WordPress és el motor de més del 60 % dels llocs web a escala mundial, des de blogs personals fins a plataformes corporatives que processen milers de transaccions diàries. Aquesta omnipresència el converteix en l’objectiu més rendible per als ciberdelinqüents. I les dades de 2025 confirmen que la pressió no ha fet més que intensificar-se: 11.334 noves vulnerabilitats van ser identificades a l’ecosistema WordPress al llarg de l’any, un increment del 42% respecte al 2024, segons l’informe anual de Patchstack. La tendència no és nova —les xifres han crescut de forma constant des de les 4.528 vulnerabilitats registrades el 2022—, però l’acceleració de 2025 marca un punt d’inflexió que cap empresa amb presència digital pot ignorar.

Per a les empreses B2B que depenen de WordPress com a aparador comercial, canal de captació de leads o plataforma de comerç electrònic, entendre el panorama actual d’amenaces ha deixat de ser una opció tècnica per convertir-se en una necessitat estratègica. Aquest article analitza les dades més rellevants del darrer any, identifica els vectors d’atac dominants i proposa estratègies de protecció que combinen tecnologia, processos i visió de negoci.

L’ecosistema WordPress en xifres: per què la seguretat ja no és opcional

L’evolució de les vulnerabilitats descobertes a WordPress dibuixa una corba ascendent inequívoca. El 2022 es van documentar 4.528 falles de seguretat. Un any després, la xifra va pujar a 5.948. El 2024 va assolir les 7.966. I el 2025, el salt va ser dramàtic: 11.334 vulnerabilitats, cosa que equival a més de 31 nous errors cada dia. Només en una setmana de març de 2026, Wordfence va registrar 201 noves vulnerabilitats, una dada que il·lustra fins a quin punt el ritme de descobriment —i d’explotació— s’ha accelerat.

No es tracta únicament de volum. La naturalesa d’aquestes falles s’ha tornat més perillosa. El nombre de vulnerabilitats classificades com a altament explotables va créixer un 113 % interanual, fet que implica que els atacants no només disposen de més portes d’entrada, sinó que moltes d’elles són més fàcils de forçar. A més, el 43 % de les vulnerabilitats detectades el 2025 es podien explotar sense necessitat d’autenticació: un atacant no necessita credencials vàlides per comprometre el lloc.

El tipus de vulnerabilitat més freqüent és el Cross-Site Scripting (XSS), que representa el 47,7% del total. El XSS permet injectar codi maliciós en pàgines legítimes, afectant els visitants del lloc sense que el propietari en sigui conscient. Per a una empresa B2B, això pot significar que els seus clients potencials siguin redirigits a pàgines fraudulentes, que es recopilin dades sensibles o que la reputació de la marca quedi greument danyada.

Plugins: l’anella més feble de la cadena

Si hi ha una dada que resumeix l’estat de la seguretat a WordPress el 2025, és aquesta: el 91 % de totes les vulnerabilitats es van trobar en plugins. Només 6 falles van correspondre al nucli de WordPress. El core del CMS és, comparativament, un bastió ben defensat. El problema rau en l’immens ecosistema d’extensions que l’envolta.

Els plugins són precisament allò que fa de WordPress una plataforma tan versàtil: formularis de contacte, passarel·les de pagament, optimització SEO, sistemes de reserves, integracions amb CRM… Cada funcionalitat addicional s’implementa a través d’un plugin, i cada plugin introdueix la seva pròpia superfície d’atac. Quan una empresa B2B instal·la 20 o 30 plugins —cosa habitual en llocs corporatius amb funcionalitats avançades—, està confiant en 20 o 30 equips de desenvolupament independents, cadascun amb els seus propis estàndards de qualitat, els seus propis cicles d’actualització i el seu propi compromís amb la seguretat.

Vulnerabilitats en components premium

Hi ha la percepció que els plugins de pagament són inherentment més segurs que els gratuïts. Les dades desmenteixen aquesta suposició. Segons Patchstack, el 76 % de les vulnerabilitats descobertes en plugins premium eren explotables en atacs reals. El fet que un component tingui un preu no garanteix que el seu codi hagi estat auditat amb rigor ni que les actualitzacions de seguretat es publiquin amb la rapidesa necessària.

Un exemple il·lustratiu és el cas documentat per Kaspersky: la vulnerabilitat CVE-2025-5394 en el tema Alone va generar més de 120.000 intents d’explotació. Un únic error en un component àmpliament utilitzat pot esdevenir un vector d’atac massiu en qüestió d’hores.

La velocitat d’explotació s’ha disparat

Potser la dada més alarmant de l’informe de Patchstack és la relativa a la velocitat: el temps mitjà fins a l’explotació massiva d’una vulnerabilitat és de tan sols 5 hores des de la seva divulgació pública. Cinc hores. Aquest és el marge del qual disposa un equip de TI per detectar l’amenaça, avaluar-ne l’impacte i aplicar el pedaç corresponent.

Però la situació es complica encara més quan es considera que el 46% de les vulnerabilitats no comptaven amb patch en el moment de la seva divulgació. És a dir, en gairebé la meitat dels casos, l’empresa afectada no pot simplement actualitzar el plugin per estar protegida: ha de buscar solucions alternatives, desactivar el component vulnerable o implementar regles de protecció a nivell de servidor.

Un cas particularment preocupant és el del plugin Post SMTP, una eina popular per gestionar l’enviament de correus electrònics des de WordPress. Després de descobrir-se una vulnerabilitat crítica, només el 51,2% dels llocs que l’utilitzaven havien actualitzat a la versió corregida, deixant més de 200.000 llocs exposats. Aquesta mena de situacions revela un patró recurrent: la velocitat a la qual es descobreixen i exploten vulnerabilitats supera amb escreix la capacitat de reacció de la majoria de les organitzacions.

Les amenaces emergents el 2026

El panorama de 2026 no es defineix únicament pel volum de vulnerabilitats, sinó per la sofisticació creixent de les tàctiques d’atac. Hi ha tres tendències que mereixen una atenció especial.

Atacs impulsats per intel·ligència artificial

La intel·ligència artificial ha transformat el camp de la ciberseguretat en ambdues direccions: millora les defenses, però també potencia els atacs. El 2026, els ciberdelinqüents utilitzen eines d’IA per automatitzar la identificació de vulnerabilitats, generar campanyes de phishing hiperrealistes i executar atacs de força bruta més eficients. L’explotació autònoma —en la qual un sistema d’IA detecta, analitza i explota una vulnerabilitat sense intervenció humana— ha passat de ser un escenari teòric a una amenaça documentada.

Per a les empreses B2B, això significa que els atacs ja no requereixen un hacker experimentat dedicant hores a estudiar un lloc concret. Un sistema automatitzat pot escanejar milers de llocs WordPress simultàniament, identificar aquells que executen versions vulnerables d’un plugin específic i llançar atacs personalitzats en qüestió de minuts.

Atacs a la cadena de subministrament

Els atacs a la cadena de subministrament (supply chain attacks) representen una de les amenaces més insidioses de l’ecosistema WordPress. En lloc d’atacar directament un lloc web, els ciberdelinqüents comprometen el codi font d’un plugin o tema popular, de manera que tots els llocs que l’instal·lin o l’actualitzin queden infectats automàticament.

Kaspersky va documentar un cas paradigmàtic amb Gravity Forms, un dels plugins de formularis més utilitzats en entorns professionals. Quan un component d’aquesta envergadura es veu compromès, l’abast potencial de l’atac es multiplica exponencialment: milers d’empreses poden veure’s afectades per una única bretxa en la cadena de subministrament.

Codi generat per IA i els seus riscos ocults

Una tendència que preocupa especialment els professionals de la seguretat és l’ús creixent d’intel·ligència artificial per generar codi. Estudis recents indiquen que el 45 % del codi generat per IA conté errors de seguretat. A mesura que més desenvolupadors de plugins i temes recorren a assistents d’IA per accelerar la seva feina, hi ha un risc real que s’introdueixin vulnerabilitats en components que, d’una altra manera, haurien estat revisats amb més deteniment.

Això no vol dir que la IA sigui intrínsecament negativa per al desenvolupament web. No obstant això, implica que les pràctiques de revisió de codi i auditoria de seguretat són més importants que mai, tant per als equips de desenvolupament com per a les empreses que seleccionen els seus plugins.

L’impacte real en empreses B2B i PIMES

Les estadístiques de vulnerabilitats poden semblar abstractes fins que es tradueixen en impacte econòmic. Segons dades de BD Emerson, el 43 % dels ciberatacs es dirigeixen contra petites empreses, i el 60 % de les PIMES que pateixen un ciberatac significatiu tanquen en els sis mesos següents. El cost mitjà d’un ciberatac per a una PIME se situa en 254.445 dòlars, mentre que el cost mitjà d’una bretxa de dades assoleix els 4,54 milions de dòlars.

Per a una empresa B2B que opera en un mercat on la confiança i la reputació són actius fonamentals, una bretxa de seguretat pot tenir conseqüències que van molt més enllà del cost directe de la reparació. Pèrdua de clients, dany reputacional, sancions per incompliment normatiu (RGPD a Europa, per exemple), interrupció d’operacions comercials… L’impacte es propaga en cascada i pot trigar anys a reparar-se.

A més, en entorns B2B és habitual que el lloc web corporatiu estigui integrat amb altres sistemes: CRM, plataformes d’automatització de màrqueting, passarel·les de pagament, eines d’analítica. Una vulnerabilitat a WordPress no compromet únicament el lloc web, sinó que pot servir com a punt d’entrada per accedir a tota la infraestructura digital de l’organització.

Estratègies de protecció que funcionen

Davant un panorama d’amenaces en constant evolució, la bona notícia és que la majoria dels atacs exitosos exploten debilitats conegudes i evitables. Una estratègia de seguretat ben estructurada redueix dràsticament la superfície d’exposició.

Actualitzacions automàtiques i gestió proactiva

Si el temps mitjà d’explotació massiva és de 5 hores, confiar en actualitzacions manuals fetes «quan hi hagi temps» és una estratègia obsoleta. Les empreses que operen amb WordPress necessiten un sistema d’actualitzacions automàtiques o, com a mínim, un protocol de gestió proactiva que garanteixi l’aplicació de pedaços de seguretat en un termini d’hores, no de dies o setmanes.

Això implica, entre d’altres coses, disposar d’un entorn d’staging on les actualitzacions es provin abans d’aplicar-se en producció, monitorització contínua dels butlletins de seguretat dels plugins utilitzats i alertes automatitzades quan es publica una vulnerabilitat que afecti l’stack tecnològic del lloc.

Principi de mínims privilegis en plugins

Cada plugin instal·lat amplia la superfície d’atac. La recomanació és clara: instal·lar únicament els plugins estrictament necessaris, eliminar qualsevol extensió inactiva i auditar periòdicament els components en ús. Abans d’instal·lar un nou plugin, convé verificar el seu historial de seguretat, la freqüència de les seves actualitzacions i la reputació del seu equip de desenvolupament.

Per als plugins que gestionen funcionalitats crítiques —formularis que recopilen dades personals, passarel·les de pagament, accessos restringits—, l’auditoria de seguretat hauria de ser un requisit previ a la instal·lació, no una revisió posterior a l’incident.

Seguretat per capes: més enllà del WAF tradicional

Els tallafocs d’aplicacions web (WAF) tradicionals han estat durant anys la primera línia de defensa, però la seva eficàcia té límits clars. Segons Patchstack, els WAF convencionals bloquegen tan sols el 12 % dels atacs específics de WordPress. Això no vol dir que siguin inútils, sinó que no poden ser l’única mesura de protecció.

Una estratègia de seguretat per capes combina múltiples nivells de defensa: WAF amb regles específiques per a WordPress, detecció d’intrusions a nivell de servidor, monitorització d’integritat d’arxius, autenticació en dos factors per a tots els usuaris amb accés al tauler d’administració, restricció d’accessos per IP i un sistema de pedaços virtuals que protegeixi davant de vulnerabilitats fins i tot abans que el desenvolupador del plugin publiqui una actualització oficial.

Còpies de seguretat i pla de recuperació

Cap estratègia de seguretat és infal·lible. Per això, disposar de còpies de seguretat automatitzades, emmagatzemades fora del servidor principal i verificades periòdicament, és una mesura imprescindible. L’ideal és implementar una política de backups que permeti restaurar el lloc al seu estat anterior en qüestió de minuts, no d’hores o dies.

El pla de recuperació davant de desastres (disaster recovery plan) ha d’incloure procediments documentats, responsables definits i temps de resposta compromesos. En un entorn en què una bretxa de seguretat pot produir-se i escalar en menys de cinc hores, la capacitat de reacció és tan important com la prevenció.

La ciberseguretat com una inversió, no com una despesa

L’ecosistema WordPress el 2026 presenta un panorama d’amenaces sense precedents: més vulnerabilitats, major velocitat d’explotació, atacs més sofisticats impulsats per intel·ligència artificial i una cadena de subministrament que multiplica l’abast de cada bretxa. Per a les empreses B2B i PIMES que depenen del seu lloc web com a eina comercial fonamental, la ciberseguretat ha deixat de ser un aspecte tècnic delegable per convertir-se en un pilar estratègic del negoci.

La clau no rau a reaccionar davant els incidents, sinó a anticipar-los. Actualitzacions proactives, auditoria contínua de plugins, seguretat per capes i un pla de recuperació sòlid són els elements que diferencien una empresa preparada d’una empresa vulnerable. Comptar amb un equip especialitzat en manteniment web professional que integri la seguretat com a part del seu servei no és un luxe: és una decisió de negoci que protegeix la inversió digital, la reputació de marca i la continuïtat operativa.

En un entorn en què les amenaces evolucionen més ràpid que mai, la pregunta ja no és si una empresa serà atacada, sinó quan. I la diferència entre un incident menor i una crisi empresarial depèn, en gran mesura, de les decisions de seguretat que es prenguin avui.

Continguts en aquest article

Llest per aconseguir clients
a l’Era de la IA?

Fem una anàlisi profunda de la teva presència a IAs i t’expliquem quines oportunitats estàs deixant passar.

Sí. La versió gratuïta de ChatGPT és suficient per al diagnòstic inicial. No obstant això, si utilitzeu la versió amb accés web activat (disponible a ChatGPT Plus), els resultats seran més actualitzats perquè el model pot consultar informació recent sobre la vostra empresa. Per al diagnòstic periòdic, recomanem fer les preguntes tant a ChatGPT com a Perplexity, que té accés web a la seva versió gratuïta, per obtenir una imatge més completa

La informació incorrecta als models d’IA sol venir de fonts externes que el model ha processat i que contenen dades errònies o desactualitzades. El procés de correcció no és directe —no pots enviar correccions al model— sinó indirecte: corregeix la informació a totes les fonts on apareix (web, Google Business, directoris, LinkedIn) i assegura’t que la versió correcta estigui ben consolidada i sigui coherent a totes les plataformes. Amb el temps, el model actualitzarà el coneixement a partir de les fonts corregides.

La freqüència òptima és cada tres mesos durant el primer any de treball actiu en posicionament a IA. Això permet mesurar l’impacte de cada fase de treball (diagnòstic i correcció de dades, creació de contingut, amplificació externa) amb suficient perspectiva temporal per veure canvis reals. Un cop assolit el Perfil C, amb una revisió semestral és suficient per mantenir la visibilitat

Sí, i de fet és un dels usos més valuosos daquest mètode. Pots fer les mateixes preguntes de diagnòstic sobre els competidors directes per entendre quina posició relativa ocupa cada actor del teu sector davant dels models d’IA. Aquesta intel·ligència competitiva t’ajuda a prioritzar a quines àrees has de treballar amb més urgència per superar els que ja tenen certa visibilitat.

Estar al Perfil A és la situació més comuna i, paradoxalment, la que ofereix més potencial de millora relativa. Significa que el treball als cinc pilars del posicionament a IA tindrà un impacte visible comparativament ràpid, perquè parts de zero i qualsevol millora és mesurable. Empreses a Perfil A amb les que hem treballat a Smart Team han aconseguit mencions consistents a ChatGPT en un termini de 4 a 6 mesos amb treball sistemàtic en contingut tècnic i dades estructurades.

Alexandra
Alexandra Vallugera
Content Manager at Smart Team Global Performance  alexandra@smart-team.io  Web

Politóloga con experiencia en consultoría, comunicación corporativa y gestión de proyectos públicos y privados. Especialista en estrategia, marketing digital y transformación organizativa. Centro en la innovación y la creación de narrativas que conecten tecnología, personas y organizaciones.

Agenda una reunió de 30 minuts

Vols saber com podem generar més leads per a la teva empresa a Barcelona? Deixeu-nos el vostre correu i telèfon i agendarem una trucada sense compromís per donar-vos un diagnòstic personalitzat sobre la vostra estratègia de Màrqueting actual.

En enviar demostres estar d'acord amb la nostra Política de Privacitat