Un informe de Patchstack revela que miles de sitios siguen expuestos a fallos graves en plugins y temas populares, pese a que las correcciones fueron publicadas en 2024
Durante el primer trimestre de 2025, los ciberdelincuentes centraron sus ataques en cuatro vulnerabilidades críticas presentes en complementos y temas de WordPress ampliamente utilizados. Así lo recoge el último informe publicado por la firma de ciberseguridad Patchstack, especializada en la protección de sitios construidos con este popular gestor de contenidos.
Los cuatro fallos de seguridad, todos ellos descubiertos y corregidos en 2024, continúan siendo explotados debido a que numerosos administradores web aún no han actualizado sus instalaciones. Las consecuencias potenciales incluyen ejecución de código arbitrario, subida de archivos maliciosos y exfiltración de datos sensibles.
Según el informe titulado “New Year, New Threats”, estas son las fallas más aprovechadas por los atacantes:
Este complemento, utilizado para generación de contenido mediante inteligencia artificial y con más de 40.000 instalaciones activas, presentaba una vulnerabilidad de tipo inyección SQL no autenticada. A través del parámetro auth en la funcionalidad de exportación CSV, un atacante podía lanzar consultas SQL arbitrarias sin necesidad de autenticarse. Aunque fue corregida en la versión 3.92.1, Patchstack reporta haber bloqueado más de 6.500 intentos de explotación desde entonces.
Este plugin, con más de 5.000 instalaciones, permitía la carga de archivos sin validar el tipo de contenido, lo que abría la puerta a la ejecución de código malicioso y la toma de control del sitio. El plugin fue retirado temporalmente por motivos de seguridad y la vulnerabilidad fue corregida en la versión 1.7.14. Patchstack afirma haber bloqueado miles de intentos de carga de archivos maliciosos mediante su sistema de vPatches.
Con más de 30.000 usuarios, el tema Bricks contenía una vulnerabilidad en su ruta REST bricks/v1/render_element, que permitía la ejecución de código PHP sin autenticación, debido a controles de permisos débiles y un nonce fácilmente expuesto. El fallo fue corregido en la versión 1.9.6.1 y desde entonces se han bloqueado varios cientos de intentos de explotación.
El popular plugin de donaciones GiveWP, con más de 100.000 instalaciones activas, sufría una vulnerabilidad crítica por deserialización insegura de parámetros como give_ y card_, lo que podía derivar en la ejecución remota de código. El problema fue corregido en la versión 3.16.2. Patchstack ha bloqueado centenares de intentos de explotación desde la detección de esta amenaza.
Aunque los intentos de explotación no siempre concluyen en una intrusión exitosa —gracias en parte a sistemas de defensa como el de Patchstack—, muchos sitios siguen siendo vulnerables debido a la falta de mantenimiento proactivo. En palabras del informe:
“Muchos sitios WordPress permanecen expuestos largo tiempo después de que se divulguen las vulnerabilidades, simplemente porque las actualizaciones se retrasan o se ignoran.”
El uso de parches virtuales (vPatches), como los aplicados por Patchstack, permite bloquear ataques en tiempo real antes de que los desarrolladores de los plugins publiquen actualizaciones oficiales. Esta protección se extiende incluso a archivos PHP independientes fuera del entorno WordPress, una nueva función actualmente en fase beta.
Patchstack recuerda que una buena estrategia de seguridad en WordPress debe incluir:
El ecosistema WordPress sigue siendo un objetivo atractivo para los ciberdelincuentes, y los ataques a complementos y temas mal protegidos continúan creciendo. Las cifras del primer trimestre de 2025 reflejan una realidad clara: la falta de parches y de medidas preventivas sigue siendo el eslabón más débil en la seguridad web.
Para estar protegido, no basta con confiar en las actualizaciones: se necesita una estrategia de ciberseguridad proactiva, herramientas especializadas y una cultura de mantenimiento continuo.
