Si administras sitios con WordPress, Joomla o Drupal, en algún momento te habrán dicho que «con dejarlo como está basta». Yo te digo otra cosa: en 2026 ese planteamiento te está jugando una mala pasada, sobre todo si tienes varias instalaciones o clientes que confian en ti para el mantenimiento.
Los CMS de código abierto siguen siendo una base sólida para webs y tiendas, pero comparten una regla incómoda: el valor está en la comunidad y en los parches, no en la promesa de que «nadie ataca a una web pequeña». En la práctica los automatismos no distinguen tamaños.
Por qué ha vuelto a hablarse de WordPress, Joomla y Drupal a la vez
Medios especializados como CMSWire han insistido recientemente en el mismo mensaje: los tres grandes del código abierto conviven en un ecosistema donde la velocidad de las actualizaciones importa tanto como la elección inicial de plataforma. No es un debate de moda, es un recordatorio de que el CMS no es un producto cerrado que «terminas de instalar».
WordPress: parches encadenados y la lección del calendario
Lo que ha marcado el ritmo en los primeros meses de 2026 son las publicaciones de seguridad seguidas del equipo de WordPress. La versión 6.9.2 llegó como release de seguridad con múltiples correcciones; poco después la 6.9.4 cerró lagunas que no quedaron bien resueltas en el ciclo anterior. Si gestionas muchos sitios, ya sabes lo que implica: ventanas de tiempo donde quien retrasa el core queda expuesto aunque el tema sea bonito y el hosting caro.
Mi consejo práctico no es dramático: programa revisiones cortas y frecuentes. Un checklist de cinco minutos (core, plugins con acceso a datos, backups) vale más que una auditoría anual que nadie ejecuta.
Joomla: el fallo que suena a «detalle de maquetación» pero no lo es
En el centro de seguridad de Joomla documentan un aviso sobre filtrado insuficiente de data URLs en determinadas versiones, con riesgo de abuso vía etiquetas de imagen. La referencia técnica está en su boletín correspondiente. No hace falta ser experto en CVE para entender el qué hacer: actualizar el núcleo o la rama que te corresponda y revisar extensiones que inyecten HTML sin saneado claro.
Drupal: cuando el problema no es solo el core
Drupal suele resumirse como «más corporativo», pero en proyectos reales buena parte del riesgo vive en módulos contribuidos. Un ejemplo reciente es el aviso SA-CONTRIB-2026-029, relacionado con permisos sobre nodos no publicados y traducciones. Traducción para quien mantiene el sitio: aunque el core esté impecable, un módulo desactualizado puede abrir una puerta que el cliente no ve hasta que es tarde.
Tres decisiones que sí tocan la fibra del presupuesto
- Separa entornos y backups comprobables. Un respaldo que nunca has restaurado es adorno, no estrategia.
- Reduce superficie: plugins o módulos que no usas son deuda técnica con intereses.
- Comunica al cliente el coste de «no tocar nada»: sueles ahorrar horas hoy para pagar incidentes mañana.
En mi experiencia la fricción no es técnica sino organizativa: falta un hueco en el calendario o presupuesto para mantenimiento preventivo.
¿Qué harías si tu cliente te dijera que prefiere congelar versiones un año a cambio de un descuento en la fee mensual, sabiendo que tres de sus competidores actualizan cada mes?