Un plugin de seguridad expone datos sensibles en más de 100.000 sitios de WordPress

Una grave vulnerabilidad detectada en el plugin Anti-Malware Security and Brute-Force Firewall ha puesto en riesgo la seguridad de más de 100.000 páginas web que utilizan WordPress, al permitir que usuarios con permisos de suscriptor accedan a información crítica del servidor, como credenciales de base de datos y claves criptográficas.

La vulnerabilidad ha sido catalogada como CVE-2025-11705, y corresponde a un fallo de lectura arbitraria de archivos, lo que significa que un atacante con acceso básico al sitio puede leer archivos sensibles sin autorización.

¿Qué tan graves es?

Según el informe publicado por Wordfence, empresa especializada en seguridad para WordPress, el fallo permite extraer información crítica como:

• Credenciales de base de datos
• Claves de autenticación y “sales” criptográficas
• Archivos de configuración del sitio (como wp-config.php)

La vulnerabilidad fue descubierta por el investigador Dmitrii Ignatyev , y notificada a través del Programa de Recompensas por Errores de Wordfence. La empresa desarrolladora del complemento publicó un parche el 11 de octubre, correspondiente a la versión 4.23.83 , que soluciona el problema.

¿Qué deben hacer los administradores de sitios?

Desde Wordfence instantáneo a los usuarios a:

• Verificar la versión instalada del complemento
• Actualizar de inmediato a la versión 4.23.83 o posterior
• Revisar los registros de actividad reciente en su sitio
• Considere el cambio de credenciales y claves si hubo accesos no autorizados Con información de Europa Press