Un nuevo informe arroja luz sobre las vulnerabilidades de plugins de WordPress más atacadas por los hackers durante el primer trimestre de 2025 para comprometer sitios web.

Las cuatro vulnerabilidades se descubrieron y solucionaron en 2024, pero en muchos casos siguen sin parchearse, lo que permite a los hackers ejecutar código arbitrario o extraer datos confidenciales.

Entre las cuatro vulnerabilidades, todas de gravedad crítica, hay dos que se han reportado como explotadas activamente por primera vez.

Según un nuevo informe de Patchstack, las cuatro vulnerabilidades que recibieron más intentos de explotación son:

CVE-2024-27956: Una falla crítica de inyección SQL en el plugin automático de WordPress (con más de 40 000 instalaciones) permitía a atacantes no autenticados ejecutar SQL arbitrario mediante el parámetro POST de autenticación en la función de exportación CSV. Wallarm reportó por primera vez la explotación activa de esta falla en mayo de 2024. Patchstack afirma que su parche virtual ha bloqueado más de 6500 ataques en lo que va de año (corregido en la versión 3.92.1).
CVE-2024-4345: El plugin Startklar Elementor Addons (con más de 5000 instalaciones) sufría una vulnerabilidad de carga de archivos no autenticados debido a la falta de validación del tipo de archivo. Los atacantes podían cargar archivos ejecutables y tomar el control de los sitios web. Patchstack bloqueó dichas cargas, deteniendo miles de intentos. (corregido en la versión 1.7.14)
CVE-2024-25600: Una falla de ejecución remota de código en el tema Bricks (con más de 30 000 instalaciones) permitía la ejecución de código PHP no autenticado a través de la ruta REST bricks/v1/render_element. Las comprobaciones de permisos deficientes y un nonce expuesto permitieron el ataque. Los primeros indicios de explotación activa fueron detectados por Patchstack y Wordfence en febrero de 2024. El primero informa que ha bloqueado cientos de intentos de uso no autorizado de la ruta problemática. (corregido en la versión 1.9.6.1)
CVE-2024-8353: El plugin GiveWP (con más de 100 000 instalaciones) era vulnerable a la inyección de objetos PHP mediante la deserialización insegura de parámetros de donación como give_ y card_. Esto podría provocar la toma de control total del sitio. Patchstack filtró patrones maliciosos y evitó cientos de intentos de vulneración. (corregido en la versión 3.16.2)

Es importante tener en cuenta que los intentos de explotación no siempre resultan en ataques exitosos, ya que muchas de estas sondas se bloquean antes de que causen daño o los exploits no logran el resultado deseado.

Sin embargo, dado que no todos los sitios web están protegidos por Patchstack u otros productos de seguridad web eficaces, las probabilidades de que los hackers encuentren condiciones más adecuadas para la explotación en el entorno de WordPress son significativas.

Los administradores y propietarios de sitios web deben aplicar las últimas actualizaciones de seguridad disponibles en todos los complementos y temas de WordPress y desactivar aquellos que no necesiten necesariamente.

Además, asegúrese de eliminar las cuentas inactivas y de que las cuentas de administrador estén protegidas con contraseñas seguras y autenticación multifactor.