Hace unos días revisé una pequeña web de alquiler de apartamentos que llevaba bastante tiempo funcionando prácticamente sola. El objetivo inicial parecía sencillo: recuperar una copia antigua, levantarla en un entorno aislado y validar que todo siguiera operativo.
Pero cuanto más revisábamos la instalación, más evidente se volvía algo habitual en muchas aplicaciones web pequeñas: nadie las toca mientras funcionan, hasta que empiezan a pasar cosas raras.
Aparecieron intentos constantes de acceso contra WordPress. Bots probando usuarios conocidos, rutas típicas y ataques básicos pero continuos. Nada especialmente sofisticado. Simplemente internet golpeando una aplicación expuesta durante años.
La contraseña del administrador había sido cambiada y nadie tenía claro cuál era la válida. Revisando configuración y base de datos aparecieron credenciales hardcodeadas y restos de plugins abandonados que seguían cargándose.
Este tipo de sistemas no suelen romperse de golpe. Se degradan lentamente: un plugin pendiente, una versión antigua, un ajuste temporal, una contraseña cambiada deprisa, un acceso que nadie documentó.
La lección es simple: internet nunca deja de probar sistemas expuestos. Aunque la empresa sea pequeña. Aunque la web parezca irrelevante. Siempre hay algo intentando entrar.