Actualización (11/04/2026): Confirmado por RedPacket Security el 3 de abril.
- Severidad crítica: CVSS 8.1 permitiendo eliminación de wp-config.php y control total del servidor.
- Alcance masivo: Más de 200.000 sitios WordPress con versiones vulnerables del plugin afectadas.
- Parche disponible: Actualiza urgentemente a Perfmatters 2.5.9.1 o superior — retraso de horas puede resultar en compromiso total.
CVE-2026-4350 es una vulnerabilidad de eliminación de archivos arbitrarios en el plugin Perfmatters de WordPress, reportada en 2026. El fallo permite a usuarios autenticados (incluso con rol Subscriber) eliminar archivos críticos del servidor mediante path traversal, incluyendo wp-config.php, lo que puede resultar en el control total del sitio. La vulnerabilidad está clasificada con CVSS 8.1, afecta a más de 200.000 sitios WordPress, y requiere actualización urgente a versión 2.5.9.1 o superior.
En 30 segundos
- Perfmatters permite eliminar archivos del servidor sin validación (path traversal)
- Afecta cualquier usuario autenticado, incluso roles bajos como Subscriber
- El objetivo principal es
wp-config.php, que contiene credenciales y claves de seguridad - Versión vulnerable: todas las anteriores a 2.5.9.1
- Actualizar es urgente — el exploit es trivial de ejecutar
Perfmatters es un plugin de WordPress desarrollado por Perfmatters que optimiza el rendimiento desactivando características innecesarias del core y scripts no esenciales. Mejora la velocidad de carga y las métricas de Core Web Vitals del sitio.
Qué es CVE-2026-4350: La vulnerabilidad de Perfmatters explicada
RedPacket Security reportó el CVE-2026-4350 a principios de 2026. El plugin Perfmatters, instalado en más de 200.000 sitios WordPress, tiene un fallo de lógica que permite a cualquier usuario autenticado (incluso con permisos mínimos como Subscriber) eliminar archivos arbitrarios del servidor. La vulnerabilidad explota path traversal — básicamente, usás secuencias ../ para «escapar» del directorio esperado y acceder a cualquier parte del filesystem.
La severidad (CVSS 8.1) refleja el riesgo real: si alguien con acceso limitado puede eliminar wp-config.php, el sitio completo queda comprometido. No es un hack sofisticado — es un error básico de sanitización que los desarrolladores debería haber atrapado hace años.
Cómo funciona el ataque: Path traversal y eliminación de archivos
El mecanismo técnico es simple. El plugin procesa un parámetro GET[delete] sin validar qué ruta está pidiendo que se borre. Un atacante (o un usuario malintencionado con permisos Subscriber) arma una URL como:
/?action=perfmatters&delete=../../wp-config.php
El método PMCS::action_handler() recibe el parámetro, no valida el path, y ejecuta la operación de borrado. Las secuencias ../ saltan hacia arriba en la jerarquía de directorios hasta encontrar el archivo. Eso es todo lo que necesita un atacante.
Lo peor: si tu sitio tiene plugins de seguridad como Wordfence instalados, la mayoría valida permisos de rol pero no monitorea this tipo de path traversal específica. El fallo pasa desapercibido hasta que alguien elimina algo crítico. En vulnerabilidades en plugins WordPress reportadas profundizamos sobre esto.
Por qué wp-config.php es el objetivo principal
wp-config.php no es un archivo cualquiera. Contiene la información más sensible de tu sitio: credenciales de base de datos, claves de seguridad de WordPress, configuración de salts, URLs de API, certificados — todo. Si un atacante lo borra, WordPress detecta que falta, la aplicación se cae, y el usuario ve la pantalla de instalación de WordPress.
En ese punto, cualquiera (literalmente cualquiera) puede acceder a /wp-admin/setup-config.php y reconfigurarlo con credenciales nuevas. Eso es takeover total. El atacante ahora controla la base de datos, puede crear usuarios admin, borrar contenido, inyectar malware, redirigir tráfico — lo que se le ocurra.
El daño potencial es por eso que los hosters recomiendan proteger wp-config.php a nivel de servidor, con permisos restrictivos y backups. Pero si el plugin tiene un fallo de path traversal, ninguna de esas protecciones importa.
Versiones afectadas y cómo verificar la tuya
Perfmatters reporta en su changelog que la vulnerabilidad fue parcheada en versión 2.5.9.1. Cualquier versión anterior a esa está vulnerable. Eso incluye 2.5.9.0, 2.5.8.x, 2.5.7.x, y básicamente todos los releases anteriores.
Para verificar qué versión tenés instalada: entrá al wp-admin, anda a Plugins, buscá Perfmatters en la lista. La versión aparece debajo del nombre. Si ves algo menor a 2.5.9.1, estás vulnerable.
También podés revisar el archivo wp-content/plugins/perfmatters/perfmatters.php via SFTP o gestor de archivos, buscar la línea Version: al inicio del archivo. Debe decir 2.5.9.1 o mayor. Tema relacionado: mantener los plugins siempre actualizados.
Guía paso a paso: Actualizar Perfmatters de forma segura
Paso 1: Hacer un backup
Antes de actualizar cualquier plugin, especialmente uno con una vulnerabilidad activa, asegurate de tener un backup reciente de tu sitio completo (archivos + base de datos). Si algo sale mal durante la actualización, necesitás poder rollbackear. Herramientas como donweb.com y servicios de hosting ofrecen backups automáticos — verificá que esté habilitado.
Paso 2: Actualizar desde wp-admin
En el wp-admin, anda a Plugins. Perfmatters debería mostrar una notificación de actualización disponible. Hacé click en «Actualizar ahora». WordPress descargará la versión 2.5.9.1 (o la más reciente) y la instalará automáticamente.
Paso 3: Testear el sitio
Después de la actualización, recargá el frontend del sitio. Verificá que no haya errores 500, que se carguen las imágenes, que los formularios funcionen. Entrá al wp-admin y asegurate de que no hay notices de compatibilidad.
Si usás donweb.com u otro servicio que ofrezca caché o CDN, limpiá la caché después de actualizar para asegurar que se sirva la versión nueva.
Otros archivos en riesgo además de wp-config.php
Aunque wp-config.php es el objetivo más peligroso, el path traversal permite eliminar otros archivos críticos:
.htaccess— reglas de reescritura de URLs. Sin él, los permalinks se rompen y el SEO sufre.wp-settings.php— parte del núcleo de WordPress. Si se borra, el sitio no carga en absoluto.wp-load.php,wp-blog-header.php— archivos de bootstrap de WordPress. Eliminarlos rompe la aplicación.wp-content/plugins/[nombre-plugin]/plugin.php— podrías eliminar plugins de seguridad que te protegen (ej: Wordfence).wp-content/themes/[tema-actual]/functions.php— personalización del tema. Sin él, el sitio falla o se ve roto.- Archivos de backup (`.sql`, `.zip`) si están en directorios accesibles.
El punto es: un atacante NO está limitado a un solo archivo. Podría encadenar deleteos para causar máximo daño.
¿Fue explotada en la práctica? Estado actual de la amenaza
A partir de 2026, el CVE-2026-4350 está clasificado como amenaza activa. Hay reportes de 200.000 sitios afectados, muchos de los cuales aún no actualizaron a la versión segura.
¿Hay exploits públicos? RedPacket Security realizó un análisis exhaustivo — es trivial armar un exploit. Por eso es cuestión de tiempo hasta que los atacantes masivos lo comiencen a explotar a escala, especialmente contra sitios de hosting compartido donde hay Subscribers con acceso. Te puede servir nuestra cobertura de capas adicionales de defensa en profundidad.
Perfmatters lanzó el patch 2.5.9.1 poco después del reporte. Los desarrolladores reconocieron el fallo de validación en el handler y lo cerraron. Pero la tarea ahora es que los 200.000 sitios actualicen — y en WordPress, eso siempre es más lento de lo ideal.
Tabla comparativa: Versiones de Perfmatters
| Versión | Path Traversal | Recomendación | Acción |
|---|---|---|---|
| ≤ 2.5.9.0 | Vulnerable (CVE-2026-4350) | NO USAR | Actualizar inmediatamente a 2.5.9.1+ |
| 2.5.9.1+ | Parcheado (validación agregada) | RECOMENDADO | Mantener actualizado |
Errores comunes al actualizar Perfmatters
Error 1: Actualizar sin backup
Si algo sale mal (conflicto con otro plugin, incompatibilidad de PHP), estás sin red de seguridad. Siempre backup primero, siempre.
Esto se conecta con otro artículo que escribimos sobre Perfmatters Plugin: eliminación arbitraria de archivos vía p.
Del mismo palo es Perfmatters Plugin: eliminación arbitraria de archivos vía p, que analizamos acá.
Error 2: Pensar que el antivirus del servidor me protege
La mayoría de hosts tienen scanning automático, pero no detectan path traversal en plugins — eso es lógica de aplicación, no malware. La protección real es actualizar el plugin.
Si querés profundizar en vulnerabilidades similares de eliminación de archivos, tenemos un artículo sobre Perfmatters Plugin: eliminación arbitraria de archivos vía p.
Error 3: Ignorar los avisos de actualización disponible
Algunos admins dejan los avisos sin leer, asumiendo que «es menor». Con un CVE de CVSS 8.1, no es menor. Es crítico.
Error 4: Actualizar sin testear en local primero
Si tenés un sitio critical, clonalo a local, actualiza Perfmatters, y testea antes de hacerlo en producción. Toma una hora y evita downtime. Para más detalles técnicos, mirá cómo funcionan los plugins en tu sitio.
Preguntas Frecuentes
¿Qué es CVE-2026-4350 y cómo afecta Perfmatters?
Es una vulnerabilidad de path traversal que permite a usuarios autenticados eliminar archivos arbitrarios del servidor. Afecta a todas las versiones de Perfmatters anteriores a 2.5.9.1. El riesgo principal es la eliminación de wp-config.php, que resulta en control total del sitio.
¿Mi sitio está vulnerable? ¿Qué versión tengo?
Entrá al wp-admin > Plugins, buscá Perfmatters. La versión aparece debajo. Si es menor a 2.5.9.1, estás vulnerable. Actualiza inmediatamente desde el mismo wp-admin (debería haber una notificación).
¿Qué archivos puede eliminar un atacante con esta vulnerabilidad?
Cualquier archivo que el usuario del proceso PHP pueda acceder: wp-config.php, .htaccess, wp-settings.php, archivos de plugins, temas, backups. Básicamente, todo en el document root y directorios parent.
¿Qué pasa si un atacante elimina wp-config.php?
WordPress entra en modo instalación. La pantalla de setup de WordPress está visible públicamente. Un atacante puede acceder a /wp-admin/setup-config.php y reconfigurarlo con credenciales nuevas, asumiendo control del sitio, la base de datos, y todo contenido.
¿Es seguro actualizar a 2.5.9.1 o puede romper mi sitio?
Es una actualización de patch — oficialmente diseñada para ser backward compatible. La mayoría de sitios actualiza sin problemas. Lo único que se cambió es que agregaron validación al handler de borrado de archivos. Hacé un backup igual, pero el riesgo de rotura es bajo.
Conclusión
CVE-2026-4350 es una vulnerabilidad seria pero fácil de mitear: actualizar a Perfmatters 2.5.9.1+. Si estás en cualquier versión anterior, no hay justificación para esperar. La amenaza es real, el exploit es trivial, y el daño potencial es control completo de tu sitio.
El path traversal de Perfmatters expone un problema más amplio: plugins que procesan input de usuario sin validar las rutas de archivos. Después de actualizar, considera auditar otros plugins que usan file operations. La seguridad en WordPress no es un evento único — es un hábito: actualizar rápido, auditar plugins, hacer backups regulares, y monitorear permisos de usuarios.
Hacelo hoy. No es complicado, y el riesgo de no hacerlo es demasiado alto.