El pasado 12 de enero de 2026, investigadores de seguridad identificaron una vulnerabilidad de subida arbitraria de archivos en el popular plugin de WordPress WPvivid Backup, instalado en más de 800 000 sitios activos. Esta falla permitía a actores no autenticados subir archivos maliciosos y potencialmente ejecutar código remoto en servidores comprometidos, abriendo la puerta a una toma total de control del sitio.
La vulnerabilidad solo afectaba a configuraciones donde el usuario había generado una clave activa para permitir que otro sitio enviara copias de seguridad —una funcionalidad desactivada por defecto. Aun así, su explotación era crítica: un atacante podía subir un archivo PHP y ejecutarlo después, aprovechando la falta de validación de tipos de archivo y errores en el proceso de descifrado.
El hallazgo fue reportado responsablemente por el investigador Lucas Montes (NiRoX) a través del programa de recompensas de Wordfence, que pagó 2 145 USD por este descubrimiento.
🛠️ Respuesta del equipo de desarrollo y parche
El equipo de WPvivid actuó con rapidez: el 28 de enero de 2026 publicaron la versión 0.9.124, que corrige la vulnerabilidad añadiendo:
- Validación del valor de la clave para evitar descifrado inseguro.
- Restricción de extensiones permitidas al subir archivos, limitándolas a formatos legítimos de copia de seguridad (.zip, .gz, .tar, .sql).
📌 Recomendaciones prácticas
- Actualiza inmediatamente WPvivid Backup a la versión 0.9.124 o superior si lo usas.
- Si no necesitas la funcionalidad de recepción de copias desde otros sitios, deja deshabilitada esa opción.
- Considera soluciones de seguridad adicionales con firewall activo —por ejemplo, reglas específicas que ya están disponibles para usuarios de seguridad avanzada desde el 22 de enero de 2026.
Este caso recalca una lección clave para administradores de WordPress: incluso plugins ampliamente usados pueden esconder vectores de ataque críticos. Mantener el software actualizado y aplicar buenas prácticas de seguridad no es negociable.