Obtén hosting web experto

Elija la fiabilidad del sitio web y el conocimiento con SiteGround!

Seguridad WordPress

Vulnerabilidad crítica de UpdraftPlus corregida en todos los sitios WordPress alojados en SiteGround

Lee y resume el articulo:
Jun 12, 2026 2 min de lectura
Ilustración de seguridad de SiteGround que muestra código, iconos de plugins y un escudo bajo una lupa.

Si tu sitio web utiliza el plugin de copias de seguridad UpdraftPlus, aquí tienes la versión corta: se descubrió una vulnerabilidad crítica en el plugin, y ya lo hemos actualizado a la versión corregida en todos los sitios afectados que alojamos. Estás protegido, y no necesitas hacer nada.

A continuación, te contamos qué pasó, qué hicimos y en qué debes fijarte.

Tu sitio ya está protegido

El 11 de junio de 2026, nuestro equipo de ingeniería actualizó forzosamente el plugin UpdraftPlus en todos los sitios alojados que ejecutaban una versión vulnerable. Cada instalación afectada se movió a la versión 1.26.5, que contiene la corrección oficial. Más de 128.000 sitios en nuestra plataforma estaban ejecutando una versión vulnerable, y todos han sido corregidos.

Probamos las rutas de actualización antes de implementarla y no encontramos ningún problema. No prevemos que esta actualización cause ningún fallo en los sitios.

¿En qué consiste la vulnerabilidad?

La vulnerabilidad, identificada como CVE-2026-10795, consiste en un Unauthenticated Authentication Bypass, es decir, una omisión de autenticación que afecta a las versiones de UpdraftPlus hasta la 1.26.4. En pocas palabras, permitía a los atacantes obtener acceso de administrador a un sitio WordPress sin conocer el nombre de usuario ni la contraseña. Desde allí, podían ejecutar código en el sitio, lo que representa una de las vulnerabilidades más graves que puede tener un plugin.

El hecho de que no requiriera autenticación es lo que la hace crítica. Muchas vulnerabilidades exigen que el atacante ya tenga algún nivel de acceso, como una cuenta de suscriptor o colaborador. Esta no requería nada en absoluto. Cualquier sitio que ejecutara una versión vulnerable quedaba expuesto a cualquiera que conociera la vulnerabilidad.

Qué hicimos y cuándo

Tan pronto como se divulgó la vulnerabilidad, nuestro equipo tardó menos de una hora en actualizar proactivamente la versión parcheada del plugin en todos los sitios afectados, actuando de inmediato para cerrar la ventana de exposición antes de que los atacantes pudieran explotarla a gran escala, en lugar de esperar a que los propietarios de los sitios actualizaran manualmente o se vieran afectados de alguna manera. 

Esta fue la respuesta:

  • Identificamos todos los sitios alojados que ejecutaban las versiones 1.24.x, 1.25.x y 1.26.x de UpdraftPlus.
  • Probamos las actualizaciones de la 1.24.x a la 1.26.x y otras versiones afectadas a la 1.26.5 por adelantado para confirmar que la actualización no causaría problemas.
  • Actualizamos forzosamente más de 128.000 instalaciones afectadas a la versión parcheada 1.26.5.
  • Todo el proceso se completó en aproximadamente 52 minutos.

¿Afectará la actualización a mi sitio web?

No esperamos que lo haga. Las actualizaciones del plugin entre estas versiones se probaron antes de la implementación, y no se detectaron problemas.

Dicho esto, si deseas mayor tranquilidad, aquí tienes dos cosas rápidas que puedes comprobar:

  • Confirma que tu programación de backups en UpdraftPlus sigue configurada como la estableciste.
  • Verifica que tu copia de seguridad más reciente se haya completado con éxito.

Ambas comprobaciones te llevarán menos de un minuto desde tu panel de WordPress. 

Por qué forzamos actualizaciones para vulnerabilidades críticas

Cuando una vulnerabilidad es crítica, fácilmente explotable y se divulga públicamente, cada hora de retraso cuenta. Los atacantes comienzan a buscar sitios vulnerables a las pocas horas de una divulgación como esta, y esperar a que cada propietario actualice manualmente dejaría miles de sitios expuestos mientras tanto.

En estas situaciones, aplicamos el parche primero y notificamos inmediatamente después. Creemos que una actualización proactiva siempre es mejor que dejar los sitios expuestos a un ataque total.

Como regla general, también recomendamos mantener las actualizaciones automáticas de los plugins habilitadas siempre que sea posible. Es la práctica más eficaz para anticiparse a vulnerabilidades como esta.

Comparte este artículo

Autor: Aleksandar Kolev

Experto en Servicios y Productos de Hosting Web

Aleksandar se centra en cómo la infraestructura de hosting, los sistemas de rendimiento y las herramientas de la plataforma trabajan juntos para mantener las webs rápidas, seguras y fiables. Su trabajo consiste en traducir conceptos complejos de hosting, como la caché, el DNS y la optimización a nivel de servidor, en consejos prácticos basados en situaciones reales y necesidades de los usuarios. Fuera del trabajo, le gusta jugar al ajedrez, meditar, tocar la guitarra e integrar sistemas de IA en su día a día.

Más de Aleksandar

Artículos relacionados

SiteGround corrigió 5 vulnerabilidades críticas del kernel de Linux en 48 horas, sin tiempo de inactividad

Las últimas semanas han sido intensas para quienes se dedican a administrar servidores Linux. Entre finales…

  • May 22, 2026
  • 4 min de lectura

WordPress 7.0: la actualización más importante desde 2018, todo lo que necesitas saber

Si llevas tiempo en el mundo de WordPress, sabes que no todas las actualizaciones son iguales.…

  • Apr 16, 2026
  • 6 min de lectura

SiteGround presenta WP Agency Forum 2025: estrategias reales y networking de alto nivel para agencias WordPress en España

El mundo de las agencias nunca ha cambiado tan rápido. En los últimos dos años, la…

  • Sep 04, 2025
  • 3 min de lectura
Ver las últimas noticias

Comentarios ( 0 )

Deja un comentario

Añadir comentario