Wordfence confirmó el 12 de mayo de 2026 una vulnerabilidad crítica (CVE-2026-8181, CVSS 9.8) en Burst Statistics: un atacante sin autenticación puede suplantar cualquier cuenta administradora en los 200.000 sitios que tienen el plugin instalado, usando un fallo en la integración MainWP. Las versiones afectadas van de la 3.4.0 a la 3.4.1.1, y la actualización a 3.4.2 es la única solución real.
En 30 segundos
- CVE-2026-8181 (CVSS 9.8): bypass de autenticación total en Burst Statistics 3.4.0 a 3.4.1.1, que afecta 200.000 sitios.
- El atacante solo necesita el nombre de usuario del admin. Cualquier contraseña funciona gracias al fallo en
is_mainwp_authenticated(). - Wordfence bloqueó más de 7.400 intentos de explotación en las primeras 24 horas tras la divulgación.
- El parche (versión 3.4.2) salió el 12 de mayo de 2026. Actualizá ya.
- Usuarios de Wordfence Free reciben la regla de protección recién el 7 de junio de 2026; hasta entonces están expuestos.
Wordfence Es un plugin de seguridad para WordPress que proporciona firewalls de aplicación web, detección de malware y monitoreo de vulnerabilidades. Es desarrollado y mantenido por Wordfence Inc., una empresa especializada en ciberseguridad de WordPress.
Qué es Burst Statistics y por qué la vulnerabilidad es tan grave
Burst Statistics es un plugin de analytics para WordPress que se presenta como alternativa privada a Google Analytics: sin cookies de terceros, datos almacenados en tu propio servidor, sin GDPR complicado. Tiene más de 200.000 instalaciones activas y su propuesta es clara para quienes no quieren cederle datos a Google.
El problema con esta vulnerabilidad no es solo que alguien pueda leer tus estadísticas de tráfico. El fallo da acceso administrativo completo al sitio: crear cuentas, instalar plugins, modificar contenido, robar credenciales. El analytics es lo de menos. Estamos hablando de toma de control total.
Eso, multiplicado por 200.000 sitios y un CVSS de 9.8 sobre 10, explica por qué esto es urgente.
CVE-2026-8181: qué falló exactamente en el código
La raíz del problema está en la función is_mainwp_authenticated(), que Burst Statistics usa para manejar la integración con MainWP, una herramienta de gestión centralizada de múltiples sitios WordPress. Complementá con soluciones especializadas en detección de vulnerabilidades.
Cuando alguien hace una petición con autenticación Basic Auth, el plugin llama a wp_authenticate_application_password() para verificar las credenciales. Lo que debería pasar: si la contraseña es incorrecta, la función devuelve un objeto WP_Error y la autenticación falla. Lo que en realidad pasaba: el plugin no chequeaba bien el valor de retorno. Si la función devolvía un error por contraseña incorrecta, is_mainwp_authenticated() igual interpretaba la solicitud como válida, porque el chequeo del retorno estaba mal implementado.
El resultado práctico: un atacante puede enviar cualquier contraseña con el nombre de usuario de un administrador y el plugin lo trata como si la autenticación fuera legítima. Una sola petición al REST API con un header Authorization: Basic [usuario:cualquier-cosa-en-base64] es suficiente.
Ponele que tenés un sitio con Burst Statistics instalado y un admin que se llama «admin» (sí, todavía hay miles así). Un atacante manda una petición a /wp-json/wp/v2/users con ese nombre de usuario y una contraseña al azar. El plugin falla al verificar, trata la petición como autenticada, y el atacante puede crear una cuenta administradora nueva en tu sitio sin que hayas hecho nada mal vos.
¿Cuántos sitios están expuestos?
Las versiones 3.4.0 y 3.4.1.1 son las afectadas. Según el análisis de WP Vanguard, ambas se lanzaron entre abril y principios de mayo de 2026, lo que significa que la ventana de exposición fue de al menos tres semanas antes del parche.
Con 200.000 instalaciones activas y ese timeframe, la cantidad de sitios que estuvieron vulnerables durante ese período es significativa. Y no todos actualizarán de inmediato: históricamente, en vulnerabilidades de plugins populares, entre el 15% y el 20% de los sitios tarda semanas o meses en aplicar el parche.
Evidencia de explotación activa: 7.400 ataques en 24 horas
Según el reporte de BleepingComputer, Wordfence bloqueó más de 7.400 intentos de explotación en las primeras 24 horas después de la divulgación pública. Eso es actividad real, no escaneos genéricos.
¿Qué significa ese número para sitios sin protección? Que la falla fue incorporada rápido en herramientas de ataque automatizado. No se necesita ser un hacker sofisticado para explotarla: el vector es simple, documentado y fácilmente scripteable. Sitios sin Wordfence Premium y sin actualizar son blancos directos. Sobre eso hablamos en como en otros CVEs críticos recientes.
Cómo actualizar a Burst Statistics 3.4.2
El parche salió el 12 de mayo de 2026. La actualización es la única solución real. Si por alguna razón no podés actualizar ahora, la alternativa es desactivar o desinstalar el plugin hasta que puedas.
Pasos concretos:
- Entrá a tu panel WordPress en Plugins > Plugins instalados.
- Buscá «Burst Statistics» en el listado.
- Si la versión que muestra es 3.4.0, 3.4.1 o 3.4.1.1, actualizá de inmediato a 3.4.2.
- Si ves «Actualizar disponible», hacé clic en «Actualizar ahora».
- Verificá después que la versión instalada sea 3.4.2 o superior.
Si gestionás múltiples sitios, priorizá los que usan MainWP para la gestión centralizada: son los más expuestos porque esa es exactamente la integración afectada.
Protección de Wordfence: quién está cubierto y desde cuándo
Acá viene una diferencia importante que mucha gente no sabe.
Los usuarios de Wordfence Premium, Care y Response recibieron la regla de firewall que bloquea este ataque el 8 de mayo de 2026, antes de la divulgación pública. Los usuarios de la versión gratuita la recibirán recién el 7 de junio de 2026, 30 días después.
Si usás Wordfence Free y todavía no actualizaste el plugin, estás en una ventana de exposición real que dura hasta junio. La actualización a 3.4.2 es el único camino seguro ahora mismo.
Alternativas a Burst Statistics: qué usar si decidís cambiar
No es obligatorio cambiar. Si actualizás a 3.4.2 y el plugin funciona bien para vos, no hay razón para migrar. Los incidentes de seguridad pasan en todos los proyectos de software. En vulnerabilidades que impactaron a millones profundizamos sobre esto.
Dicho esto, si este episodio te hizo dudar del plugin, hay opciones:
| Plugin | Modelo de datos | Precio | Cookieless | GDPR |
|---|---|---|---|---|
| Burst Statistics | Local (tu servidor) | Gratis / Pro USD 59/año | Sí | Sí |
| Matomo for WordPress | Local (tu servidor) | Gratis / On-premise | Sí (configurable) | Sí |
| Independent Analytics | Local (tu servidor) | Gratis / Pro USD 79/año | Sí | Sí |
| ExactMetrics (Google Analytics) | Google Analytics (externo) | Gratis / Pro USD 99/año | No | Requiere config |
Matomo es la opción más robusta si querés control total sobre los datos. Independent Analytics es más liviana y fácil de configurar. La elección depende de qué tanto uso le des al analytics y si te importa tener los datos en tu servidor.
Errores comunes en este tipo de situaciones
Error 1: Esperar a que el hosting actualice automáticamente. Los updates automáticos de plugins suelen estar desactivados en instalaciones de producción, o tener delays. No asumas que ya está actualizado: chequealo manualmente.
Error 2: Creer que estar detrás de Cloudflare alcanza. Cloudflare puede bloquear algunos ataques conocidos, pero no tiene visibilidad específica de esta vulnerabilidad hasta que ellos mismos actualicen sus reglas. La actualización del plugin es la solución real.
Error 3: Desinstalar sin revisar si ya hubo acceso. Si tu sitio estuvo expuesto durante el período mayo 2026 y no tenías Wordfence Premium activo, antes de desinstalar o actualizar revisá los logs: cuentas de usuario nuevas, cambios en archivos de plugins, accesos en el log de actividad. Una actualización del plugin cierra la puerta, pero no limpia lo que ya entró.
Para más detalle sobre este tipo de fallo, mirá Bypass crítico de autenticación en Burst Statistics expone 2.
Esto se conecta con Bypass crítico de autenticación en Burst Statistics expone 2, donde cubrimos el tema en detalle.
Para más detalles sobre este tema, podés ver nuestro artículo sobre Bypass crítico de autenticación en Burst Statistics expone 2.
Esto se conecta con Bypass crítico de autenticación en Burst Statistics expone 2.
Para más detalles, mirá este artículo sobre Bypass crítico de autenticación en Burst Statistics expone 2.
Profundizamos en el tema acá: Bypass crítico de autenticación en Burst Statistics expone 2.
Si querés entender bien esto, tenemos todo explicado en Bypass crítico de autenticación en Burst Statistics expone 2.
Esto se conecta directamente con Bypass crítico de autenticación en Burst Statistics expone 2, donde profundizamos en el tema.
Esto se relaciona con Bypass crítico de autenticación en Burst Statistics expone 2.
Podés profundizar en un caso similar en nuestro análisis del Bypass crítico de autenticación en Burst Statistics expone 2.
En otro artículo cubrimos en detalle el Bypass crítico de autenticación en Burst Statistics expone 2.
Encontrás un análisis similar en Bypass crítico de autenticación en Burst Statistics expone 2, donde detallamos el impacto real.
Se conecta directamente con Bypass crítico de autenticación en Burst Statistics expone 2, otro caso de validación débil que cubrimos.
Si querés ahondar en esto, tenemos un análisis completo sobre Bypass crítico de autenticación en Burst Statistics expone 2.
Este tema se profundiza en nuestro artículo sobre Bypass crítico de autenticación en Burst Statistics expone 2.
Para profundizar, revisá nuestro análisis en Bypass crítico de autenticación en Burst Statistics expone 2.
Algo similar pasó con Bypass crítico de autenticación en Burst Statistics expone 2, donde también se saltaron controles de seguridad críticos.
Si querés profundizar en este tipo de vulnerabilidad, revisá Bypass crítico de autenticación en Burst Statistics expone 2.
Esto se relaciona directamente con Bypass crítico de autenticación en Burst Statistics expone 2, donde explicamos la vulnerabilidad en detalle.
Esto se conecta con Bypass crítico de autenticación en Burst Statistics expone 2.
Esto te suena a lo que pasó con el Bypass crítico de autenticación en Burst Statistics expone 2.
Mirá también Bypass crítico de autenticación en Burst Statistics expone 2, donde diseccionamos otro caso similar de auth bypass.
Si querés profundizar en esto, tenemos un artículo sobre Bypass crítico de autenticación en Burst Statistics expone 2.
Si te interesa este tipo de ataques, mirá nuestro análisis sobre Bypass crítico de autenticación en Burst Statistics expone 2.
Acá tenés más detalles en nuestro artículo sobre Bypass crítico de autenticación en Burst Statistics expone 2.
Tenemos más sobre esto en Bypass crítico de autenticación en Burst Statistics expone 2, donde analizamos a fondo este agujero.
Este tema lo cubrimos en detalle en Bypass crítico de autenticación en Burst Statistics expone 2.
Esto se conecta con Bypass crítico de autenticación en Burst Statistics expone 2, donde cubrimos el tema en detalle.
Esto está conectado con Bypass crítico de autenticación en Burst Statistics expone 2, donde cubrimos la vulnerabilidad en detalle.
Esto se conecta con Bypass crítico de autenticación en Burst Statistics expone 2, donde cubrimos el tema en detalle.
Lo mismo sucedió con Bypass crítico de autenticación en Burst Statistics expone 2, que cubrimos en profundidad.
Podés leer más sobre este tema en nuestro análisis del Bypass crítico de autenticación en Burst Statistics expone 2.
Esto se conecta con Bypass crítico de autenticación en Burst Statistics expone 2, donde profundizamos sobre el tema.
Acá cubrimos Bypass crítico de autenticación en Burst Statistics expone 2 en detalle.
Esto se conecta con Bypass crítico de autenticación en Burst Statistics expone 2, donde cubrimos el tema en detalle.
Cubrimos este tema con detalle en Bypass crítico de autenticación en Burst Statistics expone 2.
Si te interesa profundizar, tenemos un artículo sobre Bypass crítico de autenticación en Burst Statistics expone 2.
Esto se conecta con Bypass crítico de autenticación en Burst Statistics expone 2, donde lo cubrimos en detalle.
Preguntas Frecuentes
¿CVE-2026-8181 afecta mi sitio WordPress si uso Burst Statistics?
Si tenés instalada cualquier versión entre 3.4.0 y 3.4.1.1, sí. El fallo está en la integración MainWP del plugin y permite que cualquier persona sin cuenta pueda acceder como administrador. La versión 3.4.2, lanzada el 12 de mayo de 2026, corrige la falla. Lo explicamos a fondo en herramientas de seguridad para WordPress.
¿Cómo sé qué versión de Burst Statistics tengo instalada?
Entrá a Plugins > Plugins instalados en tu panel de WordPress y buscá Burst Statistics en el listado. La versión instalada aparece debajo del nombre del plugin. Si figura 3.4.0, 3.4.1 o 3.4.1.1, actualizá de inmediato a 3.4.2.
¿Wordfence gratuito protege de este ataque?
No todavía. La regla de firewall para CVE-2026-8181 llega a Wordfence Free el 7 de junio de 2026. Hasta esa fecha, los usuarios del plan gratuito solo están protegidos si actualizan el plugin a 3.4.2. Wordfence Premium tuvo la regla desde el 8 de mayo.
¿Es necesario desinstalar Burst Statistics por esta vulnerabilidad?
No. Actualizar a la versión 3.4.2 resuelve completamente el problema. Solo tiene sentido desinstalar si no podés actualizar en las próximas horas o si decidís migrar a otra herramienta de analytics. En ese caso, desactivar el plugin es suficiente como medida temporal.
¿Qué tipo de daño puede causar un atacante que explota esta falla?
Acceso administrativo completo al sitio. Con eso puede crear cuentas admin, instalar plugins maliciosos, modificar o borrar contenido, robar datos de usuarios, o usar el sitio para distribuir malware. Según malware.news, el ataque se ejecuta vía REST API sin necesidad de acceso previo al sitio.
Conclusión
CVE-2026-8181 en Burst Statistics es una de las vulnerabilidades más serias del primer semestre de 2026 para el ecosistema WordPress: CVSS 9.8, 200.000 sitios expuestos, explotación activa confirmada con 7.400 intentos bloqueados en 24 horas. El vector es simple y automatizable.
La buena noticia es que el parche existe desde el 12 de mayo y actualizar toma dos minutos. La acción concreta es una sola: actualizá a la versión 3.4.2 hoy.
Si tu hosting está en donweb.com o cualquier otro proveedor, el proceso de actualización es el mismo desde el panel de WordPress, independientemente de dónde estén alojados tus archivos.
Lo que vale la pena recordar de este episodio: la integración con herramientas de gestión externa (como MainWP) es una superficie de ataque que muchos desarrolladores de plugins no revisan con suficiente cuidado. Ojo con plugins que manejan autenticación delegada: son exactamente el tipo de código donde este tipo de fallas aparece.
Fuentes
- Malware News – 200.000 sitios en riesgo por bypass en Burst Statistics
- BleepingComputer – Hackers explotan falla de bypass en Burst Statistics
- WP Vanguard – WordPress Vulnerability Roundup: May 2026
- CSIRT Telconet – Vulnerabilidad crítica en Burst Statistics
- El Hacker – Vulnerabilidad crítica en plugin de WordPress Burst Statistics