Si recibió un correo electrónico mío que le remite a esta página, es porque su sitio web parece estar ejecutando una versión vulnerable de Burst Statistics (el plugin de WordPress burst-statistics, un plugin de analítica respetuoso con la privacidad). Esta página explica por qué importa y cómo corregirlo.

Este aviso se refiere a CVE-2026-8181, una vulnerabilidad crítica, explotada activamente (CVSS 9.8), que permite a un atacante tomar el control de su sitio como administrador sin iniciar sesión. Afecta a un rango reducido de versiones (las versiones 3.4.0, 3.4.1 y 3.4.1.1) y está corregida en 3.4.2. Las versiones anteriores a 3.4.0 nunca estuvieron afectadas. Si está ejecutando una versión afectada, actualice Burst Statistics a 3.4.2 o posterior lo antes posible. Dado que este fallo entrega a un atacante el control total del sitio y se está explotando a gran escala, también debería comprobar si hay señales de acceso no autorizado (consulte Si estaba en una versión afectada más abajo).

Este es un fallo de un plugin, no un fallo del núcleo de WordPress. Un WordPress totalmente actualizado no le protege si el propio plugin Burst Statistics está en una versión afectada.

¿Es legítimo este mensaje?

Sí. Se trata de un aviso de buena fe, según el principio de la divulgación responsable, de un investigador de seguridad independiente. No le pido dinero, contraseñas ni acceso a su sitio, y no he intentado entrar en él, subir nada ni explotar nada.

Lo único que hice fue mirar archivos visibles públicamente que su sitio web ofrece a cada visitante (del mismo modo que su página de inicio es pública) y anotar el número de versión que el plugin Burst Statistics publica en su archivo readme.txt público. En concreto, no toqué la función vulnerable, y nada en esta comprobación toca sus datos, su área de administración ni ninguna parte privada de su sitio.

Si desea verificar quién soy, consulte los datos de contacto al final de esta página y la página Acerca de.

Por qué importa

Burst Statistics es un plugin de analítica respetuoso con la privacidad muy utilizado (alrededor de 200.000 instalaciones activas). En la versión 3.4.0 añadió una integración con el panel de gestión remota MainWP, y el código que autentica esas solicitudes contiene un error: comprueba de forma incorrecta el resultado de la contraseña de aplicación de una solicitud entrante, de modo que una solicitud que no lleva ninguna contraseña válida aún puede ser aceptada.

El efecto práctico es que un atacante remoto que simplemente conozca el nombre de usuario de cualquier administrador de su sitio puede enviar una solicitud web ordinaria que el plugin acepta como ese administrador, sin contraseña y sin iniciar sesión. Eso otorga al atacante todo el poder de una cuenta de administrador: puede crear nuevos usuarios administradores, instalar un plugin o un tema (una forma habitual de colocar una puerta trasera), cambiar contenido o leer datos.

El fallo recibió una puntuación de 9,8 sobre 10 (gravedad crítica). Fue descubierto por el equipo de investigación de Wordfence, y Wordfence informa de que se está explotando activamente en la práctica a gran escala, del orden de miles de intentos de ataque al día, con código de prueba de concepto disponible públicamente. Si mi correo citaba este problema, significa que la versión que informa su sitio cae dentro del rango afectado. No he probado si su sitio concreto es explotable o ya está comprometido, solo que informa de una versión afectada.

La buena noticia: actualizar a la versión corregida cierra el agujero, y la actualización es sencilla.

Cómo comprobar su versión

No tiene que creer en mi palabra sobre qué versión está ejecutando.

Desde el manifiesto público (sin necesidad de iniciar sesión): abra yourdomain.com/wp-content/plugins/burst-statistics/readme.txt en un navegador. La línea Stable tag: cerca de la parte superior es la versión que informa su instalación de Burst Statistics, y este es el mismo archivo público que leí.

Desde el área de administración de WordPress (si tiene acceso):

  1. Inicie sesión en su panel de WordPress (normalmente en yourdomain.com/wp-admin).
  2. Vaya a Plugins luego Plugins instalados.
  3. Busque Burst Statistics y anote la versión que se muestra bajo su nombre.

Si la versión es 3.4.0, 3.4.1 o 3.4.1.1, está en una versión afectada y debería actualizar. 3.4.2 y posteriores están corregidas, y las versiones anteriores a 3.4.0 nunca estuvieron afectadas.

Cómo actualizar

La vía más segura es actualizar a través del propio WordPress, y hacer antes una copia de seguridad:

  1. Haga una copia de seguridad de su sitio (archivos y base de datos) antes de realizar cambios. La mayoría de los proveedores de alojamiento ofrecen copias de seguridad con un solo clic, o use un plugin de copia de seguridad de WordPress.
  2. En la administración de WordPress, vaya a Escritorio luego Actualizaciones, o Plugins luego Plugins instalados. Si aparece una actualización de Burst Statistics, instálela desde aquí.
  3. Si no aparece ninguna actualización, puede obtener la última versión directamente desde la página del plugin en el directorio de WordPress.org, Burst Statistics, y actualizar mediante Plugins luego Añadir nuevo plugin luego Subir plugin.
  4. Después de actualizar, confirme el nuevo número de versión (3.4.2 o posterior) con los pasos anteriores, y compruebe que su sitio carga con normalidad.

Ya que está en ello, conviene confirmar que el núcleo de WordPress y sus demás plugins están actualizados, ya que el mismo principio se aplica a todos ellos.

Si estaba en una versión afectada

Dado que este fallo se está explotando activamente para tomar el control de sitios, un sitio que ejecutó una versión afectada no debería suponer que simplemente actualizar sea suficiente. La actualización elimina la vulnerabilidad, pero no deshace ningún acceso que un atacante ya pudiera haber conseguido. Usted (o su webmaster) debería comprobarlo en su propio sitio:

  • Revise sus cuentas de administrador. En Usuarios luego Todos los usuarios, filtre por Administrador y elimine cualquier cuenta que no reconozca. Los atacantes suelen añadir un nuevo usuario administrador para mantener el acceso.
  • Revise los plugins y temas instalados o modificados recientemente. Busque cualquier cosa que no haya instalado usted mismo, y plugins con nombres genéricos o desconocidos: un plugin o tema fraudulento es una forma habitual de colocar una puerta trasera.
  • Revise las contraseñas de aplicación. Para cada usuario (Usuarios luego el Perfil del usuario), compruebe la sección Contraseñas de aplicación y revoque cualquier entrada que no haya creado.
  • Esté atento a otras señales. Contenido o páginas nuevos inesperados, cambios en el correo de administración o en los ajustes de URL del sitio, o tareas programadas desconocidas merecen ser investigados.

Si encuentra evidencia de acceso no autorizado, trate el sitio como comprometido: elimine cualquier usuario, plugin o tema fraudulento, rote sus credenciales (administración de WordPress, base de datos y panel de alojamiento) y considere restaurar desde una copia de seguridad conocida como buena tomada antes de la intrusión. Si su organización tiene un equipo de seguridad informática, involúcrelos.

Quiero dejarlo claro: no he comprobado su sitio en busca de ninguno de estos indicadores, y no sé si su sitio se vio afectado. Esta lista está aquí para que pueda comprobarlo usted mismo.

No tengo webmaster / estoy atascado

Si usted no es la persona que mantiene el sitio, reenvíe esta página a quien lo haga (su desarrollador web, agencia o proveedor de alojamiento). Reconocerán los pasos anteriores con rapidez.

Si mantiene el sitio usted mismo y se atasca, con gusto le ayudo a orientarse en la dirección correcta sin coste alguno. Póngase en contacto usando los datos de abajo.

Contacto

Evan Harris, investigador de seguridad

Me pongo en contacto por problemas como este únicamente para ayudar a los operadores a asegurar sus sitios. Si prefiere que no se le vuelva a contactar, simplemente dígamelo y lo respetaré.

Referencias

Avisos oficiales y seguimiento

Proveedor / plugin