Los sitios web creados con WordPress vuelven a estar en el punto de mira por una vulnerabilidad crítica en uno de sus plugins. Esta vez el problema afecta a WP Maps Pro, una extensión premium utilizada para crear mapas interactivos, localizadores de tiendas y directorios de ubicaciones. El fallo, identificado como CVE-2026-8732, permite crear cuentas de administrador falsas sin necesidad de iniciar sesión previamente.
La vulnerabilidad afecta a las versiones 6.1.0 y anteriores de WP Maps Pro, un plugin empleado habitualmente por empresas, inmobiliarias, negocios turísticos, directorios y organizaciones que necesitan mostrar varias localizaciones en un mapa. Según la información disponible, la extensión acumula más de 15.800 ventas en Envato Market, por lo que el alcance potencial del problema no es menor.
Una función de soporte convertida en puerta de entrada
El origen del fallo está en una característica de “acceso temporal” incluida en el plugin. Esta función estaba pensada para que el equipo de soporte pudiera acceder de forma puntual a las webs de los clientes y ayudarles a resolver problemas técnicos.
El problema es que el endpoint AJAX utilizado por esa función podía ser alcanzado por usuarios no autenticados. Además, la protección dependía únicamente de un nonce expuesto públicamente en el JavaScript del frontend, lo que dejaba el mecanismo de seguridad prácticamente sin efecto.
En la práctica, un atacante podía enviar una petición especialmente diseñada para activar el código vulnerable. Esa solicitud creaba un nuevo usuario en WordPress, le asignaba el rol de administrador, generaba una URL de acceso sin contraseña y la devolvía en la respuesta. Al abrir ese enlace, el atacante quedaba autenticado automáticamente como administrador del sitio.
Control total sobre la web afectada
El riesgo es especialmente grave porque una cuenta de administrador en WordPress permite controlar casi todos los aspectos de una web. Con ese nivel de permisos, un actor malicioso puede modificar contenidos, instalar plugins, añadir código malicioso, crear nuevas cuentas, acceder a datos privados o desplegar web shells para mantener el acceso incluso después de que se intente corregir el problema.
También podría utilizar la web comprometida para redirigir visitantes a páginas fraudulentas, alojar campañas de phishing, manipular formularios de contacto o insertar puertas traseras persistentes. En el caso de sitios empresariales o comerciales, el impacto puede ir más allá de la propia página y afectar a clientes, usuarios registrados o formularios con información sensible.
Este tipo de vulnerabilidades son especialmente atractivas para campañas automatizadas porque no requieren credenciales previas. Basta con localizar instalaciones vulnerables del plugin y lanzar solicitudes contra ellas.
Más de 3.600 intentos de explotación en 24 horas
La amenaza ya está siendo aprovechada de forma activa. Investigadores de Defiant, la compañía detrás de Wordfence, observaron intentos de explotación contra sitios vulnerables y bloquearon más de 3.600 intentos en solo 24 horas.
El investigador David Brown fue quien descubrió y reportó la vulnerabilidad. El fallo fue comunicado inicialmente a Wordfence el 24 de marzo y, tras la validación del exploit, el proveedor fue notificado el 16 de mayo. La versión corregida, WP Maps Pro 6.1.1, fue publicada el 20 de mayo.
Qué deben hacer los administradores
La recomendación principal es actualizar WP Maps Pro cuanto antes a la versión 6.1.1 o posterior. Cualquier sitio que utilice una versión anterior debería considerarse en riesgo, especialmente si el plugin está activo.
Además de aplicar el parche, conviene revisar la lista de usuarios administradores en WordPress para detectar cuentas desconocidas o creadas recientemente. También es recomendable comprobar plugins instalados, cambios en archivos, accesos sospechosos, tareas programadas y posibles modificaciones en el contenido de la web.
Si no es posible actualizar de inmediato, lo más prudente es desactivar temporalmente el plugin hasta poder instalar la versión corregida.
