Alerta de Seguridad: Vulnerabilidad Crítica en el Tema Alone de WordPress Permite Secuestro de Sitios

¿Qué ha sucedido?

El 31 de julio de 2025, The Hacker News reportó una grave vulnerabilidad de seguridad en el popular tema de WordPress “Alone – Charity Multipurpose Non-profit”, ampliamente utilizado por organizaciones benéficas y sitios sin fines de lucro. La vulnerabilidad, identificada como CVE-2025-5394 y con una puntuación CVSS de 9.8 (crítica), está siendo explotada activamente por ciberdelincuentes para tomar el control total de sitios web afectados.

Detalles Técnicos de la Vulnerabilidad

El fallo fue descubierto por el investigador de seguridad Thái An y afecta a todas las versiones del tema hasta la 7.8.3. La vulnerabilidad se encuentra en una función de instalación de plugins (alone_import_pack_install_plugin()), que carece de una verificación de permisos adecuada. Esto permite que atacantes no autenticados suban archivos arbitrarios al sitio web mediante peticiones AJAX y ejecuten código malicioso.

Los atacantes utilizan esta falla para subir archivos comprimidos (ZIP), como “wp-classic-editor.zip” o “background-image-cropper.zip”, que contienen backdoors PHP. Estos backdoors pueden ejecutar comandos remotos, subir archivos adicionales y establecer usuarios administradores fraudulentos, permitiendo el control total del sitio y la instalación de otros plugins maliciosos.

Cronología y Alcance del Ataque

Según Wordfence, la explotación de esta vulnerabilidad comenzó el 12 de julio de 2025, dos días antes de que se hiciera pública. Esto sugiere que los atacantes estaban monitorizando los cambios de código para detectar vulnerabilidades recién corregidas. Hasta el momento, Wordfence ha bloqueado más de 120,900 intentos de explotación desde diversas direcciones IP, incluyendo:

• 193.84.71.244
• 87.120.92.24
• 146.19.213.18
• 185.159.158.108
• 188.215.235.94
• 146.70.10.25
• 74.118.126.111
• 62.133.47.18
• 198.145.157.102
• 2a0b:4141:820:752::2

¿Por qué es peligrosa esta vulnerabilidad?

Esta vulnerabilidad permite la ejecución remota de código (RCE) sin necesidad de autenticación. Un atacante puede instalar un backdoor, tomar control completo del sitio, robar información, manipular contenido, instalar malware adicional o incluso usar el sitio para lanzar ataques a otras webs. La explotación masiva y automatizada de esta falla pone en riesgo a miles de organizaciones que no hayan actualizado su tema.

¿Cómo protegerse?

Si utilizas el tema Alone en tu sitio WordPress, sigue estos pasos de inmediato:

1. Actualiza tu tema:
   Descarga e instala la versión 7.8.5 o superior, que corrige el fallo. Las versiones anteriores son vulnerables.

2. Revisa los usuarios administradores:
   Accede a la sección de usuarios de WordPress y elimina cualquier cuenta sospechosa creada recientemente.

3. Escanea tus archivos y logs:
   Busca archivos no reconocidos en tu instalación, especialmente backdoors en la carpeta de plugins. Revisa los logs del servidor para detectar accesos a:
   /wp-admin/admin-ajax.php?action=alone_import_pack_install_plugin

4. Refuerza la seguridad:
   Considera instalar plugins de seguridad para WordPress como Wordfence para monitorear y bloquear intentos de explotación.

5. Notifica a tu equipo:
   Si gestionas sitios para terceros, informa del riesgo y asegúrate de que todos los sitios estén actualizados.