas frecuentes sobre el pentest WordPress

¿Cuántas CVE de plugin WordPress controlan?

Cross-referenciamos el inventario de plugins contra la base WPScan completa: 5.000+ CVE catalogadas. Prioridad en plugins con > 100k installs y CVE CVSS ≥ 7.0.

¿Testean también WooCommerce específicamente?

Sí. WooCommerce tiene su propia superficie de ataque: REST API endpoints, payment gateway plugins, customer data export, checkout flow para IDOR.

¿Qué testean para instalaciones multisite (WordPress Network)?

Multisite tiene riesgos específicos: super admin con acceso cross-network, plugins activados nivel network. Testeamos: privilege escalation cross-site, file path traversal entre sitios, network-wide plugin CVE.

¿Pueden integrar el pentest en workflow editorial?

Sí. Para workflows editoriales proponemos: scan mensual post-deployment, alert inmediato si nueva CVE high/critical es descubierta en plugin instalado.

¿El pentest puede causar downtime en producción?

Riesgo mínimo. Scan automatizado es semi-intrusivo. Para sitios high-traffic, testeamos contra staging. Seguro responsabilidad profesional (5 M€) cubre daños accidentales.

¿Auditan custom themes / child themes?

Sí. Custom themes son fuente común de vulnerabilidades: SQL injection en template files, IDOR en theme options, XSS via custom shortcodes.

¿Cuánto tiempo requiere un pentest WordPress completo?

Escaneo automatizado: 45-60 minutos para instalación WordPress típica. Para instalaciones complejas (multisite, custom plugins): 2-3 horas.

¿El informe es aceptado para auditorías RGPD / LOPDGDD?

Sí. El informe técnico proporciona evidencia de « medidas técnicas adecuadas » requeridas por RGPD Art. 32 y LOPDGDD. Para inspecciones AEPD, demuestra testing regular y remediation tracking.

Temas relacionados

Profundiza — artículos relacionados del blog

Proteja su sitio WordPress ahora

Primer escaneo en 3 minutos, pentest WordPress completo en 45-60 minutos incluido audit de 5.000+ CVE plugins. Informe audit-ready RGPD / DORA desde 149 €.

Iniciar escaneo gratuito