Ataques masivos a WordPress: ciberdelincuentes explotan plugins desactualizados para ejecutar código remoto

Una campaña de ciberataques masiva está poniendo en riesgo a miles de sitios de WordPress, mediante la explotación de vulnerabilidades críticas en los plugins GutenKit y Hunk Companion.

Los atacantes aprovechan fallos antiguos que permiten la ejecución remota de código, comprometiendo la seguridad de los sitios web y los datos de sus usuarios.

Según datos de Wordfence, en apenas dos días se bloquearon 8,7 millones de intentos de ataque contra sus clientes.

Entre las vulnerabilidades explotadas se encuentra CVE-2024-9234, presente en GutenKit 2.1.0 y versiones anteriores, que permite instalar plugins arbitrarios sin autenticación en instalaciones activas. 

WordPress lanza una IA para crear páginas web en segundos, y es gratis

Las otras dos vulnerabilidades, CVE-2024-9707 y CVE-2024-11972, afectan al endpoint themehunk-import del plugin Hunk Companion (versiones 1.8.4 y anteriores), posibilitando también la instalación no autorizada de plugins.

Aunque los desarrolladores publicaron parches hace meses para corregir estos errores, muchas páginas web continúan usando versiones vulnerables, lo que facilita a los atacantes tomar el control de los sitios, robar información o mantener persistencia para futuros ataques.

Se ha detectado que los cibercriminales alojan en GitHub un plugin malicioso en formato ZIP que contiene scripts ofuscados capaces de subir, descargar y eliminar archivos, cambiar permisos y obtener acceso administrativo automático.

Los expertos recomiendan que los administradores de sitios WordPress mantengan todos los plugins actualizados, tanto los activos como los inactivos. Además, deben revisar los registros de acceso en busca de solicitudes sospechosas y directorios irregulares que puedan indicar la presencia de software malicioso.

La recomendación es clara y es que los plugins desactualizados representan una puerta de entrada para los ciberdelincuentes. Por eso, todos los propietarios de sitios web deben actualizar sus plugins de inmediato para proteger sus páginas.

Conoce cómo trabajamos en ComputerHoy.

Etiquetas: ciberdelincuentes

¿Tú qué opinas? Cuéntalo aquí:

Hot this week

Hoy es jueves 9 de julio del 2026

https://resources.diariolibre.com/images/2026/07/03/hoy-es-jueves-9-de-julio-del-2026-eb370a9b.png2014. La República Dominicana y Haití reanudan el diálogo...

¡Qué ‘vaina’ pasó en La Romana! Detalles del ‘accidente aéreo’

La reciente tragedia aérea en el Aeropuerto Internacional de...

¡Qué ‘Bacano’! El Matrimonio ‘Doble’ de Gemelos y Gemelas que Enamoró a Nigeria

¡Mi gente, prepárense para una historia que está más...

El CMD no está en ‘vaina’ con el Código Penal: ¡Propuesta a la vista!

¡Klk, mi gente! Aquí estamos de nuevo con una...

¡Este Mundial está ‘Bacano’! Las Estrellas Ponen La Vaina Picante en Cuartos

¡Pero qué vaina más chula se ha puesto este...

Temas

Hoy es jueves 9 de julio del 2026

https://resources.diariolibre.com/images/2026/07/03/hoy-es-jueves-9-de-julio-del-2026-eb370a9b.png2014. La República Dominicana y Haití reanudan el diálogo...

¡Qué ‘vaina’ pasó en La Romana! Detalles del ‘accidente aéreo’

La reciente tragedia aérea en el Aeropuerto Internacional de...

El CMD no está en ‘vaina’ con el Código Penal: ¡Propuesta a la vista!

¡Klk, mi gente! Aquí estamos de nuevo con una...

Bad Bunny y el ‘palo’ del Super Bowl: ¡Récord de nominaciones al Emmy!

¡Pero qué vaina más chula! Nuestro Benito, Bad Bunny,...

Will y Jada: ¡De Vuelta al ‘Coro’ de Su Amor!

¡Pero mira qué ‘vaina’ ha soltado el patio! Prepárense,...
spot_img

Related Articles

Categorias Populares

spot_imgspot_img