{"id":1934,"date":"2020-01-15T16:21:44","date_gmt":"2020-01-15T15:21:44","guid":{"rendered":"https:\/\/www.lucushost.com\/blog\/?p=1934"},"modified":"2025-10-24T10:08:13","modified_gmt":"2025-10-24T09:08:13","slug":"vulnerabilidad-en-infinitewp-client","status":"publish","type":"post","link":"https:\/\/www.lucushost.com\/blog\/vulnerabilidad-en-infinitewp-client\/","title":{"rendered":"Una vulnerabilidad en el plugin InfiniteWP Client permite entrar a WordPress sin contrase\u00f1a"},"content":{"rendered":"<p>S\u00ed, como lo est\u00e1s leyendo. No es la primera vez (ni ser\u00e1 la \u00faltima) que se detecta una vulnerabilidad que puede poner en riesgo la seguridad de tu web o de tu negocio. En este caso, el afectado es el <strong>plugin InfiniteWP Client de WordPress<\/strong>, as\u00ed que si lo est\u00e1s utilizando en tu web, deber\u00edas ponerle remedio desde ya.<\/p>\n<p><!--more--><\/p>\n<p>Como sabes, WordPress es el CMS m\u00e1s utilizado en la creaci\u00f3n de p\u00e1ginas web. Concretamente, <a href=\"https:\/\/w3techs.com\/\" target=\"_blank\" rel=\"noopener nofollow\"><strong>el 60,6% de webs<\/strong><\/a> que utilizan alg\u00fan CMS est\u00e1n hechas en WordPress. Esto lo convierte en un objetivo muy apetitoso para los hackers, especialmente si se detecta una vulnerabilidad como la de InfiniteWP Client, ya que no tardan en aprovecharla y colarse en cualquier web para hacer de las suyas.<\/p>\n<p>Se trata de un plugin muy popular y utilizado del repositorio de WordPress y se estima que esta vulnerabilidad<strong> afecta a m\u00e1s de 300.000 sitios web.<\/strong><\/p>\n<div id=\"toc_container\" class=\"no_bullets\"><p class=\"toc_title\">Tabla de contenidos:<\/p><ul class=\"toc_list\"><li><a href=\"#Pero_en_que_consiste_la_vulnerabilidad_de_InfiniteWP_Client\">Pero, \u00bfen qu\u00e9 consiste la vulnerabilidad de InfiniteWP Client?<\/a><\/li><li><a href=\"#Cuando_se_detecto_esta_vulnerabilidad\">\u00bfCu\u00e1ndo se detect\u00f3 esta vulnerabilidad?<\/a><\/li><li><a href=\"#Y_que_tengo_que_hacer_si_mi_web_esta_afectada\">\u00bfY qu\u00e9 tengo que hacer si mi web est\u00e1 afectada?<\/a><\/li><li><a href=\"#No_expongas_tu_web\">No expongas tu web<\/a><\/li><\/ul><\/div>\n\n<h2><span id=\"Pero_en_que_consiste_la_vulnerabilidad_de_InfiniteWP_Client\">Pero, \u00bfen qu\u00e9 consiste la vulnerabilidad de InfiniteWP Client?<\/span><\/h2>\n<p>En inform\u00e1tica, hablamos de vulnerabilidad para referirnos a<strong> puntos d\u00e9biles o errores que comprometen la seguridad, privacidad o confidencialidad de un sistema<\/strong>. Estos agujeros de seguridad se deben principalmente a errores de dise\u00f1o o desarrollo y suelen ser aprovechadas por los hackers para explotarlas con intenciones cuestionables.<\/p>\n<p>No existe un software perfecto, todos son susceptibles de presentar vulnerabilidades. De hecho, hay algunas que fueron muy sonadas por el riesgo que supon\u00edan:<\/p>\n<ul>\n<li><strong><a href=\"https:\/\/www.lucushost.com\/blog\/vulnerabilidad-en-contact-form-7-style\/\">Vulnerabilidad en Contact Form Style<\/a><\/strong>, que incluso llegaron a retirar temporalmente el plugin del repositorio.<\/li>\n<li><strong><a href=\"https:\/\/www.lucushost.com\/blog\/vulnerabilidad-contact-form-7\/\">Vulnerabilidad en Contact Form 7<\/a><\/strong>, permitiendo la subida de archivos a cualquier p\u00e1gina.<\/li>\n<li><strong><a href=\"https:\/\/www.lucushost.com\/blog\/vulnerabilidad-easy-smtp-wordpress\/\">Vulnerabilidad en Easy SMTP de WordPress<\/a><\/strong>, donde cualquier usuario pod\u00eda tomar el control de la web.<\/li>\n<li><strong><a href=\"https:\/\/www.lucushost.com\/blog\/vulnerabilidad-themegrill-demo-importer\/\">Vulnerabilidad en ThemeGrill Demo Importer<\/a><\/strong>, que permit\u00eda entrar al <a href=\"https:\/\/www.lucushost.com\/blog\/frontend-backend\/\">backend<\/a> como administrador.<\/li>\n<li><strong><a href=\"https:\/\/www.lucushost.com\/blog\/vulnerabilidad-wpdiscuz\/\">Vulnerabilidad en wpDiscuz<\/a><\/strong>, que dejaba ejecutar c\u00f3digo de forma remota.<\/li>\n<\/ul>\n<p>En esta ocasi\u00f3n le ha tocado al plugin <strong>InfiniteWP Client<\/strong>. Se trata de una vulnerabilidad cr\u00edtica que permite que cualquier usuario<strong> acceda al panel de administraci\u00f3n de WordPress sin necesidad de autenticaci\u00f3n<\/strong>. Tan solo con el nombre de usuario es necesario para tomar el control de la aplicaci\u00f3n.<\/p>\n<h2><span id=\"Cuando_se_detecto_esta_vulnerabilidad\">\u00bfCu\u00e1ndo se detect\u00f3 esta vulnerabilidad?<\/span><\/h2>\n<p>Esta vulnerabilidad fue detectada y reportada al desarrollador del plugin el pasado d\u00eda <strong>7 de enero<\/strong>. Al d\u00eda siguiente, el desarrollador liber\u00f3 una nueva versi\u00f3n, InfiniteWP Client 1.9.4.5 corrigiendo el agujero de seguridad. Y, durante el d\u00eda de ayer, se hizo p\u00fablico oficialmente.<\/p>\n<p><b>Importante: <\/b>Adem\u00e1s de la vulnerabilidad de InfiniteWP Client, al mismo tiempo tambi\u00e9n se detect\u00f3 y se report\u00f3 un agujero de seguridad en el plugin <strong>WP Time Capsule<\/strong> que ha sido parcheado r\u00e1pidamente con la liberaci\u00f3n de la versi\u00f3n 1.21.16.<\/p>\n<h2><span id=\"Y_que_tengo_que_hacer_si_mi_web_esta_afectada\">\u00bfY qu\u00e9 tengo que hacer si mi web est\u00e1 afectada?<\/span><\/h2>\n<p>Lo primero de todo, aseg\u00farate de que tienes instalado el plugin InfiniteWP Client y revisa la versi\u00f3n que est\u00e1s utilizando. Recuerda que esta vulnerabilidad afecta a cualquier web que utilice una versi\u00f3n igual o anterior a 1.9.4.4.<\/p>\n<p>Si es tu caso y tienes instalado en tu web este complemento, no pierdas m\u00e1s el tiempo y <strong>actualiza a la versi\u00f3n de seguridad 1.9.4.5 lo antes posible<\/strong>. Recuerda que puedes actualizar tus plugins f\u00e1cilmente desde el panel de administraci\u00f3n de WordPress.<\/p>\n<p>Adem\u00e1s, si utilizas Wordfence, es importante que sepas que tambi\u00e9n han lanzado una actualizaci\u00f3n de seguridad que incluye protecci\u00f3n contra la vulnerabilidad de Infinite WP Client. As\u00ed que, si lo tienes en tu web, actualiza tambi\u00e9n a la \u00faltima versi\u00f3n.<\/p>\n<h2><span id=\"No_expongas_tu_web\">No expongas tu web<\/span><\/h2>\n<p>Como acabas de ver, el uso de un plugin puede echar por la borda el trabajo de muchos a\u00f1os, pero&#8230; \u00bfY qu\u00e9 hago entonces? \u00bfNo utilizo plugins?<\/p>\n<p>Para nada. Los plugins son b\u00e1sicos para el funcionamiento de muchas webs y no tienen nada de malo si sigues algunas recomendaciones b\u00e1sicas de seguridad.<\/p>\n<ul>\n<li><strong>Backups siempre<\/strong>. Las<strong><a href=\"https:\/\/www.lucushost.com\/blog\/que-es-un-backup-y-como-hacer-una-copia-de-seguridad-de-tu-web\/\"> copias de seguridad de tu p\u00e1gina web<\/a><\/strong> son tu seguro de vida (o casi \ud83d\ude1b ). En LucusHost utilizamos Premium Backup para que puedas tenerlas siempre a mano o realizar cualquier restauraci\u00f3n\u00a0 en caso de que lo necesites en solo un par de clics. As\u00ed, ante cualquier imprevisto, est\u00e1s cubierto.<\/li>\n<li><strong>Utilizar un buen software de seguridad<\/strong>. Todos nuestros planes incluyen <strong><a href=\"https:\/\/www.lucushost.com\/blog\/imunify360\/\">Imunify360<\/a><\/strong>, una suite de seguridad completa que realiza escaneos diarios, <strong><a href=\"https:\/\/www.lucushost.com\/blog\/como-eliminar-malware-web\/\">desinfecta malware<\/a><\/strong>, incluye sistemas de CAPTCHA, KernelCare, gesti\u00f3n de reputaci\u00f3n y sistemas de detecci\u00f3n de intrusiones (IDS\/IPS), protegiendo tu web ante cualquier posible amenaza.<\/li>\n<li><strong>Mantener todo actualizado<\/strong>. Las nuevas versiones del core de WordPress, plugins y plantillas no solo traen mejoras, sino que corrigen brechas de seguridad que podr\u00edan poner tu web en peligro.<\/li>\n<\/ul>\n<p>Siguiendo estas tres pautas, podr\u00e1s minimizar riesgos y asegurarte de que tu web est\u00e9 protegida frente a vulnerabilidades cr\u00edticas como la detectada en InfiniteWP Client, o cualquier otra que pueda surgir en el futuro.<\/p>\n<p>Y recuerda: si tienes tu <strong><a href=\"https:\/\/www.lucushost.com\/hosting-wordpress\">Hosting WordPress<\/a><\/strong> con LucusHost y quieres que revisemos tu web o asegurarte de que todo est\u00e1 en orden,no dudes en contactar con nosotros. Estaremos encantados de echarte una mano \ud83d\ude42<\/p>\n<p>&nbsp;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>S\u00ed, como lo est\u00e1s leyendo. No es la primera vez (ni ser\u00e1 la \u00faltima) que se detecta una vulnerabilidad que puede poner en riesgo la seguridad de tu web o de tu negocio. En este caso, el afectado es el plugin InfiniteWP Client de WordPress, as\u00ed que si lo est\u00e1s utilizando en tu web, deber\u00edas ponerle remedio desde ya.<\/p>\n","protected":false},"author":3,"featured_media":1938,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[43,42],"tags":[69,51,52],"_links":{"self":[{"href":"https:\/\/www.lucushost.com\/blog\/wp-json\/wp\/v2\/posts\/1934"}],"collection":[{"href":"https:\/\/www.lucushost.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.lucushost.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.lucushost.com\/blog\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.lucushost.com\/blog\/wp-json\/wp\/v2\/comments?post=1934"}],"version-history":[{"count":7,"href":"https:\/\/www.lucushost.com\/blog\/wp-json\/wp\/v2\/posts\/1934\/revisions"}],"predecessor-version":[{"id":1939,"href":"https:\/\/www.lucushost.com\/blog\/wp-json\/wp\/v2\/posts\/1934\/revisions\/1939"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.lucushost.com\/blog\/wp-json\/wp\/v2\/media\/1938"}],"wp:attachment":[{"href":"https:\/\/www.lucushost.com\/blog\/wp-json\/wp\/v2\/media?parent=1934"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.lucushost.com\/blog\/wp-json\/wp\/v2\/categories?post=1934"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.lucushost.com\/blog\/wp-json\/wp\/v2\/tags?post=1934"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}