Cómo secuestrar 900.000 sitios sin conocer ni una contraseña: guía para quienes olvidan actualizar WordPress
Es hora de revisar tus plugins de copia de seguridad.
En un popular complemento de copia de seguridad para WordPress se encontró una vulnerabilidad crítica que permite tomar el control de un sitio sin iniciar sesión. El problema afecta a la extensión WPvivid Backup & Migration, instalada en más de 900 000 sitios.
El problema fue descubierto por el investigador de seguridad Lucas Montes, conocido bajo el seudónimo NiRoX, y transmitió la información a través del programa de recompensas de la empresa Wordfence. La vulnerabilidad recibió el identificador CVE-2026-1357 y una puntuación CVSS 9.8 de 10. El problema afecta a las versiones del complemento hasta la 0.9.123 inclusive. Los desarrolladores lanzaron la corrección en la versión 0.9.124.
El fallo está relacionado con el mecanismo de recepción de copias de seguridad desde otro sitio. El complemento tiene una función para transferir una copia de seguridad mediante una clave temporal especial. Por defecto está desactivada y la validez de la clave no puede exceder las 24 horas. Si la clave se creó y se utilizó, un atacante podía eludir la comprobación de descifrado y subir al servidor un archivo con contenido arbitrario. Un problema adicional era la falta de una verificación adecuada del nombre y la extensión del archivo subido. Esto abría la posibilidad de alojar scripts maliciosos en los directorios accesibles del sitio.
Mediante ese tipo de escenario, el atacante podía ejecutar código en el servidor y obtener control total sobre el sitio. Vulnerabilidades similares suelen utilizarse para instalar módulos de control ocultos y para la posterior propagación de actividad maliciosa.
Wordfence confirmó la presencia del fallo y notificó a los desarrolladores del complemento el 22 de enero. Al día siguiente, el equipo de WPvivid respondió y comenzó a preparar una corrección. La versión actualizada se publicó el 28 de enero. En ella se añadió la comprobación de la validez de la clave de descifrado y una restricción estricta de los tipos de archivos que se pueden subir. Ahora solo se permiten los formatos de copia de seguridad.
Los usuarios de las versiones de pago de la solución de seguridad Wordfence recibieron una regla de cortafuegos para bloquear los ataques el 22 de enero. Los usuarios de la versión gratuita obtienen la misma protección con un retraso de 30 días.
A los propietarios de sitios en WordPress se les recomienda actualizar cuanto antes el complemento WPvivid Backup a la versión 0.9.124 o posterior. Es especialmente importante hacerlo para quienes activaron la función de recepción de copias de seguridad desde otros sitios y crearon una clave temporal de acceso.