Introducción
Core-Admin incluye, dentro del módulo WordPress Management, un panel que comprueba de forma automática el estado de seguridad de los plugins instalados en cada WordPress, contrastando la versión instalada de cada plugin con las vulnerabilidades conocidas (CVE) publicadas para él.
De esta manera, de un vistazo, podéis conocer qué plugins tienen fallos de seguridad conocidos, su criticidad, y si existe o no una versión que los corrige.
La información se obtiene de fuentes públicas de seguridad:
- wpvulnerability.net, que agrega datos de CVE, WPScan, Patchstack y Wordfence.
- NVD (NIST) como fuente secundaria, para completar la puntuación CVSS de los CVE que aún no la tienen en la fuente principal.
Los resultados se cachean localmente (por defecto 24 horas) para que las consultas sean rápidas y no se sature a las fuentes online.
Requisitos previos
- Core-Admin instalado con el módulo WordPress Management activo
- Acceso de administrador al panel de Core-Admin
- Al menos un WordPress detectado/gestionado en el servidor
- Conexión a internet en el servidor (para consultar las fuentes de vulnerabilidades)
Acceder al panel
- Inicia sesión en el panel web de Core-Admin
- Navega hasta el módulo WordPress Management
- Selecciona el WordPress que quieras revisar
- Abre la pestaña Vulnerabilidades
Luego busca el wordpress a comprobar y pinchar en la pestaña “Vulnerabilidades”:
Cómo leer el listado
Cada fila del listado representa un fallo de seguridad (CVE) que afecta a un plugin instalado. Las columnas son:
| Columna | Significado |
|---|---|
| Criticidad | Nivel de gravedad del fallo, con un indicador de color (ver más abajo) |
| Plugin | Plugin afectado |
| Versión | Versión actualmente instalada del plugin |
| CVE | Identificador público de la vulnerabilidad |
| Puntuación | Puntuación CVSS (0–10); a mayor número, mayor gravedad |
| Afecta a | Rango de versiones afectadas (por ejemplo <= 2.4.37) |
| Corregido en | Versión donde el fallo está corregido (si existe parche) |
| Título | Descripción del fallo según la fuente |
El listado se ordena por gravedad: primero los fallos más críticos, y dentro de cada nivel de criticidad se muestran primero los que no tienen corrección disponible (ver la sección sobre “unfixed”).
Si un plugin no tiene ningún fallo conocido que afecte a su versión instalada, no aparece en este listado (es la situación deseable).
Niveles de criticidad
La criticidad se representa con un punto de color y una etiqueta:
-
CRITICAL — fallo crítico (CVSS ≥ 9.0) -
HIGH — fallo alto (CVSS ≥ 7.0) - MEDIUM — fallo medio (CVSS ≥ 4.0)
- LOW — fallo bajo (CVSS < 4.0)
- UNKNOWN — sin puntuación disponible en las fuentes
Importante: fallo pendiente (con corrección) vs fallo “UNFIXED” (sin corrección)
Esta es una distinción clave para priorizar correctamente. No todos los fallos se resuelven igual:
Fallo pendiente con corrección disponible
El caso habitual: existe una versión que corrige el fallo. En el listado lo veréis con su criticidad normal (CRITICAL, HIGH, …) y el campo Corregido en indicará la versión a la que hay que actualizar.
Cómo se resuelve: actualizando el plugin a la versión indicada (o superior).
Fallo sin corrección disponible (UNFIXED)
A veces se publica un fallo de seguridad para el que el autor del plugin todavía no ha liberado un parche. En ese caso, actualizar no sirve, porque no existe una versión que lo corrija.
Estos fallos se marcan con el sufijo -UNFIXED en la criticidad:
-
CRITICAL-UNFIXED
-
HIGH-UNFIXED
- (y de forma equivalente para el resto de niveles
En la vista de detalle, el campo Corregido en mostrará explícitamente:
Sin corregir - no se ha liberado ningún parche para esta vulnerabilidad
Cómo se resuelve: al no haber parche, actualizar no es una opción. Hay que tomar una acción manual: desactivar/borrar el plugin (y reemplazarlo si su funcionalidad es necesaria), o aplicar una mitigación a medida. Mientras tanto, el fallo sigue siendo explotable.
Relación con la pestaña “Plugins”
Conviene tener clara una situación que puede parecer contradictoria: un plugin puede aparecer en la pestaña Plugins como sin actualización pendiente (está en su última versión disponible) y, a la vez, figurar en la pestaña Vulnerabilidades como CRITICAL-UNFIXED.
No es un error: significa que el plugin está en la última versión que existe, pero esa última versión sigue teniendo un fallo conocido sin parche. Es precisamente el caso que el marcado “unfixed” os ayuda a detectar.
Detalle de una vulnerabilidad
Al pinchar sobre una fila del listado se abre la vista de detalle, organizada en tres secciones:
- Identificación de la vulnerabilidad: CVE, Criticidad y Puntuación.
- Plugin afectado: Plugin, Versión instalada, rango “Afecta a” y “Corregido en”.
- Detalles: Título descriptivo, enlace (Url) a la ficha pública del CVE y Origen de la información.
Acciones sobre el plugin desde el detalle
Desde la propia vista de detalle podéis actuar directamente sobre el plugin afectado, sin tener que salir a otra herramienta. Disponéis de tres botones:
- Actualizar plugin — actualiza el plugin a la última versión disponible. Es la acción adecuada cuando el fallo tiene corrección (campo Corregido en con una versión).
- Desactivar plugin — desactiva el plugin sin borrarlo. Útil para cortar la exposición de forma inmediata manteniendo los ficheros y la configuración (por ejemplo, mientras decidís cómo proceder).
- Desactivar y borrar plugin — desactiva y elimina por completo los ficheros del plugin del disco. Indicado para fallos UNFIXED cuando se va a prescindir del plugin o reemplazarlo por otro.
Actualizar la base de datos de vulnerabilidades
Como los resultados se cachean (por defecto 24 horas), la barra de herramientas del listado ofrece dos acciones:
- Refresh — vuelve a cargar el listado a partir de los datos ya cacheados. Es una recarga rápida.
- Actualizar base de datos de vulnerabilidades — fuerza una nueva consulta a las fuentes online (wpvulnerability.net y NVD) para cada plugin instalado, descartando la caché. Es la opción a usar cuando queréis los datos más recientes posibles (por ejemplo, justo después de aplicar cambios o ante un incidente).
Nota: forzar la actualización completa puede tardar un rato, según el número de plugins instalados. Al terminar, el listado se refresca automáticamente con los datos actualizados.
Flujo de trabajo recomendado
- Revisad periódicamente la pestaña Vulnerabilidades de vuestros WordPress.
- Priorizad por criticidad: atended primero CRITICAL y HIGH.
- Prestad especial atención a los marcados
-UNFIXED: no se arreglan actualizando y, por tanto, requieren una decisión (desactivar, borrar/reemplazar o mitigar). - Para los fallos con corrección, usad Actualizar plugin y volved a comprobar el estado.
- Ante un incidente o tras aplicar cambios, usad Actualizar base de datos de vulnerabilidades para trabajar con datos frescos.
Desde línea de comandos (opcional)
El mismo análisis está disponible en el servidor con la herramienta crad-wordpress-mgr.pyc:
# Informe de vulnerabilidades de un WordPress
crad-wordpress-mgr.pyc --show-vul /ruta/al/wp-config.php
La salida muestra, por plugin, el estado OK o el listado de CVE que le afectan, marcando igualmente los fallos CRITICAL-UNFIXED / HIGH-UNFIXED cuando no hay parche disponible.
Notas finales
- El sistema tiene en cuenta las ramas de un plugin: si un plugin está actualizado a la última versión de su rama y el fallo solo afecta a una rama superior (paralela), no se reporta como pendiente. Esto evita falsos positivos en plugins que mantienen varias ramas en paralelo.
- Algunos plugins premium distribuyen sus actualizaciones por su propio canal (no por el repositorio de WordPress). En esos casos, la columna de actualización puede no reflejar siempre la última versión; la pestaña Vulnerabilidades sigue siendo la referencia para conocer su estado de seguridad.