En junio de 2026, el equipo de Wordfence divulgó y parcheó una vulnerabilidad de wordpress critical unauthenticated authentication bypass en UpdraftPlus, catalogada como CVE-2026-10795. El fallo permitía a cualquier atacante sin credenciales ejecutar comandos remotos en sitios con versión 1.26.4 o anterior, poniendo en riesgo más de 3 millones de instalaciones activas.

UpdraftPlus es el plugin de backups más instalado en WordPress, con más de 3 millones de sitios activos al momento de la divulgación pública en junio de 2026. CVE-2026-10795 es una vulnerabilidad crítica de authentication bypass que afecta todas las versiones hasta 1.26.4 en la edición gratuita y hasta 2.26.4 en la premium. El fallo está en la función UpdraftPlus_Remote_Communications_V2::wp_loaded, que procesa mensajes RPC remotos con una clave de cifrado predecible compuesta exclusivamente de ceros y sin verificar la firma del remitente, habilitando a un atacante externo a ejecutar código sin ninguna credencial del sitio.

En 30 segundos

  • CVE-2026-10795 afecta UpdraftPlus ≤1.26.4 (gratis) y ≤2.26.4 (premium), con más de 3 millones de instalaciones expuestas al momento del parche.
  • Un atacante sin credenciales podía ejecutar código remoto, subir plugins maliciosos, crear usuarios admin y acceder a toda la base de datos.
  • Las versiones seguras son 1.26.5+ (gratis), 2.26.5+ (premium) y UpdraftCentral 0.8.32+.
  • La actualización inmediata es el único parche definitivo; hay un hotfix temporal disponible en teamupdraft.com para quienes no pueden actualizar de inmediato.
  • Si todavía tenés la versión vieja activa, la verificación y los pasos de actualización están más abajo.

¿Qué es CVE-2026-10795 en UpdraftPlus?

Ponele que tu sitio tiene UpdraftPlus activo porque lo configuraste hace dos años para hacer backups automáticos a Google Drive. Funciona bien, no lo revisás, y nunca pensaste que fuera un vector de ataque. Ahora imaginá que alguien, desde cualquier parte del mundo y sin tener ni el usuario ni la contraseña de tu WordPress, llega y ejecuta código en tu servidor. Ese es exactamente el escenario que abrió CVE-2026-10795. Tema relacionado: documentación sobre vulnerabilidades CVE.

La vulnerabilidad se hizo pública en junio de 2026, y recibió una puntuación CVSS crítica según el informe de Wordfence. Con más de 3 millones de instalaciones activas, UpdraftPlus es uno de los plugins más utilizados en todo el ecosistema WordPress, lo que convierte este fallo en uno de los de mayor escala del año.

¿Cómo funciona técnicamente el ataque de bypass?

El problema vive en la función UpdraftPlus_Remote_Communications_V2::wp_loaded, responsable de recibir y procesar mensajes remotos enviados por UpdraftCentral, el panel de gestión centralizada de backups del plugin. Cuando este componente recibe un mensaje entrante, debería verificar que proviene de una fuente legítima usando una firma criptográfica. Acá viene el fallo: la verificación es insuficiente, y más importante, la clave usada para el cifrado es la «segura» composición de todos ceros.

¿Qué significa eso en la práctica? Que cualquier atacante puede construir un mensaje RPC válido, firmarlo con esa clave predecible de all-zeros, enviárselo al sitio objetivo y hacer que UpdraftPlus lo procese como si fuera un comando legítimo. Sin usuario. Sin contraseña. Sin sesión autenticada de ningún tipo.

Es el tipo de fallo que los investigadores clasifican como «broken authentication at the protocol level» (y no es el error más sofisticado del mundo, lo que lo hace más peligroso porque la barra de explotación es baja). Subís el plugin, lo configurás, funciona bárbaro, lo olvidás, y de repente la clave de cifrado era todos ceros desde el principio y nadie lo había revisado con detenimiento. Para más detalles técnicos, mirá sistemas de protección con WAF.

¿Cuáles son las versiones vulnerables y parcheadas?

Según el anuncio oficial del equipo de UpdraftPlus, la línea de corte es la siguiente:

ComponenteVersiones vulnerablesVersión segura mínima
UpdraftPlus Free1.26.4 y anteriores1.26.5
UpdraftPlus Premium2.26.4 y anteriores2.26.5
UpdraftCentral0.8.31 y anteriores0.8.32
wordpress critical unauthenticated authentication diagrama explicativo

El parche estuvo disponible en junio de 2026. Si tu versión actual está por debajo de estos números, tu sitio está expuesto a explotación activa.

¿Cuál es el impacto real de esta vulnerabilidad?

No es un bug de interfaz ni un problema de rendimiento. Lo que habilita CVE-2026-10795 es control total del sitio desde afuera, sin credenciales. El análisis de WP Firewall documenta las consecuencias concretas:

  • Ejecución remota de código (RCE). Un atacante puede correr código arbitrario en el servidor, con acceso a todos los archivos del sitio y del hosting.
  • Carga y activación de plugins maliciosos. Con un comando RPC forjado puede subir un plugin backdoor y activarlo al instante, sin tocar el dashboard de WordPress.
  • Creación de usuarios administradores. En segundos puede crear una cuenta admin que le dé acceso permanente, incluso después de que se instale el parche.
  • Acceso completo a la base de datos. Datos de clientes, hashes de contraseñas, tokens de sesión, configuraciones: todo queda expuesto.
  • Inyección de malware. Redirecciones maliciosas, scripts de robo de tarjetas, spam oculto en el código fuente.
  • Blacklisting por Google. Una vez que Google detecta el malware, el sitio queda marcado como peligroso y el tráfico orgánico cae a cero.

Un sitio con UpdraftPlus desactualizado, alojado en cualquier servidor (incluyendo los planes WordPress de donweb.com), si alguien lo explota antes de que actualicés, el daño puede ser total y la recuperación puede llevar días.

¿Cómo verificar si tu WordPress está afectado?

La verificación toma menos de dos minutos:

  • Entrá al panel de administración de WordPress (la URL es tudominio.com/wp-admin).
  • Andá a Plugins › Plugins instalados y buscá «UpdraftPlus» en la lista.
  • Fijate la versión que figura debajo del nombre. Si dice 1.26.4 o menor (versión gratis) o 2.26.4 o menor (premium), estás expuesto.
  • Revisá también UpdraftCentral si lo tenés habilitado. Versión 0.8.31 o anterior también está comprometida.

Si no tenés UpdraftPlus instalado, esta vulnerabilidad no te afecta. Pero si lo tenés y no recordás cuándo fue la última vez que actualizaste plugins, las probabilidades de estar en versión vieja son altas.

¿Cómo actualizar UpdraftPlus a la versión segura?

Antes de tocar cualquier plugin crítico, hacé un backup por otro método (sí, el plugin de backup puede estar comprometido, así que usá un snapshot del servidor o el backup del hosting). Después el proceso es directo: Complementá con capas adicionales de defensa.

  • Ir a Escritorio › Actualizaciones en el panel de administración de WordPress.
  • Localizar UpdraftPlus en la lista de plugins con actualizaciones disponibles. Si el parche ya llegó al repositorio, aparece ahí con la versión nueva.
  • Hacer clic en «Actualizar» y esperar a que WordPress descargue e instale la nueva versión.
  • Confirmar la versión instalada. Volvé a Plugins › Plugins instalados, buscá UpdraftPlus y verificá que la versión sea 1.26.5 o superior (o 2.26.5 para la versión premium).
  • Verificar que los backups programados siguen activos. La actualización no debería borrar la configuración, pero revisalo.

El proceso completo lleva cinco minutos. Hacelo ahora.

¿Qué opciones hay si no podés actualizar de inmediato?

Si hay un conflicto de plugins, un entorno de staging congelado o cualquier otra razón técnica que te impide actualizar en este momento, el equipo de UpdraftPlus publicó un plugin de hotfix temporal descargable desde su blog oficial. Instalarlo aplica el parche sin necesitar la versión completa del plugin.

Mientras gestionás la actualización definitiva, estas son las acciones de contención:

  • Desactivar UpdraftPlus temporalmente si el backup automático no es crítico en este momento. Sin el plugin activo, el vector de ataque desaparece.
  • Monitorear la lista de usuarios admin. Revisá Usuarios › Todos los usuarios y verificá que no aparecieron cuentas nuevas que no creaste vos.
  • Revisar plugins instalados recientemente. Si encontrás un plugin que no reconocés, desactivalo y analizá su código antes de borrarlo.
  • Tratar esta actualización como urgente. El hotfix temporal no reemplaza la actualización. Es un parche de emergencia para ganar tiempo, nada más.

Errores comunes al responder a esta vulnerabilidad

  • Confiar en el backup más reciente de UpdraftPlus sin verificarlo. Si el sitio estuvo comprometido antes del último backup, ese backup también está comprometido. Revisá la integridad del backup antes de restaurarlo, especialmente si encontraste señales de intrusión.
  • Actualizar sin hacer un backup previo por otro método. Las actualizaciones de plugins ocasionalmente generan conflictos. El backup externo tarda cinco minutos y puede salvarte horas de trabajo si algo sale mal durante la actualización.
  • Suponer que el hosting «resuelve» este tipo de vulnerabilidades. El fallo está en el código del plugin, no en la infraestructura del servidor. Sin importar qué plan de hosting uses, si el plugin está desactualizado, estás expuesto.

Preguntas Frecuentes

¿Qué es la vulnerabilidad CVE-2026-10795 en UpdraftPlus?

CVE-2026-10795 es una vulnerabilidad crítica de authentication bypass en UpdraftPlus que permite a un atacante sin credenciales ejecutar comandos remotos en el sitio WordPress afectado. Se divulgó públicamente en junio de 2026 y afecta todas las versiones hasta 1.26.4 (gratis) y 2.26.4 (premium). La causa raíz es la función UpdraftPlus_Remote_Communications_V2::wp_loaded, que procesa mensajes RPC sin verificar la firma del remitente y usa una clave de cifrado predecible de todos ceros.

¿Cómo actualizar UpdraftPlus a la versión segura?

Desde el panel de administración de WordPress, andá a Escritorio › Actualizaciones, buscá UpdraftPlus en la lista de plugins y hacé clic en «Actualizar». Las versiones parcheadas son 1.26.5 o superior (gratis), 2.26.5 o superior (premium) y UpdraftCentral 0.8.32 o superior. Antes de actualizar, hacé un backup por otro método como precaución adicional. Ya lo cubrimos antes en auditar seguridad de otros plugins.

¿Qué versiones de UpdraftPlus están vulnerables al bypass?

Todas las versiones de UpdraftPlus Free hasta la 1.26.4 y Premium hasta la 2.26.4 son vulnerables a CVE-2026-10795. UpdraftCentral en versiones hasta 0.8.31 también está afectado. Si tu versión instalada es igual o menor a estos números, el sitio está expuesto a un ataque de authentication bypass no autenticado con posibilidad de ejecución remota de código.

¿Cómo verificar si mi sitio WordPress está afectado?

Ingresá al panel de administración de WordPress, andá a Plugins › Plugins instalados y buscá UpdraftPlus. Si la versión que figura es 1.26.4 o menor (gratis) o 2.26.4 o menor (premium), el sitio está vulnerable. Si UpdraftCentral está habilitado y muestra versión 0.8.31 o anterior, también está afectado. El proceso de verificación completo lleva menos de dos minutos.

¿Qué riesgo corre un sitio WordPress con UpdraftPlus 1.26.4 sin parche?

Un sitio con UpdraftPlus ≤1.26.4 sin actualizar está expuesto a ejecución remota de código, instalación de plugins maliciosos, creación de cuentas administrador no autorizadas y acceso completo a la base de datos, todo sin que el atacante necesite ninguna credencial. Las consecuencias incluyen robo de datos de clientes, inyección de malware y penalización por Google con pérdida de tráfico orgánico.

Conclusión

CVE-2026-10795 es un recordatorio concreto de por qué los plugins con millones de instalaciones activas son blancos atractivos: un solo fallo en UpdraftPlus es potencialmente 3 millones de sitios vulnerables al mismo tiempo. En este caso, la gravedad se amplifica porque el bypass no requiere autenticación y la clave de cifrado era predecible por diseño, dos características que bajan la barra de explotación a un nivel accesible para atacantes con conocimientos básicos.

El parche existe desde junio de 2026. Actualizar toma cinco minutos. Si tu sitio tiene UpdraftPlus 1.26.4 o anterior activo en este momento, cerrá este artículo y actualizá primero. El resto puede esperar.

Fuentes

Categorizado en:

VulnerabilidadesActualizaciones de seguridad

Etiquetado en:

, , , ,