Los piratas informáticos se dirigen a la falla crítica del tema de WordPress: cientos de sitios en riesgo de adquisición potencial, averigüe si está afectado

5 2 minutes read

Los piratas informáticos se dirigen a la falla crítica del tema de WordPress: cientos de sitios en riesgo de adquisición potencial, averigüe si está afectado

Algo-El tema de WordPress sin fines de lucro multipropósito de caridad tiene un defecto de 9.8/10
El error permite que los delincuentes creen cuentas de administración de pícaros
Más de 120,000 intentos de adquisición ya bloqueados

El “Algo-Tema de WordPress sin fines de lucro multipropósito de caridad”, un tema comercial utilizado en muchos WordPress Los sitios web contenían una vulnerabilidad crítica que permitía a los actores de amenazas asumir por completo el sitio web, advirtieron los expertos.

El Tema de WordPressdiseñado para organizaciones benéficas, ONG y campañas de recaudación de fondos, presenta más de 40 demostraciones listas para usar, integración de donaciones y compatibilidad con Elementor y Wpbakery.

Según Themetix, alrededor de 200 sitios activos de WordPress están ejecutando este tema hoy.

Ataques continuos

Los investigadores de Wordfence afirman que la explotación comenzó el 12 de julio, dos días antes de que se revelara públicamente la vulnerabilidad. Hasta ahora, la compañía bloqueó más de 120,000 intentos de explotación de casi una docena de direcciones IP diferentes.

En los ataques, los actores de amenaza intentan cargar un archivo zip con una puerta trasera basada en PHP que les otorga capacidades de ejecución de código remoto, así como la capacidad de cargar archivos arbitrarios. Crooks también usó el defecto para entregar puertas de backs que pueden crear cuentas de administración adicionales.

Todas las versiones de hasta 7.8.3 contenían una vulnerabilidad que permitía a los actores de amenaza cargar archivos arbitrarios, incluido el malware que puede crear cuentas de administración. De esa manera, los delincuentes pueden hacerse cargo de los sitios web y usarlos para alojar otros malware, redirigir a los visitantes a otras páginas maliciosas, servir páginas de destino de phishing y más.

La vulnerabilidad ahora se rastrea como CVE-2025-4394, y tiene una puntuación de gravedad de 9.8/10 (crítico). Se abordó en la versión 7.8.5, que se lanzó el 16 de junio de 2025. Si está utilizando este tema, sería aconsejable actualizarlo lo antes posible, ya que el error se está explotando activamente en la naturaleza.

WordPress generalmente se considera un seguro creador de sitios web Plataforma, pero temas y complementos de terceros, no tanto. Es por eso que los profesionales de seguridad aconsejan a los usuarios de WordPress que solo mantengan los complementos y los temas que usan activamente, y que se aseguren de que siempre estén actualizados.

A través de Las noticias del hacker