En resumen: la vulnerabilidad de WordPress no es un mito, pero tampoco es un porcentaje exacto que alguien pueda venderte: nace de su arquitectura. Una web WordPress depende de plugins de terceros y de una base de datos consultada en cada visita. Cada plugin es código que no controlas y que, si no se actualiza a tiempo, abre una puerta. Una página a código (archivos estáticos) no tiene ni esos plugins ni esa base de datos, así que esas puertas no existen. Para un consultorio que maneja datos sensibles, esa diferencia de arquitectura es la que importa.
Quiero hablar de seguridad sin alarmismo barato. No te voy a dar una cifra del estilo “el 74% de los WordPress están hackeados”, porque ese tipo de números circula sin fuente seria y solo sirve para asustar. Lo que sí puedo explicarte es por qué, por diseño, una página médica en WordPress es más fácil de atacar que una página a código. Y eso no es opinión: es cómo está construida cada una.
El problema no es WordPress: es de qué depende
WordPress, por sí solo, es un programa más. El riesgo aparece cuando lo llenas de lo que un consultorio típico necesita: un plugin para citas, otro para formularios, otro para pagos, otro para la galería de antes y después, otro para SEO, otro para “seguridad”… y así una decena o más.
Cada plugin es código escrito por terceros, que se actualiza por su cuenta y que puede tener fallos. La cuenta es simple:
- Más plugins = más superficie de ataque. Cada uno es una puerta potencial.
- Esas puertas hay que mantenerlas cerradas. Cuando sale un parche de seguridad y nadie lo instala a tiempo, queda abierta.
- Detrás de todo hay una base de datos que guarda tu contenido —y, si los manejas mal, datos de pacientes— y que se consulta en cada visita. Es justamente lo que un atacante quiere alcanzar.
El patrón que sí veo en la realidad no es un porcentaje dramático: es el administrador que estaba de vacaciones cuando salió el parche, el plugin que llevaba meses sin actualizar, el “mantenimiento premium” que en realidad solo revisa si la página está en línea.
Lo que de verdad cuesta una brecha de datos en salud
Aquí hay que separar lo verificable de lo inventado. No te voy a decir cuántos consultorios colombianos están comprometidos “ahora mismo”, porque nadie tiene ese dato. Lo que sí está documentado públicamente es lo caras que salen las brechas de datos médicos a gran escala:
- Anthem (2015): una de las mayores brechas de datos de salud de la historia, con decenas de millones de registros expuestos y un acuerdo legal multimillonario.
- Premera Blue Cross (2014): millones de registros comprometidos y meses hasta detectar la intrusión.
- UCLA Health (2015): millones de registros médicos afectados, con investigación federal de por medio.
Estas no fueron páginas WordPress de consultorios: eran sistemas enormes de aseguradoras y hospitales. Las traigo por una sola razón: muestran que, en salud, lo que está en juego cuando se filtran datos no es solo dinero, es confianza y reputación. Y ese principio escala hacia abajo. Un consultorio no maneja millones de registros, pero los datos de sus pacientes son igual de sensibles, y reconstruir la confianza después de una filtración es lentísimo.
Por qué una página a código reduce el riesgo de raíz
La alternativa que uso no es “WordPress con más candados”, es cambiar la arquitectura. Una página web desarrollada a código, de archivos estáticos, parte de un punto distinto:
| Aspecto | WordPress típico | Página a código (estática) |
|---|---|---|
| Plugins de terceros | Varios, cada uno a mantener | Ninguno |
| Base de datos en cada visita | Sí | No |
| Superficie de ataque | Amplia y creciente | Mínima |
| Mantenimiento de seguridad | Constante | Casi nulo |
| Velocidad de carga | Suele ir lenta | Rápida por defecto |
No es magia: si no hay base de datos que consultar ni plugins que explotar, el vector de ataque más común de WordPress sencillamente no está. Por eso muchas organizaciones que no se pueden permitir una caída o una filtración prefieren arquitecturas estáticas para sus páginas públicas.
Analogía: prefieres entrar a quirófano con tres instrumentos perfectamente esterilizados que con veintitrés sin esterilizar. No es por tener menos: es por controlar cada uno.
Lo que pasa el día que WordPress “se actualiza”
Hay un costo que no es de seguridad pero duele igual: el mantenimiento. WordPress actualiza su núcleo, el tema y cada plugin por separado, y no siempre encajan entre sí. La escena se repite: sale una actualización un viernes por la tarde, alguien la instala sin probar, el formulario de citas deja de funcionar y nadie se entera hasta el lunes, cuando ya hay pacientes que no pudieron agendar durante el fin de semana.
Con una página a código eso no ocurre, porque no hay piezas sueltas que se desincronicen. Lo que se publica es lo que queda, estable, hasta que tú decides cambiarlo.
Qué hacer si tu página vive en WordPress
No entres en pánico ni tires la página mañana. Haz un diagnóstico honesto:
- ¿Cuántos plugins tienes activos y cuándo se actualizaron por última vez?
- ¿Qué datos sensibles toca tu página (formularios con información de pacientes, pagos)?
- ¿Tienes un respaldo que de verdad sepas restaurar, no solo “un backup” que nadie ha probado?
- ¿Quién responde si algo falla un fin de semana?
Con esas respuestas se decide lo demás: si conviene una migración a una página a código y, sobre esa base más segura y rápida, una estrategia de SEO médico que te traiga pacientes nuevos.
Hablemos de tu página y revisamos en qué estado de seguridad y velocidad está hoy, sin sustos inventados y con datos reales.
Una página segura no se logra acumulando plugins de “seguridad”, sino quitando lo que no necesitas. Menos piezas, menos puertas, menos cosas que puedan fallar.
Estudio desarrollo web desde 2009. Desde 2019 ejerzo el SEO para negocios reales en Colombia con código limpio, estrategia y sin atajos. Tengo el máster SEO de Dean Romero y Dani Yamares, formación en HTML semántico y CSS avanzado por el W3C, y cursos de programación en Platzi. Nunca dejo de estudiar, y todo lo que aprendo lo aplico directamente para mis clientes.
App de comentarios Talkyard.