WordPress Directo
  • Tutoriales
  • Plugins
  • Plantillas
  • Optimización
  • SEO
  • WordPress Hosting
No Result
View All Result
WordPress Directo
  • Tutoriales
  • Plugins
  • Plantillas
  • Optimización
  • SEO
  • WordPress Hosting
No Result
View All Result
WordPress Directo
No Result
View All Result

Cuatro vulnerabilidades críticas en WordPress fueron las más explotadas por ciberdelincuentes en el primer trimestre de 2025

David Carrero Fernández-Baillo by David Carrero Fernández-Baillo
12 abril 2025
in Noticias, Plugins
Reading Time: 4 mins read
0

Un informe de Patchstack revela que miles de sitios siguen expuestos a fallos graves en plugins y temas populares, pese a que las correcciones fueron publicadas en 2024

Durante el primer trimestre de 2025, los ciberdelincuentes centraron sus ataques en cuatro vulnerabilidades críticas presentes en complementos y temas de WordPress ampliamente utilizados. Así lo recoge el último informe publicado por la firma de ciberseguridad Patchstack, especializada en la protección de sitios construidos con este popular gestor de contenidos.

Los cuatro fallos de seguridad, todos ellos descubiertos y corregidos en 2024, continúan siendo explotados debido a que numerosos administradores web aún no han actualizado sus instalaciones. Las consecuencias potenciales incluyen ejecución de código arbitrario, subida de archivos maliciosos y exfiltración de datos sensibles.

Artículos relacionados

Cómo insertar un conversor de divisas en WordPress

27 octubre 2015

Cómo restringir el acceso a un sitio web mediante .htaccess

10 marzo 2025

Cloaking, acortar, redireccionar y seguir enlaces en tu WordPress

14 diciembre 2012

Plugins de WordPress que no sabías ni que los necesitabas

24 junio 2017

Las cuatro vulnerabilidades más atacadas en Q1 de 2025

Según el informe titulado “New Year, New Threats”, estas son las fallas más aprovechadas por los atacantes:

1. CVE-2024-27956 – SQL Injection en WordPress Automatic Plugin

Este complemento, utilizado para generación de contenido mediante inteligencia artificial y con más de 40.000 instalaciones activas, presentaba una vulnerabilidad de tipo inyección SQL no autenticada. A través del parámetro auth en la funcionalidad de exportación CSV, un atacante podía lanzar consultas SQL arbitrarias sin necesidad de autenticarse. Aunque fue corregida en la versión 3.92.1, Patchstack reporta haber bloqueado más de 6.500 intentos de explotación desde entonces.

2. CVE-2024-4345 – Subida arbitraria de archivos en Startklar Elementor Addons

Este plugin, con más de 5.000 instalaciones, permitía la carga de archivos sin validar el tipo de contenido, lo que abría la puerta a la ejecución de código malicioso y la toma de control del sitio. El plugin fue retirado temporalmente por motivos de seguridad y la vulnerabilidad fue corregida en la versión 1.7.14. Patchstack afirma haber bloqueado miles de intentos de carga de archivos maliciosos mediante su sistema de vPatches.

3. CVE-2024-25600 – Ejecución remota de código en el tema Bricks

Con más de 30.000 usuarios, el tema Bricks contenía una vulnerabilidad en su ruta REST bricks/v1/render_element, que permitía la ejecución de código PHP sin autenticación, debido a controles de permisos débiles y un nonce fácilmente expuesto. El fallo fue corregido en la versión 1.9.6.1 y desde entonces se han bloqueado varios cientos de intentos de explotación.

4. CVE-2024-8353 – Inyección de objetos en GiveWP

El popular plugin de donaciones GiveWP, con más de 100.000 instalaciones activas, sufría una vulnerabilidad crítica por deserialización insegura de parámetros como give_ y card_, lo que podía derivar en la ejecución remota de código. El problema fue corregido en la versión 3.16.2. Patchstack ha bloqueado centenares de intentos de explotación desde la detección de esta amenaza.

Proteger un sitio WordPress va más allá de actualizar

Aunque los intentos de explotación no siempre concluyen en una intrusión exitosa —gracias en parte a sistemas de defensa como el de Patchstack—, muchos sitios siguen siendo vulnerables debido a la falta de mantenimiento proactivo. En palabras del informe:

“Muchos sitios WordPress permanecen expuestos largo tiempo después de que se divulguen las vulnerabilidades, simplemente porque las actualizaciones se retrasan o se ignoran.”

El uso de parches virtuales (vPatches), como los aplicados por Patchstack, permite bloquear ataques en tiempo real antes de que los desarrolladores de los plugins publiquen actualizaciones oficiales. Esta protección se extiende incluso a archivos PHP independientes fuera del entorno WordPress, una nueva función actualmente en fase beta.

Recomendaciones de seguridad

Patchstack recuerda que una buena estrategia de seguridad en WordPress debe incluir:

  • Aplicación inmediata de actualizaciones de seguridad en plugins, temas y el núcleo de WordPress.
  • Desactivación y eliminación de complementos innecesarios.
  • Eliminación de cuentas inactivas.
  • Uso de contraseñas robustas y autenticación multifactor para cuentas con permisos administrativos.
  • Monitorización activa de logs y tráfico inusual.

Conclusión

El ecosistema WordPress sigue siendo un objetivo atractivo para los ciberdelincuentes, y los ataques a complementos y temas mal protegidos continúan creciendo. Las cifras del primer trimestre de 2025 reflejan una realidad clara: la falta de parches y de medidas preventivas sigue siendo el eslabón más débil en la seguridad web.

Para estar protegido, no basta con confiar en las actualizaciones: se necesita una estrategia de ciberseguridad proactiva, herramientas especializadas y una cultura de mantenimiento continuo.

Tags: seguridad
ShareTweetSendSharePin
David Carrero Fernández-Baillo

David Carrero Fernández-Baillo

Experimentando con un sitio web sobre WordPress, este popular gestor de contenidos, entre otros muchos proyectos.

Te puede interesar...

Plugins

Optimiza la gestión de usuarios en WordPress con Index WP Users For Speed

4 junio 2025

En sitios web con miles de usuarios registrados, el panel de administración de WordPress...

Plugins

Twentig potencia los temas por bloques de WordPress con plantillas, portafolios y más de 100 patrones de diseño

3 junio 2025

WordPress continúa su evolución hacia una experiencia más visual y sin código, y el...

Código fuente

“Syntax-highlighting Code Block”: un aliado para desarrolladores en WordPress que apuesta por el rendimiento y la simplicidad

3 junio 2025

El plugin mejora el bloque de código estándar con resaltado sintáctico desde el servidor,...

Noticias

Automattic regresa con fuerza al núcleo de WordPress tras meses de pausa estratégica

2 junio 2025

La compañía matriz del CMS más utilizado del mundo anuncia su vuelta activa al...

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

No Result
View All Result
Plugin Imagify, optimizar imágenes
wordpress hosting NVME
Elegant Themes WordPress
elementor editor plugin




Últimos artículos

Cómo insertar suscriptores en una lista de Acumbamail mediante un formulario creado con Gravity Forms sin utilizar plugins

6 febrero 2020

¿Qué novedades trae la nueva versión de WordPress 5.7?

17 marzo 2021

Plugins más populares para SEO y Social Media

23 diciembre 2015

¿Por qué no encuentro el fichero htaccess en mi WordPress?

14 abril 2018

Cómo desactivar las actualizaciones automáticas en WordPress

28 mayo 2020
WordPress Directo

WPDirecto.com es una revista especializada en WordPress y WooCommerce que ofrece una amplia gama de recursos, incluyendo tutoriales, análisis de plugins y plantillas, consejos de optimización y estrategias de SEO, para ayudar a los usuarios a mejorar y personalizar sus sitios web, manteniéndolos informados sobre las últimas novedades y tendencias en el mundo de WordPress.

Menu

  • Tutoriales
  • Plugins
  • Plantillas
  • Optimización
  • SEO
  • WordPress Hosting

Información

WPDirecto es un medio de Medios y Redes:
  • Artículos patrocinados
  • Servicio de diseño web
  • Contacto
  • Acerca de MyR
  • Política de privacidad y cookies
  • Aviso Legal

© 1995-2025 Color Vivo Internet, SLU (Medios y Redes Online).. Otros contenidos se cita fuente. Infraestructura cloud servidores dedicados de Stackscale.

No Result
View All Result
  • Tutoriales
  • Plugins
  • Plantillas
  • Optimización
  • SEO
  • WordPress Hosting

© 1995-2025 Color Vivo Internet, SLU (Medios y Redes Online).. Otros contenidos se cita fuente. Infraestructura cloud servidores dedicados de Stackscale.