Identifican 900 mil sitios WordPress vulnerables por fallo de

Una vulnerabilidad crítica ha sido identificada en el plugin WPvivid Backup & Migration, que se utiliza en más de 900 mil sitios WordPress a nivel global. Esta falla, clasificada como CVE-2026-1357, recibió la puntuación máxima de 9.8 en una escala del 0 al 10, lo que indica su alto riesgo potencial.

El plugin WPvivid es una herramienta esencial para backups y migraciones de sitios WordPress, permitiendo a los usuarios realizar copias de seguridad y transferir datos entre servidores. Sin embargo, la falla expone los sitios a ataques debido a la posibilidad de Ejecutar Código Remotamente (RCE), permitiendo que los invasores ejecuten comandos maliciosos sin necesidad de autenticación.

Con este tipo de falla, los ciberdelincuentes pueden tomar el control completo de un sitio afectado. Según expertos en seguridad, esta situación pone en riesgo la integridad y confidencialidad de los datos almacenados en los sitios.

Entiende el ataque

La vulnerabilidad fue descubierta por el investigador Lucas Montes y reportada a Defiant, una empresa especializada en seguridad para WordPress, el 12 de enero. La falla afecta todas las versiones del plugin hasta la 0.9.123 y resulta de una combinación de errores en el código.

La vulnerabilidad se activa durante el uso de la funcionalidad "recibir backup de otro sitio", normalmente habilitada en migraciones de sitios. La falla reside en la validación inadecuada de los datos cifrados recibidos, permitiendo que un invasor envíe comandos que el plugin no valida adecuadamente.

Cuando la descifrado RSA falla, el plugin no interrumpe la ejecución como debería, creando una clave de cifrado predecible. Esto permite que atacantes emitan archivos maliciosos que son aceptados como legítimos, explotando la ausencia de validación en los nombres de los archivos.

Invasión completa del sitio

Una vez que se carga el archivo malicioso en el servidor, el invasor puede acceder a él fácilmente a través del navegador. En WordPress, archivos en PHP son ejecutables, es decir, al acceder a ellos, el servidor automáticamente ejecuta los comandos que contienen.

Con un archivo PHP malicioso accesible, el hacker toma el control del sitio, pudiendo robar datos, modificar contenidos, crear cuentas administrativas e instalar backdoors, que son formas de reentrada para ataques futuros. Los investigadores de Defiant destacan que tal vulnerabilidad puede permitir la toma total del sitio.

Factores que limitan la explotación

A pesar de que la gravedad de la vulnerabilidad es alta, existen restricciones que pueden limitar su explotación masiva. La principal es que la funcionalidad vulnerable no viene activada por defecto en los sitios. Además, cuando se habilita, la clave de acceso generada por el plugin permanece válida solo por 24 horas.

Sin embargo, los expertos creen que estas limitaciones son insuficientes para eliminar el riesgo. Los administradores pueden activar la función vulnerable al realizar migraciones, creando así ventanas de oportunidad para ataques.

Corrección ya disponible

Defiant notificó a la desarrolladora del plugin, WPVividPlugins, sobre la vulnerabilidad el 22 de enero. Una corrección fue disponibilizada rápidamente en la versión 0.9.124, lanzada el 28 de enero.

La nueva versión implementa medidas de seguridad adicionales. Las mejoras incluyen validación rigurosa de los datos recibidos, corrección de la falla de descifrado y restricción a los tipos de archivos permitidos para carga, evitando la inclusión de archivos PHP que puedan contener código malicioso.

Los expertos recomiendan que todos los usuarios de WPvivid Backup & Migration actualicen inmediatamente a la versión 0.9.124. Dado que muchos sitios permanecen vulnerables, la probabilidad de que atacantes utilicen scripts automatizados para explotar sitios desactualizados es alta.

Para verificar la versión instalada del plugin, se recomienda acceder al panel administrativo de WordPress, ir a la sección "Plugins" y buscar "WPvivid". Si la versión es 0.9.123 o anterior, la actualización debe realizarse inmediatamente.

Para recibir más actualizaciones sobre seguridad y tecnología, sigue a TecMundo en las redes sociales y suscríbete a nuestro boletín y canal de YouTube.