Resumen
UpdraftPlus <= 1.26.4 permite a atacantes sin autenticar forjar comandos remotos en ciertos sitios con UpdraftCentral/Migrator. Wordfence lo marca como CVSS 8.1 High y reporta ataques bloqueados.
Actualizacion rapida: Wordfence Intelligence publico el 10 de junio de 2026 una vulnerabilidad de autenticacion bypass en UpdraftPlus: WP Backup & Migration Plugin, uno de los plugins de backup y migracion mas instalados del ecosistema WordPress.
El fallo esta registrado como CVE-2026-10795 y afecta a todas las versiones de UpdraftPlus hasta la 1.26.4. Wordfence lo califica como CVSS 8.1 High y lo describe como una debilidad en la validacion de comunicaciones remotas de UpdraftCentral, que puede permitir a atacantes sin autenticar ejecutar comandos RPC como si fueran el administrador conectado.
Que ha pasado
Segun la ficha tecnica de Wordfence, el problema esta en la funcion UpdraftPlus_Remote_Communications_V2::wp_loaded. La validacion insuficiente del formato de los mensajes remotos puede permitir saltarse la verificacion de firma y derivar en una clave de cifrado predecible.
La consecuencia operativa es seria: un atacante podria forjar comandos remotos y ejecutarlos con privilegios de administrador conectado. Wordfence menciona como ejemplo la posibilidad de subir y activar un plugin malicioso, lo que en la practica puede terminar en ejecucion remota de codigo.
A quien afecta
La vulnerabilidad afecta a instalaciones con UpdraftPlus <= 1.26.4. La version corregida es 1.26.5, publicada el 5 de junio de 2026 segun el changelog de WordPress.org.
El alcance potencial es alto porque UpdraftPlus indica en WordPress.org que esta activo en mas de 3 millones de sitios. Ademas, el propio changelog avisa de que el defecto afecta a sitios con una clave activa de Migrator en versiones de pago o una clave de UpdraftCentral en versiones gratuitas y de pago.
Por que importa
Los plugins de backup y migracion suelen tener permisos especialmente sensibles: acceso a ficheros, base de datos, restauraciones, almacenamiento remoto y operaciones de administracion. En una agencia o portfolio multi-sitio, un fallo de este tipo no debe priorizarse solo por el CVSS, sino por la combinacion de instalacion masiva, privilegios altos y posible impacto de compromiso completo.
Wordfence actualizo la ficha el 11 de junio de 2026 e indica que ha bloqueado miles de ataques dirigidos a esta vulnerabilidad en las ultimas 24 horas. Eso convierte la actualizacion en una accion de prioridad alta para equipos que gestionan muchos WordPress.
Que hacer ahora
- Actualizar UpdraftPlus a 1.26.5 o superior en todos los sitios afectados.
- Revisar si el sitio usa UpdraftCentral, Migrator o conexiones remotas activas.
- Auditar usuarios administradores, plugins instalados recientemente y cambios inesperados en ficheros.
- Comprobar logs de seguridad, WAF y servidor alrededor de peticiones a endpoints de UpdraftPlus/UpdraftCentral.
- Priorizar primero sitios con ecommerce, datos personales, alto trafico, administracion compartida o historico de ataques.
Como priorizarlo en entornos multi-sitio
Para agencias y owners con decenas de instalaciones, la pregunta no es solo “que sitios tienen UpdraftPlus”, sino cuales siguen en una version vulnerable y cuales tienen integraciones remotas activas. Conviene ordenar el trabajo por exposicion, criticidad del cliente y facilidad de verificacion posterior.
Tras actualizar, deja una evidencia simple: version corregida, fecha/hora de actualizacion, revision de administradores, revision de plugins recientes y resultado de logs. Ese registro reduce friccion cuando un cliente pregunta si su web estuvo expuesta.
Fuentes
- Wordfence Intelligence: CVE-2026-10795 en UpdraftPlus
- CVE.org: CVE-2026-10795
- WordPress.org: UpdraftPlus y changelog 1.26.5
Donde encaja Vulnity
Vulnity no detecta automaticamente CVEs de plugins ni corrige esta vulnerabilidad por si sola. Su valor aqui es operativo: ayuda a centralizar visibilidad multi-sitio, revisar hardening, detectar actividad sospechosa, acelerar la respuesta y bloquear IPs maliciosas cuando aplica. En incidentes de plugins populares, esa coordinacion marca la diferencia entre actualizar una web y controlar realmente la exposicion de una cartera WordPress.
Sobre Vulnity
Cuando una vulnerabilidad WordPress importa, importan el inventario y la velocidad de respuesta. Vulnity ayuda a agencias a coordinar revisiones, hardening y respuesta multi-sitio.
