Los administradores de sitios WordPress tienen, una vez más, motivos para revisar sus instalaciones con lupa. Un fallo crítico de escalada de privilegios en el plugin King Addons for Elementor (CVE-2025-8489) está siendo explotado de forma masiva para tomar el control de webs vulnerables. En paralelo, otra vulnerabilidad crítica en Advanced Custom Fields: Extended (CVE-2025-13486) permite la ejecución remota de código sin autenticación.

Ambos incidentes vuelven a evidenciar lo mismo: el ecosistema de plugins de WordPress es un objetivo prioritario para los atacantes, y las ventanas entre la divulgación pública y la instalación del parche se han convertido en terreno de caza.

King Addons para Elementor: de un fallo en el registro a admin total

King Addons es un complemento de terceros para Elementor —uno de los maquetadores visuales más populares en WordPress— y suma alrededor de 10.000 instalaciones activas. El plugin añade widgets, plantillas y funcionalidades extra, pero también ha introducido una puerta trasera involuntaria con un impacto enorme.

El fallo CVE-2025-8489 reside en el manejador de registro del plugin. Durante el proceso de alta de usuario, el código acepta un parámetro de rol (user_role) y lo aplica sin comprobar si es un rol permitido. En la práctica, esto significa que cualquier visitante no autenticado puede registrarse directamente como administrador si sabe cómo construir la petición adecuada contra admin-ajax.php.

Wordfence, que fue quien analizó y documentó el problema, detalla que:

• El fallo afecta a versiones 24.12.92 a 51.1.14 de King Addons.
• El desarrollador publicó la versión 51.1.35 con el parche el 25 de septiembre de 2025.
• La vulnerabilidad se añadió a su base de datos el 30 de octubre de 2025, y
• Los ataques comenzaron al día siguiente, 31 de octubre, con un pico de actividad entre el 9 y el 10 de noviembre.

Su firewall ha llegado a bloquear más de 48.400 intentos de explotación. Detrás de esa cifra hay campañas automatizadas que apuntan a cualquier sitio vulnerable que encuentren, sin distinción de tamaño o relevancia.

Una vez que un atacante consigue una cuenta con rol de administrador, el escenario es el de un compromiso total: puede instalar plugins maliciosos, subir puertas traseras, modificar páginas para redirigir tráfico a sitios fraudulentos, inyectar spam SEO o añadir otros usuarios con privilegios elevados para mantener el acceso a largo plazo.

ACF Extended: ejecución remota de código sin autenticación

A la vez, los investigadores de Wordfence han llamado la atención sobre otro fallo crítico, esta vez en el popular plugin Advanced Custom Fields: Extended, utilizado en más de 100.000 sitios WordPress para extender el potente plugin Advanced Custom Fields original.

El problema, identificado como CVE-2025-13486, afecta a las versiones 0.9.0.5 a 0.9.1.1 y se debe a que una función del plugin acepta parámetros controlados por el usuario y los pasa directamente a call_user_func_array() sin la validación necesaria.

El resultado es que un atacante no autenticado puede forzar al servidor a ejecutar código arbitrario. Esto permite:

• Inyectar webshells o backdoors.
• Crear usuarios administradores sin pasar por el panel.
• Modificar archivos del tema o plugins para mantener persistencia.

El fallo fue reportado de forma responsable el 18 de noviembre de 2025, y el desarrollador publicó la versión 0.9.2 al día siguiente con la corrección. Pero, igual que en el caso de King Addons, la ventana entre “parche disponible” y “todo el mundo actualizado” es donde se concentra el riesgo.

Qué deben hacer ahora los administradores de sitios WordPress

Para cualquier administrador o responsable de un sitio WordPress, estas dos vulnerabilidades deberían activar todas las alarmas. Los pasos mínimos recomendables son:

1. Comprobar versiones instaladas
   • King Addons for Elementor debe estar en la versión 51.1.35 o superior.
   • Advanced Custom Fields: Extended debe estar en 0.9.2 o superior.
     Si no es posible actualizar de inmediato, lo más prudente es desactivar y eliminar temporalmente el plugin afectado.
2. Revisar cuentas de usuario
   • Buscar nuevas cuentas con rol Administrador que no se hayan creado de forma legítima.
   • Revisar también cuentas Editor o superior con nombres sospechosos o correos ajenos a la organización.
3. Analizar logs y actividad reciente
   • Revisar los registros de acceso alrededor de las fechas clave (finales de octubre y primeras semanas de noviembre) en busca de patrones anómalos.
   • Vigilar peticiones repetitivas a admin-ajax.php o a rutas del plugin.
4. Comprobar archivos y contenido
   • Verificar que no se han añadido plugins o temas desconocidos.
   • Revisar la integridad de wp-config.php, functions.php y de cualquier plugin crítico.
   • Buscar cadenas de código ofuscado o inserciones extrañas en plantillas.
5. Refuerzo general de seguridad
   • Activar un firewall de aplicaciones web (WAF) específico para WordPress.
   • Aplicar el principio de mínimo privilegio: limitar el número de administradores y revisar quién tiene acceso a qué.
   • Mantener copias de seguridad regulares y probadas para poder restaurar rápidamente si se detecta una intrusión.

Un recordatorio incómodo: los plugins son el eslabón débil

Estos dos incidentes llegan tras otros fallos críticos recientes en plugins de formularios, constructores visuales o herramientas de SEO. El patrón se repite:

• Plugins muy extendidos, con decenas de miles o cientos de miles de instalaciones.
• Vulnerabilidades que permiten escala de privilegios o ejecución remota de código sin autenticación.
• Ataques automatizados que comienzan horas o días después de la divulgación pública del fallo.

Para muchas empresas, la verdadera superficie de ataque de su presencia digital no es el core de WordPress, sino la suma de todos sus plugins. Y en entornos donde el mantenimiento recae en equipos reducidos o externos, el retraso en aplicar actualizaciones críticas se convierte en una bomba de relojería.

La moraleja para administradores, agencias y responsables de TI es clara:

• hay que tratar el inventario de plugins como se trataría un catálogo de dependencias de software en cualquier otra aplicación,
• establecer ventanas regulares de mantenimiento,
• y contar con monitorización activa para detectar comportamientos anómalos cuanto antes.

Preguntas frecuentes sobre las vulnerabilidades en King Addons y ACF Extended

¿Cómo puedo saber si mi sitio WordPress ha sido comprometido a través de King Addons para Elementor?
Los indicadores más claros son la aparición de nuevos usuarios administradores que nadie del equipo reconoce, cambios inesperados en páginas o menús, redirecciones extrañas al visitar la web o avisos de malware por parte de navegadores y buscadores. También conviene revisar los registros de acceso y la lista de plugins instalados en busca de nuevos componentes desconocidos.

¿Qué debo hacer si sospecho que mi sitio está hackeado por una vulnerabilidad en un plugin?
El protocolo básico pasa por:

1. poner el sitio en modo mantenimiento o bloqueo temporal,
2. cambiar todas las contraseñas (WordPress, FTP, panel de hosting, base de datos),
3. realizar un escaneo con herramientas de seguridad especializadas,
4. restaurar una copia de seguridad limpia si es necesario,
   y 5) actualizar todos los plugins y temas antes de volver a abrir la web al público.

¿Es seguro seguir utilizando King Addons o ACF Extended tras actualizar?
En principio, sí. Una vez instalada la versión corregida, el fallo concreto que se está explotando queda mitigado. Sin embargo, cualquier plugin —por popular que sea— puede sufrir vulnerabilidades futuras. Por eso es importante mantener un ciclo de actualización continuo, revisar periódicamente el listado de plugins y eliminar aquellos que ya no sean imprescindibles.

¿Qué buenas prácticas ayudan a proteger un sitio WordPress frente a nuevas vulnerabilidades en plugins?
Algunas medidas clave son:

• minimizar el número de plugins instalados y evitar aquellos sin mantenimiento activo;
• activar actualizaciones automáticas en plugins de confianza;
• utilizar un firewall específico para WordPress y autenticación de doble factor para las cuentas administrativas;
• y contar con un plan de copias de seguridad y recuperación bien probado para reducir al mínimo el tiempo de caída en caso de incidente.

Fuentes:
Wordfence, King Addons for Elementor vulnerability advisory; artículos de seguridad especializados sobre CVE-2025-8489 y CVE-2025-13486; documentación y notas de versión de King Addons y Advanced Custom Fields: Extended.