← Alertas
Otro Activa

Falla en plugin de WordPress permite crear cuentas de administrador sin contraseña

Se está explotando activamente una vulnerabilidad en el plugin WP Maps Pro que permite a cualquier atacante crear una cuenta de administrador en el sitio sin necesidad de autenticarse. Los sitios comprometidos quedan bajo control total del atacante.

2026-05-31 · BleepingComputer

Contexto

El plugin WP Maps Pro, una herramienta popular para insertar mapas interactivos en sitios web, contiene una vulnerabilidad crítica que está siendo explotada activamente. La falla permite que cualquier persona en internet cree una cuenta de administrador en un sitio WordPress sin necesitar ninguna credencial. Sin contraseña. Sin engaños. Solo un sitio con la versión vulnerable instalada.

WordPress es la plataforma que impulsa una parte enorme de los sitios web en México y América Latina: tiendas en línea, portales de servicios, sitios institucionales, blogs, agencias, consultorios. Para muchos negocios, el sitio web es el primer punto de contacto con clientes y su canal de ventas principal.

El desarrollador del plugin ya publicó una actualización que corrige la falla.

Impacto potencial

Para personas

La seguridad de la información personal también depende de la seguridad de los sitios donde se comparte. Cuando llegas tus datos en una tienda, un formulario o un portal de servicios, la protección de esa información depende de decisiones que toma quien administra el sitio, no tú.

No puedes saber qué plugins usa un sitio ni si están actualizados. Eso está fuera de tu control.

Para organizaciones

Con acceso de administrador, el atacante tiene control total del sitio. Puede instalar código malicioso que roba datos de quienes visitan el sitio, redirigir a los clientes a páginas falsas, descargar toda la base de datos de clientes o usar el servidor del sitio como plataforma para atacar a otros.

Para negocios con tienda en línea, los formularios de pago y los datos de clientes quedan expuestos desde el momento en que el atacante crea su cuenta. No necesita hacer nada visible para extraer información.

El daño puede pasar desapercibido por semanas. El sitio sigue funcionando con normalidad mientras el atacante opera desde adentro.

Los riesgos derivados incluyen pérdida de confianza de clientes, posibles obligaciones legales por exposición de datos personales y daño reputacional difícil de revertir.

Perspectiva GRC

Este incidente refleja un problema de gestión que va más allá del aspecto técnico.

Gestión de activos digitales. ¿Existe un inventario de los plugins, extensiones y herramientas instaladas en el sitio web de la organización? Muchos sitios acumulan plugins que nadie recuerda haber instalado y que nadie actualiza. Cada uno es una superficie de riesgo.

Responsabilidad asignada. ¿Quién es el responsable del mantenimiento del sitio? En muchas organizaciones pequeñas y medianas, el sitio web fue construido por una agencia o un freelance y nadie asumió la responsabilidad continua. La ausencia de un responsable claro es, en sí misma, un riesgo.

Gestión de terceros. Si una agencia o proveedor administra el sitio, ¿el contrato incluye obligaciones de actualización ante vulnerabilidades críticas? ¿En qué tiempo? ¿Quién verifica que se cumpla?

Gestión de cambios y actualizaciones. ¿Existe un proceso para aplicar actualizaciones de seguridad en tiempo razonable cuando hay una vulnerabilidad activa? La diferencia entre un sitio comprometido y uno seguro puede ser simplemente haber aplicado una actualización a tiempo.

Recomendaciones

Para personas

Aunque no es posible controlar qué plugins utiliza un sitio, sí es posible limitar la cantidad de información que se comparte en servicios en línea: dar solo lo que el servicio realmente necesita reduce lo que queda expuesto si ese sitio es comprometido.

También vale la pena mantenerse atentos a posibles correos, llamadas o mensajes sospechosos después de interactuar con tiendas o portales en línea. Una compra legítima no debería generar comunicaciones inesperadas pidiendo datos adicionales o confirmaciones que no se solicitaron.

Para organizaciones

Verificar si el sitio usa WP Maps Pro. Si está instalado, aplicar la actualización de inmediato.

Revisar la lista completa de usuarios con permisos de administrador en el sitio. Cualquier cuenta no reconocida debe eliminarse y las contraseñas de las cuentas legítimas deben cambiarse.

Si el sitio lo administra una agencia o proveedor externo, contactarlos hoy para confirmar que la actualización fue aplicada.

Aprovechar este momento para hacer un inventario de todos los plugins instalados: eliminar los que ya no se usan y verificar que los que sí se usan estén actualizados.


Este caso no trata únicamente de un plugin vulnerable. Demuestra cómo una extensión aparentemente secundaria puede convertirse en una puerta de acceso total a un sitio web. La lección de fondo es mantener visibilidad sobre los componentes instalados, asignar responsabilidades claras de mantenimiento y contar con procesos formales para aplicar actualizaciones de seguridad cuando se publiquen. Eso aplica con independencia de qué plugin sea la próxima vulnerabilidad.

Leer fuente original →