{"id":128026,"date":"2025-01-13T00:58:30","date_gmt":"2025-01-12T22:58:30","guid":{"rendered":"https:\/\/quondos.com\/mag\/?p=128026"},"modified":"2025-01-13T00:58:33","modified_gmt":"2025-01-12T22:58:33","slug":"vulnerabilidad-en-updraftplus-wordpress-backup-plugin-pone-en-riesgo-millones-de-sitios","status":"publish","type":"post","link":"https:\/\/quondos.com\/mag\/vulnerabilidad-en-updraftplus-wordpress-backup-plugin-pone-en-riesgo-millones-de-sitios\/","title":{"rendered":"Vulnerabilidad en UpdraftPlus: WordPress Backup Plugin pone en riesgo millones de sitios"},"content":{"rendered":"\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"800\" height=\"400\" src=\"https:\/\/quondos.com\/mag\/wp-content\/uploads\/2023\/05\/wordpress-6.2.1-la-lia-shortcodes.jpg\" alt=\"wordpress 6.2.1 la lia shortcodes\" class=\"wp-image-124496\" title=\"\" srcset=\"https:\/\/quondos.com\/mag\/wp-content\/uploads\/2023\/05\/wordpress-6.2.1-la-lia-shortcodes.jpg 800w, https:\/\/quondos.com\/mag\/wp-content\/uploads\/2023\/05\/wordpress-6.2.1-la-lia-shortcodes-300x150.jpg 300w, https:\/\/quondos.com\/mag\/wp-content\/uploads\/2023\/05\/wordpress-6.2.1-la-lia-shortcodes-768x384.jpg 768w\" sizes=\"auto, (max-width: 800px) 100vw, 800px\" \/><\/figure>\n\n\n\n<p><strong>Una vulnerabilidad en un popular WordPress backup plugin<\/strong> est\u00e1 causando revuelo entre administradores de sitios web. Seg\u00fan informes, el problema afecta a UpdraftPlus, una herramienta utilizada por m\u00e1s de tres millones de p\u00e1ginas para respaldar y migrar contenido. Con una calificaci\u00f3n de 8.8 sobre 10 en severidad, la falla podr\u00eda permitir ataques no autenticados, obligando a quienes dependen de este recurso a tomar medidas inmediatas de seguridad. Aqu\u00ed te contamos todos los detalles.<\/p>\n\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_76 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">\u00cdndice de contenidos<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Alternar tabla de contenidos\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/quondos.com\/mag\/vulnerabilidad-en-updraftplus-wordpress-backup-plugin-pone-en-riesgo-millones-de-sitios\/#UpdraftPlus_y_su_importancia_en_WordPress\" >UpdraftPlus y su importancia en WordPress<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/quondos.com\/mag\/vulnerabilidad-en-updraftplus-wordpress-backup-plugin-pone-en-riesgo-millones-de-sitios\/#La_gravedad_del_fallo_descubierta_por_Wordfence\" >La gravedad del fallo descubierta por Wordfence<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/quondos.com\/mag\/vulnerabilidad-en-updraftplus-wordpress-backup-plugin-pone-en-riesgo-millones-de-sitios\/#Postura_oficial_de_UpdraftPlus_y_detalles_del_parche\" >Postura oficial de UpdraftPlus y detalles del parche<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/quondos.com\/mag\/vulnerabilidad-en-updraftplus-wordpress-backup-plugin-pone-en-riesgo-millones-de-sitios\/#Impacto_en_mas_de_tres_millones_de_sitios\" >Impacto en m\u00e1s de tres millones de sitios<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/quondos.com\/mag\/vulnerabilidad-en-updraftplus-wordpress-backup-plugin-pone-en-riesgo-millones-de-sitios\/#Recomendaciones_generales_y_conclusiones\" >Recomendaciones generales y conclusiones<\/a><\/li><\/ul><\/nav><\/div>\n<h2><span class=\"ez-toc-section\" id=\"UpdraftPlus_y_su_importancia_en_WordPress\"><\/span>UpdraftPlus y su importancia en WordPress<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>El <strong>plugin UpdraftPlus<\/strong> se ha convertido en una soluci\u00f3n muy popular para realizar copias de seguridad de sitios en WordPress. Esta herramienta ofrece la capacidad de programar respaldos autom\u00e1ticos, guardar archivos en la nube y hasta recibir copias v\u00eda correo electr\u00f3nico. Adem\u00e1s, la opci\u00f3n de migrar contenido a otro servidor lo ha posicionado como un aliado valioso en casos de fallos catastr\u00f3ficos.<\/p>\n\n<p>Seg\u00fan la fuente, la versi\u00f3n gratuita y la de pago comparten el mismo n\u00facleo, por lo que ambas se ven afectadas por el problema. De no aplicar la actualizaci\u00f3n correspondiente, la vulnerabilidad permitir\u00eda a atacantes sin autenticarse inyectar objetos PHP que podr\u00edan, en el peor de los casos, <strong>borrar archivos o ejecutar c\u00f3digo<\/strong> si se combina con otras brechas en temas o plugins instalados.<\/p>\n\n<h2><span class=\"ez-toc-section\" id=\"La_gravedad_del_fallo_descubierta_por_Wordfence\"><\/span>La gravedad del fallo descubierta por Wordfence<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>De acuerdo con <a href=\"https:\/\/www.wordfence.com\" target=\"_blank\" rel=\"noopener\"><strong>Wordfence<\/strong><\/a>, el fallo surge a causa de la deserializaci\u00f3n insegura de datos en la funci\u00f3n \u2018recursive_unserialized_replace\u2019. Esto se convierte en un vector de ataque significativo, pues permite a actores malintencionados inyectar un <strong>PHP Object<\/strong> para manipular partes cr\u00edticas del sitio. Aunque no existe un POP chain identificada en UpdraftPlus, la presencia de otro plugin vulnerable podr\u00eda facilitar actividades m\u00e1s graves.<\/p>\n\n<p>Otro dato interesante es la forma de activar el exploit. Seg\u00fan la nota de prensa, un administrador debe realizar una <strong>acci\u00f3n de b\u00fasqueda y reemplazo<\/strong> para que el ataque se dispare. Sin embargo, la mayor\u00eda de usuarios realizan estas funciones con relativa frecuencia para cambios masivos en la base de datos o para clonar sitios, lo cual aumenta el potencial de riesgo.<\/p>\n\n<h2><span class=\"ez-toc-section\" id=\"Postura_oficial_de_UpdraftPlus_y_detalles_del_parche\"><\/span>Postura oficial de UpdraftPlus y detalles del parche<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>El equipo responsable del plugin public\u00f3 un registro de cambios en el que catalogan la correcci\u00f3n como un simple \u201c<strong>tweak<\/strong>\u201d, minimizando la gravedad del fallo. Sin embargo, seg\u00fan la fuente, se trata de un ajuste cr\u00edtico que elimina el uso de la funci\u00f3n <em>unserialize()<\/em> en la medida de lo posible, cerrando as\u00ed la principal puerta de entrada para la inyecci\u00f3n de objetos no autorizados.<\/p>\n\n<p>UpdraftPlus insta a la comunidad a actualizar cuanto antes a la versi\u00f3n <strong>1.24.12<\/strong>, ya que todas las anteriores (hasta la 1.24.11) son vulnerables. Quienes operen con p\u00e1ginas WordPress har\u00edan bien en revisar su panel de plugins y, de ser necesario, <a href=\"https:\/\/wordpress.org\/plugins\/updraftplus\/\" target=\"_blank\" rel=\"noopener\"><strong>descargar la \u00faltima actualizaci\u00f3n<\/strong><\/a> para protegerse. Este paso es fundamental para mantener la integridad de los respaldos y la seguridad de los datos.<\/p>\n\n<h2><span class=\"ez-toc-section\" id=\"Impacto_en_mas_de_tres_millones_de_sitios\"><\/span>Impacto en m\u00e1s de tres millones de sitios<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>El <strong>plugin UpdraftPlus<\/strong> se encuentra instalado en m\u00e1s de 3 millones de sitios, lo que demuestra su popularidad y tambi\u00e9n la magnitud del peligro. Muchos administradores conf\u00edan en sus copias de seguridad autom\u00e1ticas para recuperar sitios en caso de emergencias. La posibilidad de que un atacante explote la deserializaci\u00f3n de datos a\u00f1ade una capa de preocupaci\u00f3n, sobre todo para sitios que manejan informaci\u00f3n sensible.<\/p>\n\n<p>Seg\u00fan la fuente, el problema podr\u00eda agravarse si las copias de seguridad se transfieren a otros servidores que tambi\u00e9n tengan configuraciones inseguras. Incluso, se menciona el riesgo de que el c\u00f3digo inyectado se mantenga latente hasta que un administrador realice la acci\u00f3n espec\u00edfica de clonaci\u00f3n o migraci\u00f3n, momento en que se activar\u00eda el exploit para ejecutar \u00f3rdenes maliciosas.<\/p>\n\n<h2><span class=\"ez-toc-section\" id=\"Recomendaciones_generales_y_conclusiones\"><\/span>Recomendaciones generales y conclusiones<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Adem\u00e1s de <strong>actualizar el plugin<\/strong>, especialistas recomiendan revisar todas las extensiones instaladas en los sitios WordPress para detectar cualquier posible punto d\u00e9bil adicional. Mantener la plataforma y sus complementos al d\u00eda, as\u00ed como efectuar an\u00e1lisis de seguridad peri\u00f3dicos, resulta vital en un entorno donde las amenazas evolucionan con rapidez.<\/p>\n\n<p>En conclusi\u00f3n, <strong>UpdraftPlus<\/strong> sigue siendo una herramienta valiosa para copias de seguridad y migraciones. No obstante, la vulnerabilidad recientemente detectada evidencia la importancia de la ciberseguridad en entornos WordPress. Si te preocupa la integridad de tu sitio, revisa la versi\u00f3n que utilizas y considera actualizar de inmediato para evitar sorpresas desagradables. Como siempre, la prevenci\u00f3n es la mejor aliada para mantener un entorno confiable.<\/p>\n\n\n\n\n<p>Fuente: https:\/\/www.searchenginejournal.com\/wordpress-backup-plugin-vulnerability-affects-3-million-sites\/536693\/<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Una vulnerabilidad en un popular WordPress backup plugin est\u00e1 causando revuelo entre administradores de sitios web. Seg\u00fan informes, el problema &#8230; <\/p>\n<p class=\"read-more-container\"><a title=\"Vulnerabilidad en UpdraftPlus: WordPress Backup Plugin pone en riesgo millones de sitios\" class=\"read-more button\" href=\"https:\/\/quondos.com\/mag\/vulnerabilidad-en-updraftplus-wordpress-backup-plugin-pone-en-riesgo-millones-de-sitios\/#more-128026\" aria-label=\"Leer m\u00e1s sobre Vulnerabilidad en UpdraftPlus: WordPress Backup Plugin pone en riesgo millones de sitios\">Leer m\u00e1s<\/a><\/p>\n","protected":false},"author":850,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[44],"tags":[],"class_list":["post-128026","post","type-post","status-publish","format-standard","hentry","category-herramientas","generate-columns","tablet-grid-50","mobile-grid-100","grid-parent","grid-50","no-featured-image-padding"],"_links":{"self":[{"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/posts\/128026","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/users\/850"}],"replies":[{"embeddable":true,"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/comments?post=128026"}],"version-history":[{"count":1,"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/posts\/128026\/revisions"}],"predecessor-version":[{"id":128027,"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/posts\/128026\/revisions\/128027"}],"wp:attachment":[{"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/media?parent=128026"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/categories?post=128026"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/tags?post=128026"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}