Cien mil sitios de WordPress en peligro por una vulnerabilidad de lectura de archivos en el plugin Anti-Malware Security y Firewall contra Fuerza Bruta.

100.000 sitios WordPress expuestos: cuando el plugin de seguridad se convierte en el vector de ataque

Hay ironías que solo la tecnología es capaz de producir. Una de las más peligrosas es esta: un plugin de seguridad que introduce una vulnerabilidad crítica. Y no hablamos de un plugin marginal, sino de Anti-Malware Security and Brute-Force Firewall, con más de 100.000 instalaciones activas.

La vulnerabilidad detectada en octubre de 2025 permite a cualquier usuario autenticado con rol de suscriptor o superior leer archivos arbitrarios del servidor. Traducido a lenguaje de negocio: basta con que alguien tenga una cuenta mínima para acceder potencialmente a wp-config.php, credenciales de base de datos, claves de seguridad o archivos internos sensibles.

En Zonsai no vemos esto como “un bug más”. Lo vemos como una señal estructural de algo mucho más profundo: la falsa sensación de seguridad que domina gran parte del ecosistema WordPress.

Qué ha pasado exactamente (sin maquillaje técnico)

La vulnerabilidad, registrada como CVE-2025-11705, se debe a una combinación letal pero habitual:

• Un endpoint AJAX accesible a usuarios autenticados.
• Un nonce que puede obtenerse sin demasiada fricción.
• Ausencia total de comprobaciones de capacidad (capability checks).

El resultado es sencillo: el plugin permitía leer cualquier archivo existente en el servidor siempre que el usuario estuviera logueado, incluso con el rol más bajo.

La paradoja es evidente: un plugin diseñado para proteger WordPress abría una vía directa al corazón del sistema.

La trampa habitual: “solo afecta a usuarios autenticados”

Uno de los argumentos más repetidos cuando aparecen este tipo de vulnerabilidades es: “no es tan grave, requiere login”. Ese razonamiento es profundamente ingenuo.

En la práctica, muchos sitios WordPress:

• Permiten registro público.
• Tienen usuarios antiguos olvidados.
• Usan formularios, membresías o integraciones externas.
• Arrastran cuentas comprometidas desde hace años.

Asumir que “solo los admins importan” es no entender cómo se explotan los sistemas reales. El atacante no necesita ser administrador, solo paciente.

El Impacto Real de una Vulnerabilidad de Lectura de Archivos en la Cuenta de Resultados

Desde fuera, leer archivos puede sonar menos grave que “ejecución remota de código”. Desde negocio, es exactamente lo contrario.

Una vulnerabilidad de lectura arbitraria permite:

• Acceder a credenciales de base de datos.
• Robar claves y salts de WordPress.
• Analizar la estructura interna del proyecto.
• Preparar ataques más sofisticados y persistentes.

Es decir: abre la puerta a un compromiso total, pero de forma silenciosa. No hay defacement. No hay caída del sitio. No hay alertas inmediatas.

El daño llega después:

• Filtraciones de datos.
• SEO comprometido.
• Backdoors instaladas semanas más tarde.
• Pérdida de confianza de clientes y partners.

Desde la cuenta de resultados, esto se traduce en riesgo legal, riesgo reputacional y costes de recuperación muy superiores a cualquier mantenimiento preventivo.

La advertencia es clara: las vulnerabilidades silenciosas son las más caras.

El patrón que se repite (y casi nadie quiere ver)

Este caso no es excepcional. Es un patrón.

Plugins complejos que:

• Hacen demasiadas cosas.
• Gestionan lógica sensible.
• Exponen endpoints internos.
• Confían en nonces como única barrera.

Cuando además hablamos de plugins de seguridad, el riesgo se multiplica. Porque se les concede más permisos, más confianza y más acceso.

El problema no es el desarrollador concreto. El problema es un ecosistema donde se asume que instalar un plugin equivale a delegar responsabilidad. Y no es así.

Actualizar no es suficiente (aunque sea imprescindible)

El plugin fue parcheado rápidamente en la versión 4.23.83, añadiendo las comprobaciones de capacidad que nunca debieron faltar. Eso está bien. Pero no es el final de la historia.

Porque la pregunta real es otra:

¿Cuántos sitios no se actualizarán?

La experiencia nos dice que muchos. Y ahí es donde los atacantes ganan.

Además, incluso en sitios actualizados, queda la duda incómoda: ¿alguien explotó esta vulnerabilidad antes del parche? Leer archivos no deja huellas evidentes.

Nuestro Enfoque como Partner Digital: La Aplicación Zonsai

En Zonsai tratamos la seguridad WordPress como un problema de arquitectura y gobierno tecnológico, no como una lista de plugins “recomendados”.

Cuando trabajamos con plataformas WordPress en entornos reales de negocio:

• Auditamos permisos y roles con mentalidad de riesgo.
• Reducimos superficie de ataque eliminando plugins innecesarios.
• Revisamos endpoints, APIs y flujos internos.
• Diseñamos procesos de actualización, monitorización y respuesta.

Porque la seguridad no falla por un bug puntual. Falla cuando no hay nadie tomando decisiones técnicas con visión de negocio.

Este tipo de vulnerabilidades refuerzan una idea que vemos una y otra vez: WordPress es potente, flexible y escalable… pero solo cuando se gobierna como una plataforma, no como un CMS improvisado.

Un plugin de seguridad no sustituye una estrategia de seguridad. Y esa estrategia es exactamente lo que construimos cuando actuamos como Partner Digital, alineando tecnología, riesgo y negocio desde el principio.

Fuente original / Contenido de referencia

Este artículo ha sido reescrito y potenciado mediante AI Feed Writer by Zonsai – Auto Feeds, Smart Content & AI, la solución de Zonsai para transformar avisos de seguridad en análisis estratégicos orientados a la toma de decisiones empresariales.