El coste del soporte vital: auditoría financiera del mantenimiento WordPress
Lo que cubre realmente la cuota de mantenimiento WordPress mensual y lo que no puede cubrir por diseño. Datos de los informes anuales Patchstack 2023-2026 sobre vulnerabilidades de plugins, tiempo de explotación y parches ausentes.
Sunt mala quae libas, ipse venena bibas.
La Acusación
Pagas una cuota mensual. A cambio, alguien actualiza WordPress, hace una copia de seguridad y comprueba que la web sigue en línea. Si algo falla, llaman. Si aparece una actualización crítica, la instalan. El sistema funciona y tú no tienes que preocuparte.
Esa es la descripción del servicio. No es una descripción del riesgo.
Lo que esa cuota no incluye —no por negligencia del técnico que la cobra, sino por diseño del modelo— es protección durante el intervalo que va desde que se descubre una vulnerabilidad hasta que existe un parche y alguien lo instala. Ese intervalo existe siempre. Es estructural. Y los datos de los últimos tres años demuestran que, lejos de reducirse, se está acortando por el lado equivocado: los atacantes llegan antes, no los parches.
El Cuerpo del Delito
La progresión que nadie te enseña al firmar el contrato
Patchstack, la empresa que publica el índice de referencia de vulnerabilidades en WordPress y que suministra inteligencia de seguridad a buena parte del mercado de mantenimiento web, lleva cuatro años documentando la evolución del ecosistema. La lectura de esos informes en serie produce una conclusión que la empresa misma no evita:
2023. 5.948 nuevas vulnerabilidades registradas en el ecosistema WordPress. Un 24% más que el año anterior. 827 plugins reportados como abandonados —sin mantenimiento activo, sin desarrollador que responda— a la plataforma oficial de WordPress.
2024. 7.966 vulnerabilidades. Un incremento del 34% sobre 2023. Las de alta prioridad suben un 11% adicional. El 43% podían ser explotadas sin necesidad de tener ninguna cuenta en el sitio atacado. Y el dato que ningún contrato de mantenimiento menciona: el 33% de las vulnerabilidades registradas ese año no tenían parche disponible en el momento en que fueron divulgadas públicamente. Cuando la vulnerabilidad se hace pública, cualquier atacante que lee esa divulgación sabe exactamente qué buscar. Un tercio de las veces, el desarrollador del plugin todavía no ha publicado la corrección.
Primera mitad de 2025. 6.700 vulnerabilidades en seis meses —ritmo que proyecta un año completo superior a 13.000—. El porcentaje explotable en condiciones reales sube del 30,4% al 41,5% respecto al mismo periodo del año anterior. El 58% de las vulnerabilidades del primer semestre podían activarse sin ningún tipo de autenticación: un bot automatizado, sin credenciales, sin interacción humana, puede buscar y atacar tu web a escala industrial.
2025, año completo — informe Patchstack 2026. 11.334 vulnerabilidades. Un 42% más que en 2024. Las vulnerabilidades altamente explotables aumentan un 113% interanual: más que en los dos años anteriores combinados. El 46% sin parche en el momento de divulgación. Y el dato que convierte cualquier argumento sobre "actualizaciones rápidas" en una ficción operativa: el tiempo mediano de explotación masiva de las vulnerabilidades de alto impacto es de cinco horas.
Cinco horas desde que la vulnerabilidad se hace pública hasta que los primeros ataques automatizados a escala comienzan a ejecutarse. El 20% de las vulnerabilidades más atacadas se explotan en las primeras seis horas. El 45%, en las primeras veinticuatro. El 70%, en los primeros siete días.
El propio Patchstack lo escribe sin rodeos en su informe de 2026, en el apartado dedicado a quienes confían en las actualizaciones de plugins como mecanismo de defensa: "Regular plugin updates are the second line of defence, but as attackers weaponize new vulnerabilities within mere hours, this is not a viable defence." Las actualizaciones regulares de plugins no son una defensa viable. No lo dice un crítico externo. Lo dice la empresa cuyo producto principal es ayudarte a gestionar esas actualizaciones.
Lo que la cuota compra y lo que no puede comprar
Un contrato de mantenimiento web estándar cubre, con variaciones menores según el proveedor, las siguientes líneas: actualización de WordPress core, actualización de plugins y temas, copia de seguridad periódica, monitorización de disponibilidad y soporte ante incidencias. Algunas versiones premium añaden escaneo de malware y un firewall de aplicación web.
Lo que esa lista no puede cubrir:
El intervalo entre divulgación y parche. Cuando una vulnerabilidad se hace pública sin parche disponible —el 46% de los casos en 2025—, ninguna rutina de actualización puede instalar algo que no existe. Durante ese periodo, la única defensa posible es una regla de firewall específica para esa vulnerabilidad concreta, un servicio que existe pero que no está incluido en la mayoría de los contratos de mantenimiento básico y que, de cualquier modo, depende de que alguien la escriba antes de que el ataque llegue.
La cadena de suministro del plugin. El 96% de las vulnerabilidades de WordPress viven en plugins desarrollados por terceros ajenos a la agencia que te cobra la cuota. Esos terceros no responden ante tu agencia ni ante ti. Un plugin instalado hace dos años por un desarrollador que hoy no recuerda el nombre puede tener una vulnerabilidad descubierta mañana, y nadie en tu cadena de soporte tiene control sobre cuándo —ni si— ese desarrollador la corregirá.
El coste posterior a una brecha. Si una vulnerabilidad no parcheada permite que un atacante acceda a datos de usuarios de tu web, lo que tienes sobre la mesa no es solo el coste de limpiar el servidor. El artículo 33 del RGPD exige notificación a la autoridad de control —la AEPD, en España— en un plazo máximo de 72 horas desde que tienes conocimiento de la brecha. Si el riesgo para los afectados es alto, el artículo 34 exige comunicárselo también a ellos. Ninguna cláusula del contrato de mantenimiento estándar cubre ese procedimiento ni la responsabilidad que genera. Y el origen de esa brecha —el plugin vulnerable que nadie había parcheado— es exactamente el componente que la cuota mensual se supone que mantiene bajo control.
El coste que no figura en ninguna línea del contrato
El mercado de mantenimiento web inmutable opera en España en un rango que va desde cuotas de 30-50 euros mensuales para servicios básicos hasta 150-300 euros en propuestas más completas para webs corporativas. Lo que cualquiera de esas cifras tiene en común es que compran gestión del riesgo, no ausencia de riesgo. La diferencia no es semántica: gestionar un riesgo que la plataforma lleva incorporado de origen significa que ese riesgo sigue estando ahí, con técnico o sin él, parcheado o sin parchear, mientras la arquitectura que lo genera permanezca activa.
Ese coste recurrente tiene, además, una propiedad que rara vez se evalúa al firmar: no decrece. No hay un momento en el que WordPress alcance un estado de madurez que haga innecesaria la vigilancia continua. Los datos de Patchstack entre 2022 y 2025 muestran una curva que no se aplana: 24% más de vulnerabilidades un año, 34% más al siguiente, 42% más el siguiente. Cada año que pasa, el ecosistema de plugins que sostiene tu web tiene más superficie de ataque que el año anterior, no menos.
La cuota de mantenimiento no compra seguridad. Compra la gestión continua de un riesgo que la plataforma lleva incorporado de origen, en un ecosistema cuya superficie de ataque crece un 34-42% cada año y donde el tiempo mediano entre la divulgación de una vulnerabilidad y su explotación masiva es de cinco horas. Ningún técnico puede instalar un parche más rápido que eso.
La Sentencia
La pregunta correcta no es cuánto cuesta el mantenimiento. Es qué categoría de riesgo genera la arquitectura que requiere ese mantenimiento, y si esa arquitectura es proporcional a lo que tu web necesita hacer.
Una web corporativa cuya función es describir lo que haces y facilitar que alguien te contacte no necesita una base de datos que reconstruye cada página desde cero en cada visita, ni un gestor de contenidos con cientos de plugins disponibles, ni una capa de dependencias de terceros sobre la que nadie tiene control real. Esa arquitectura fue diseñada para periódicos digitales y plataformas de comercio electrónico. Para un sitio cuyo contenido no cambia entre una visita y la siguiente, es una fuente de costes y de exposición legal que no tiene ningún correlato en el valor que aporta.
Existen arquitecturas que no generan esta categoría de superficie de ataque porque no tienen esta categoría de componentes. Sin plugins que actualizar, no hay intervalo de exposición entre la divulgación y el parche. Sin base de datos, no hay vector de inyección. Sin scripts de terceros ejecutándose en el navegador de tu cliente, no hay cadena de suministro comprometida que gestionar. Y sin cookies que rastrear, no hay obligación de consentimiento que documentar ni banner que mantener operativo.
El coste de ese modelo no es una cuota mensual indefinida para contener el colapso de una maquinaria sobredimensionada. Es una intervención puntual y un sitio que, una vez desplegado, no necesita soporte vital para seguir en pie.
El Cuervo es el archivo de diagnóstico de PRIBECY_