Alerta en WordPress: una vulnerabilidad en WPBakery permite a atacantes inyectar código que se ejecuta al visitar páginas afectadas, con impacto directo en seguridad y SEO del sitio.
Si usas este page builder, toma medidas y consulta la sección cómo protegerte para agendar la actualización y mitigar riesgos cuanto antes.
WPBakery permite inyección de código en sitios WordPress
Según la fuente, se emitió un aviso para WPBakery, un plugin muy usado y frecuentemente incluido en temas premium de WordPress por desarrolladores de themes.
La vulnerabilidad habilita a atacantes autenticados a inyectar scripts que se ejecutan cuando alguien visita una página comprometida, lo que agrava el riesgo para visitantes y administradores del sitio.
El problema se localiza en el módulo Custom JS, donde hay una sanitización de entrada insuficiente y falta de escape de salida, abriendo la puerta a ataques tipo XSS almacenado.
Cómo funciona la falla y por qué importa
La sanitización de entrada debería filtrar datos del usuario antes de guardarlos, pero aquí es insuficiente, según informes, facilitando que se cuele código malicioso en el sitio.
El escape de salida convierte caracteres con significado HTML en salida segura; al faltar, el navegador podría ejecutar scripts maliciosos incrustados en páginas o bloques del builder.
Este vector permite XSS almacenado con credenciales de rol colaborador o superior, elevando el riesgo si hay cuentas comprometidas o flujos editorialmente abiertos a varios autores.
Versiones afectadas y actualización disponible
Según la fuente, quedan afectadas las versiones de WPBakery hasta la 8.6.1, y se recomienda actualizar a la versión estable más reciente disponible, identificada como 8.7.
Como referencia de contexto, este año se documentó otra vulnerabilidad de XSS almacenado en la función Grid Builder hasta la versión 8.4.1, según registros de INCIBE y NVD, lo que refuerza la necesidad de mantener el plugin al día.
Impacto en SEO y experiencia de usuario
Un XSS puede inyectar redirecciones, spam o código que degrade Core Web Vitals, dañando la experiencia y la confianza del usuario en el sitio.
Además, el malware visible para rastreadores puede provocar advertencias, caídas de tráfico orgánico y problemas de indexación, según la fuente.
Mitigar rápido reduce el riesgo de listas negras y protege conversiones, métricas de interacción y la reputación del dominio en Google.
Qué hacer ahora para proteger tu web
Antes de aplicar cambios, realiza un backup y planifica una ventana de mantenimiento; luego, ejecuta la ruta de actualización segura del plugin hacia la versión recomendada.
- Actualiza WPBakery a la versión 8.7 y confirma que el tema no reintroduce una copia antigua incluida en su paquete.
- Revisa roles y permisos: limita colaborador/autor solo a cuentas necesarias y aplica MFA para evitar accesos indebidos en el editor.
- Audita el uso de Custom JS en páginas creadas con WPBakery y elimina fragmentos no verificados.
- Activa reglas de WAF y monitoriza cambios en archivos para detectar inyecciones y comportamientos anómalos temprano.
- Si tu theme incluye WPBakery, valida que el proveedor haya actualizado su paquete y no bloquee la versión nueva.
Consulta nuestra guía interna sobre actualizar plugins y la sección de seguridad WordPress para checklist y buenas prácticas continuas.
Ojo con los temas que lo traen incluido
WPBakery suele venir empaquetado en temas premium, y la actualización puede depender de que el autor del tema publique el paquete renovado, según la fuente.
Análisis independientes señalan que algunos autores de themes tardan en liberar builds con el plugin actualizado, por lo que conviene vigilar el canal del proveedor y aplicar parches con diligencia.
Pasos siguientes para editores y agencias
Elabora un inventario de sitios con WPBakery, prioriza los que aceptan contenidos de colaboradores y crea un plan de despliegue por olas para minimizar riesgo.
Tras actualizar, monitoriza logs, Search Console y analítica para detectar redirecciones, alertas o cambios anómalos en engagement, reforzando controles de acceso.
Incluye esta incidencia en tu runbook de respuesta ante vulnerabilidades de WordPress y programa revisiones trimestrales de plugins críticos del stack editorial.
Fuente: https://www.searchenginejournal.com/wp-bakery-wordpress-vulnerability-2/558261/