{"id":129697,"date":"2025-10-15T08:55:01","date_gmt":"2025-10-15T06:55:01","guid":{"rendered":"https:\/\/quondos.com\/mag\/?p=129697"},"modified":"2025-10-15T08:55:02","modified_gmt":"2025-10-15T06:55:02","slug":"vulnerabilidad-en-wpbakery-permite-inyeccion-de-codigo-actualiza-a-8-7","status":"publish","type":"post","link":"https:\/\/quondos.com\/mag\/vulnerabilidad-en-wpbakery-permite-inyeccion-de-codigo-actualiza-a-8-7\/","title":{"rendered":"Vulnerabilidad en WPBakery permite inyecci\u00f3n de c\u00f3digo: actualiza a 8.7"},"content":{"rendered":"\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"654\" src=\"https:\/\/quondos.com\/mag\/wp-content\/uploads\/2023\/05\/wordpress-1024x654.jpg\" alt=\"\" class=\"wp-image-124491\" title=\"\" srcset=\"https:\/\/quondos.com\/mag\/wp-content\/uploads\/2023\/05\/wordpress-1024x654.jpg 1024w, https:\/\/quondos.com\/mag\/wp-content\/uploads\/2023\/05\/wordpress-300x191.jpg 300w, https:\/\/quondos.com\/mag\/wp-content\/uploads\/2023\/05\/wordpress-768x490.jpg 768w, https:\/\/quondos.com\/mag\/wp-content\/uploads\/2023\/05\/wordpress.jpg 1042w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p>Alerta en WordPress: una vulnerabilidad en <strong>WPBakery<\/strong> permite a atacantes inyectar c\u00f3digo que se ejecuta al visitar p\u00e1ginas afectadas, con impacto directo en seguridad y SEO del sitio.<\/p>\n<p>Si usas este page builder, toma medidas y consulta la secci\u00f3n <a href=\"#como-protegerte\"><strong>c\u00f3mo protegerte<\/strong><\/a> para agendar la actualizaci\u00f3n y mitigar riesgos cuanto antes.<\/p>\n\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_76 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">\u00cdndice de contenidos<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Alternar tabla de contenidos\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/quondos.com\/mag\/vulnerabilidad-en-wpbakery-permite-inyeccion-de-codigo-actualiza-a-8-7\/#WPBakery_permite_inyeccion_de_codigo_en_sitios_WordPress\" >WPBakery permite inyecci\u00f3n de c\u00f3digo en sitios WordPress<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/quondos.com\/mag\/vulnerabilidad-en-wpbakery-permite-inyeccion-de-codigo-actualiza-a-8-7\/#Como_funciona_la_falla_y_por_que_importa\" >C\u00f3mo funciona la falla y por qu\u00e9 importa<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/quondos.com\/mag\/vulnerabilidad-en-wpbakery-permite-inyeccion-de-codigo-actualiza-a-8-7\/#Versiones_afectadas_y_actualizacion_disponible\" >Versiones afectadas y actualizaci\u00f3n disponible<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/quondos.com\/mag\/vulnerabilidad-en-wpbakery-permite-inyeccion-de-codigo-actualiza-a-8-7\/#Impacto_en_SEO_y_experiencia_de_usuario\" >Impacto en SEO y experiencia de usuario<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/quondos.com\/mag\/vulnerabilidad-en-wpbakery-permite-inyeccion-de-codigo-actualiza-a-8-7\/#Que_hacer_ahora_para_proteger_tu_web\" >Qu\u00e9 hacer ahora para proteger tu web<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/quondos.com\/mag\/vulnerabilidad-en-wpbakery-permite-inyeccion-de-codigo-actualiza-a-8-7\/#Ojo_con_los_temas_que_lo_traen_incluido\" >Ojo con los temas que lo traen incluido<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/quondos.com\/mag\/vulnerabilidad-en-wpbakery-permite-inyeccion-de-codigo-actualiza-a-8-7\/#Pasos_siguientes_para_editores_y_agencias\" >Pasos siguientes para editores y agencias<\/a><\/li><\/ul><\/nav><\/div>\n<h2 id=\"que-ha-pasado\"><span class=\"ez-toc-section\" id=\"WPBakery_permite_inyeccion_de_codigo_en_sitios_WordPress\"><\/span>WPBakery permite inyecci\u00f3n de c\u00f3digo en sitios WordPress<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Seg\u00fan la fuente, se emiti\u00f3 un aviso para <strong>WPBakery<\/strong>, un plugin muy usado y frecuentemente incluido en temas premium de WordPress por desarrolladores de themes.<\/p>\n<p>La vulnerabilidad habilita a atacantes autenticados a inyectar scripts que se ejecutan cuando alguien visita una p\u00e1gina comprometida, lo que agrava el riesgo para visitantes y administradores <strong>del sitio<\/strong>.<\/p>\n<p>El problema se localiza en el m\u00f3dulo <strong>Custom JS<\/strong>, donde hay una sanitizaci\u00f3n de entrada insuficiente y falta de escape de salida, abriendo la puerta a ataques tipo XSS almacenado.<\/p>\n\n<h2 id=\"como-funciona\"><span class=\"ez-toc-section\" id=\"Como_funciona_la_falla_y_por_que_importa\"><\/span>C\u00f3mo funciona la falla y por qu\u00e9 importa<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>La sanitizaci\u00f3n de entrada deber\u00eda filtrar datos del usuario antes de guardarlos, pero aqu\u00ed es insuficiente, seg\u00fan informes, facilitando que se cuele <strong>c\u00f3digo malicioso<\/strong> en el sitio.<\/p>\n<p>El escape de salida convierte caracteres con significado HTML en salida segura; al faltar, el navegador podr\u00eda ejecutar <strong>scripts maliciosos<\/strong> incrustados en p\u00e1ginas o bloques del builder.<\/p>\n<p>Este vector permite XSS almacenado con credenciales de rol colaborador o superior, elevando el riesgo si hay cuentas comprometidas o flujos editorialmente abiertos a varios <strong>autores<\/strong>.<\/p>\n\n<h2 id=\"versiones-afectadas\"><span class=\"ez-toc-section\" id=\"Versiones_afectadas_y_actualizacion_disponible\"><\/span>Versiones afectadas y actualizaci\u00f3n disponible<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Seg\u00fan la fuente, quedan afectadas las versiones de WPBakery hasta la <strong>8.6.1<\/strong>, y se recomienda actualizar a la versi\u00f3n estable m\u00e1s reciente disponible, identificada como <strong>8.7<\/strong>.<\/p>\n<p>Como referencia de contexto, este a\u00f1o se document\u00f3 otra vulnerabilidad de XSS almacenado en la funci\u00f3n Grid Builder hasta la versi\u00f3n 8.4.1, seg\u00fan registros de <strong>INCIBE<\/strong> y NVD, lo que refuerza la necesidad de mantener el plugin al d\u00eda.<\/p>\n\n<h2 id=\"impacto-seo\"><span class=\"ez-toc-section\" id=\"Impacto_en_SEO_y_experiencia_de_usuario\"><\/span>Impacto en SEO y experiencia de usuario<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Un XSS puede inyectar redirecciones, spam o c\u00f3digo que degrade Core Web Vitals, da\u00f1ando la <strong>experiencia<\/strong> y la confianza del usuario en el sitio.<\/p>\n<p>Adem\u00e1s, el malware visible para rastreadores puede provocar advertencias, ca\u00eddas de tr\u00e1fico org\u00e1nico y problemas de indexaci\u00f3n, seg\u00fan la <strong>fuente<\/strong>.<\/p>\n<p>Mitigar r\u00e1pido reduce el riesgo de listas negras y protege conversiones, m\u00e9tricas de interacci\u00f3n y la reputaci\u00f3n del dominio en <strong>Google<\/strong>.<\/p>\n\n<h2 id=\"como-protegerte\"><span class=\"ez-toc-section\" id=\"Que_hacer_ahora_para_proteger_tu_web\"><\/span>Qu\u00e9 hacer ahora para proteger tu web<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Antes de aplicar cambios, realiza un backup y planifica una ventana de mantenimiento; luego, ejecuta la ruta de actualizaci\u00f3n segura del <strong>plugin<\/strong> hacia la versi\u00f3n recomendada.<\/p>\n<ul>\n<li>Actualiza WPBakery a la versi\u00f3n <strong>8.7<\/strong> y confirma que el tema no reintroduce una copia antigua incluida en su paquete.<\/li>\n<li>Revisa roles y permisos: limita colaborador\/autor solo a cuentas necesarias y aplica MFA para evitar accesos indebidos <strong>en el editor<\/strong>.<\/li>\n<li>Audita el uso de <strong>Custom JS<\/strong> en p\u00e1ginas creadas con WPBakery y elimina fragmentos no verificados.<\/li>\n<li>Activa reglas de WAF y monitoriza cambios en archivos para detectar inyecciones y comportamientos an\u00f3malos <strong>temprano<\/strong>.<\/li>\n<li>Si tu theme incluye WPBakery, valida que el proveedor haya actualizado su paquete y no bloquee la <strong>versi\u00f3n<\/strong> nueva.<\/li>\n<\/ul>\n<p>Consulta nuestra gu\u00eda interna sobre <a href=\"\/guias\/actualizar-plugins\"><strong>actualizar plugins<\/strong><\/a> y la secci\u00f3n de <a href=\"\/wordpress\/seguridad\"><strong>seguridad WordPress<\/strong><\/a> para checklist y buenas pr\u00e1cticas continuas.<\/p>\n\n<h2 id=\"temas-incluidos\"><span class=\"ez-toc-section\" id=\"Ojo_con_los_temas_que_lo_traen_incluido\"><\/span>Ojo con los temas que lo traen incluido<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>WPBakery suele venir empaquetado en temas premium, y la actualizaci\u00f3n puede depender de que el autor del tema publique el paquete renovado, seg\u00fan la <strong>fuente<\/strong>.<\/p>\n<p>An\u00e1lisis independientes se\u00f1alan que algunos autores de themes tardan en liberar builds con el plugin actualizado, por lo que conviene vigilar el canal del proveedor y aplicar parches con <strong>diligencia<\/strong>.<\/p>\n\n<h2 id=\"pasos-siguientes\"><span class=\"ez-toc-section\" id=\"Pasos_siguientes_para_editores_y_agencias\"><\/span>Pasos siguientes para editores y agencias<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Elabora un inventario de sitios con <strong>WPBakery<\/strong>, prioriza los que aceptan contenidos de colaboradores y crea un plan de despliegue por olas para minimizar riesgo.<\/p>\n<p>Tras actualizar, monitoriza logs, Search Console y anal\u00edtica para detectar redirecciones, alertas o cambios an\u00f3malos en engagement, reforzando <strong>controles<\/strong> de acceso.<\/p>\n<p>Incluye esta incidencia en tu runbook de respuesta ante vulnerabilidades de <a href=\"\/wordpress\/seguridad\"><strong>WordPress<\/strong><\/a> y programa revisiones trimestrales de plugins cr\u00edticos del stack editorial.<\/p>\n\n\n\n<p>Fuente: https:\/\/www.searchenginejournal.com\/wp-bakery-wordpress-vulnerability-2\/558261\/<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Alerta en WordPress: una vulnerabilidad en WPBakery permite a atacantes inyectar c\u00f3digo que se ejecuta al visitar p\u00e1ginas afectadas, con &#8230; <\/p>\n<p class=\"read-more-container\"><a title=\"Vulnerabilidad en WPBakery permite inyecci\u00f3n de c\u00f3digo: actualiza a 8.7\" class=\"read-more button\" href=\"https:\/\/quondos.com\/mag\/vulnerabilidad-en-wpbakery-permite-inyeccion-de-codigo-actualiza-a-8-7\/#more-129697\" aria-label=\"Leer m\u00e1s sobre Vulnerabilidad en WPBakery permite inyecci\u00f3n de c\u00f3digo: actualiza a 8.7\">Leer m\u00e1s<\/a><\/p>\n","protected":false},"author":850,"featured_media":124491,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[163],"tags":[],"class_list":["post-129697","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-diseno-web","generate-columns","tablet-grid-50","mobile-grid-100","grid-parent","grid-50","no-featured-image-padding"],"_links":{"self":[{"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/posts\/129697","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/users\/850"}],"replies":[{"embeddable":true,"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/comments?post=129697"}],"version-history":[{"count":1,"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/posts\/129697\/revisions"}],"predecessor-version":[{"id":129698,"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/posts\/129697\/revisions\/129698"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/media\/124491"}],"wp:attachment":[{"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/media?parent=129697"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/categories?post=129697"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/tags?post=129697"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}