La compañía explica que este agujero de seguridad se debe al protocolo de seguridad PHP: "Recientemente ha salido una nueva versión que se ajusta a las necesidades digitales actuales, sin embargo, muchas personas no actualizan este componente, lo cual les deja expuestos por completo".
Desde el robo de credenciales, hasta la suplantación de identidad, pasando por el tráfico de datos en la internet oscura: estos son algunos de los riesgos a los que se exponen las páginas web que no actualicen a la nueva versión PHP.
España cuenta con un volumen de páginas web registradas comprendido entre 1,1 y 3 millones. Sin embargo, de esta cantidad, se estima que el 40% de ellas --entre 800.000 y 1.200.000-- son vulnerables a ataques cibernéticos como puedan ser el robo (o sustracción de credenciales), el acceso indiscriminado a las bases de datos o el secuestro de información o la suplantación de identidad. cdmon, compañía lider en hosting y almacenamiento web da a conocer las cifras de vulnerabilidad y explican el por qué de este agujero de seguridad:
"Muchas páginas web están desarrolladas con PHP, un lenguaje de programación que recibe actualizaciones de forma anual. Cada año aparece una nueva versión —por ejemplo, de PHP 8.4 a PHP 8.5— y, al mismo tiempo, una versión anterior pasa a estar en End of Life (EOL), dejando de recibir parches de seguridad. El principal problema surge cuando los propietarios de las webs no actualizan sus instalaciones: esto provoca que sigan utilizando versiones obsoletas, con vulnerabilidades conocidas que se convierten en potenciales agujeros de seguridad", explica el director digital de cdmon, David Blanch.
El 1 de enero de 2026 el 60% de las páginas españolas van a ser vulnerables
El despliegue de una nueva versión de PHP también implica la descontinuación de versiones anteriores y obsoletas. El 1 de enero de 2026 se marca en el calendario como fecha de caducidad de antiguas versiones de PHP que van a dejar de recibir soporte.
En este sentido, Blanch recalca que "de acuerdo con nuestros datos, entre el 50% y el 60% de las páginas españolas van a estar desprotegidas ya que habrá muchos más sitios que siguen con el PHP obsoleto. Si los usuarios y propietarios de sitios web siguen sin actualizar, la brecha de seguridad va a ser mucho mayor, pudiendo rozar casi los dos millones de portales activos".
cdmon: "alrededor del 40% de las páginas web a nivel global también están afectadas"
Desde la compañía cdmon también se da a conocer el dato a nivel global. Actualmente la cifra de páginas web activas en todo el mundo es --aproximadamente-- de entre 1.100 y 1.400 millones de sitios web. El dato se complementa con la creación paulatina y constante de nuevos sitios web a escala global: tres cada segundo, de acuerdo con Siteefy.
Si se pone el foco a escala macro, también el 40% de los sitios cuentan con problemas de seguridad severos, ya que no han actualizado la versión de PHP.
No tener un PHP actualizado implica perder " la seguridad del sitio web"
PHP es el lenguaje de programación que hace funcionar la mayoría de sitios web del mundo, pero como toda tecnología, tiene un ciclo de vida. Cuando una versión llega a su fin, esta deja de recibir actualizaciones de seguridad y soporte.
"Del mismo modo que Windows 10 deja de recibir soportes de seguridad y eso deja expuestos a los equipos que no actualicen, sucede lo mismo con el entorno web", señala Blanch.
¿Qué implicaciones tiene no actualizar este este lenguaje de programación? Desde cdmon explican que "muchas de las puertas de la página quedan expuestas para que cualquiera pueda entrar y acceder a toda nuestra información: personal, de clientes, de plataformas de pago o de datos de terceras personas que tengan un registro en la página".
cdmon ha implementado el nuevo protocolo PHP 8,5 el día de lanzamiento
La inteligencia artificial y las automatizaciones propias de cdmon han permitido un despliegue inmediato de la nueva versión de PHP en toda la red de servidores. En esta línea, el director digital de la compañía explica que "ya estuvo implementado y listo para usarse para todos los usuarios de cdmon, así como también, quedó desplegado en toda la red de servidores. Usualmente, este tipo de implementaciones pueden llegar a tardar hasta meses".
Desde la compañía señalan que “una vez que PHP está desplegado y funcionando, son los propios usuarios quienes deben actualizar la versión de PHP. En muchos casos basta con actualizar la versión, ya que, si mantienen la web o el WordPress al día, el cambio no debería generar errores. En caso de que no dispongan del tiempo o de los conocimientos necesarios, ofrecemos un servicio de asistencia para este tipo de tareas”