Cómo tomar el control de 900.000 sitios sin conocer ni una sola contraseña: guía para quienes olvidan actualizar WordPress
Es hora de revisar tus plugins de copia de seguridad.
En un popular complemento de copia de seguridad para WordPress se encontró una vulnerabilidad crítica que permite tomar el control de un sitio sin iniciar sesión. El problema afecta a la extensión WPvivid Backup & Migration, instalada en más de 900 000 sitios.
El problema lo descubrió el investigador de seguridad Lucas Montes, conocido bajo el seudónimo NiRoX, y envió la información a través del programa de recompensas de la empresa Wordfence. La vulnerabilidad recibió el identificador CVE-2026-1357 y una puntuación CVSS de 9.8 sobre 10. Afecta a las versiones del complemento hasta la 0.9.123 inclusive. Los desarrolladores publicaron una corrección en la versión 0.9.124.
El fallo está relacionado con el mecanismo de recepción de copias de seguridad desde otro sitio. El complemento tiene una función para transferir una copia de seguridad mediante una clave temporal especial. Por defecto está desactivada, y la validez de la clave no puede superar las 24 horas. Si la clave se creó y se usó, un atacante podía eludir la verificación de descifrado y subir al servidor un archivo con contenido arbitrario. Un problema adicional era la falta de una verificación adecuada del nombre y la extensión del archivo subido. Esto abría la puerta a la colocación de scripts maliciosos en los directorios accesibles del sitio.
Mediante ese escenario, el atacante podía ejecutar código en el servidor y obtener control total del sitio. Vulnerabilidades similares se usan con frecuencia para instalar módulos de control ocultos y para propagar actividad maliciosa.
La empresa Wordfence confirmó la existencia del error y notificó a los desarrolladores del complemento el 22 de enero. Ya al día siguiente, el equipo de WPvivid respondió y comenzó a preparar la corrección. La versión actualizada se publicó el 28 de enero. En ella se añadió la verificación de la validez de la clave de descifrado y una restricción estricta de los tipos de archivos que se pueden subir. Ahora solo se permiten los formatos de copia de seguridad.
Los usuarios de las versiones de pago de la solución de seguridad Wordfence recibieron una regla de firewall para bloquear los ataques el 22 de enero. Los usuarios de la versión gratuita reciben la misma protección con un retraso de 30 días.
Se recomienda a los propietarios de sitios en WordPress que actualicen cuanto antes el complemento WPvivid Backup a la versión 0.9.124 o posterior. Es especialmente importante para quienes activaron la función de recibir copias de seguridad desde otros sitios y crearon una clave temporal de acceso.