Secuestran sitios WordPress mediante una falla crítica

Ciberdelincuentes están explotando activamente una grave vulnerabilidad en el tema de WordPress 'Alone – Charity Multipurpose Non-profit' para tomar control de sitios web vulnerables.

La vulnerabilidad crítica CVE-2025-5394

La vulnerabilidad CVE-2025-5394, identificada por el investigador Thái An, posee una puntuación crítica de 9.8 según el sistema CVSS. Afecta a todas las versiones del plugin anteriores a la 7.8.3 y fue corregida en la versión 7.8.5, publicada el 16 de junio de 2025.

El origen de la falla se encuentra en la función alone_import_pack_install_plugin(), la cual carece de una verificación de capacidad adecuada. Esto permite que atacantes no autenticados instalen complementos desde fuentes remotas a través de AJAX, lo que facilita la ejecución remota de código malicioso.

La vulnerabilidad permite que atacantes no autenticados carguen archivos maliciosos y ejecuten código remoto, lo que puede derivar en la toma total del control del sitio.

Su explotación fue detectada desde el 12 de julio, dos días antes de su divulgación pública, lo que indica una posible vigilancia activa del código por parte de actores maliciosos.

La compañía informó haber bloqueado más de 120.900 intentos de explotación, procedentes de múltiples direcciones IP sospechosas.

Los ataques explotan la falla para cargar archivos ZIP maliciosos con puertas traseras PHP, permitiendo ejecutar comandos remotos y crear cuentas de administrador falsas.

Se recomienda actualizar el tema, revisar usuarios sospechosos y verificar registros relacionados con:
/wp-admin/admin-ajax.php?action=alone_import_pack_install_plugin.

Recomendaciones 

1. Mantén todo actualizado

• Temas, plugins y núcleo de WordPress deben estar siempre en su última versión.

• Activa las actualizaciones automáticas si es posible, especialmente para plugins poco conocidos.

2. Usa solo temas y plugins confiables

• Descarga solo desde el repositorio oficial de WordPress o desarrolladores verificados.

• Evita temas o plugins "nulled" o pirateados, que suelen incluir puertas traseras.

3. Elimina lo que no uses

• Desinstala plugins y temas inactivos: aunque no estén en uso, siguen siendo una puerta de entrada si tienen fallas.

4. Restringe el uso de AJAX

• Si una vulnerabilidad permite usar admin-ajax.php sin autenticar, puede explotarse fácilmente.

• Usa un firewall para limitar las solicitudes AJAX a usuarios autenticados.

5. Implementa un firewall de aplicaciones web (WAF)

• Usa herramientas como Wordfence, Sucuri o Cloudflare para bloquear exploits conocidos y tráfico malicioso.

6. Monitorea usuarios y actividad sospechosa

• Verifica regularmente la lista de usuarios administradores.

• Habilita registros (logs) para detectar acciones extrañas, como intentos de instalación remota de plugins.

7. Revisa los archivos del sitio frecuentemente

• Usa un escáner de malware para detectar cambios no autorizados o archivos inusuales en tu instalación.

8. Haz copias de seguridad regulares

• Programa backups automáticos del sitio y la base de datos.

• Asegúrate de poder restaurar el sitio rápidamente en caso de compromiso.

9. Bloquea el acceso a funciones peligrosas

• Desactiva la edición de archivos desde el panel de WordPress (wp-config.php: define('DISALLOW_FILE_EDIT', true);).

• Controla quién puede instalar plugins o realizar cambios en el sistema.