¿Qué es Crawlomatic y por qué es tan usado?
Crawlomatic, un popular plugin de WordPress que permite a los usuarios del CMS extraer y republicar contenido de diversas fuentes, tendría una grave vulnerabilidad de seguridad que dejaría a aquellos administradores de páginas que lo han instalado 'vendidos'.
Este complemento de WordPress, cuyo nombre completo es Crawlomatic Multisite Scraper Post Generator, tiene un coste por licencia de 59 dólares. Se trata de un plugin de autoblogging bastante utilizado que puede sacar contenido de fuentes como feeds RSS, foros, páginas basadas en JavaScript y hasta estadísticas meteorológicas. Se ha instalado en decenas de miles de ocasiones.
Detalles técnicos de la vulnerabilidad CVE-2025-4389
Identificada como CVE-2025-4389, la brecha de seguridad da la posibilidad a atacantes no autenticados de subir archivos maliciosos, lo que podría provocar la ejecución remota de código en los sitios web afectados. Se la ha dado una puntuación CVSS de 9,8, situándola como una vulnerabilidad crítica.
El problema principal reside en la falta de validación del tipo de archivo en la función _generate_featured_image() del plugin . Dicha falla, que estaría presente en todas las versiones del complemento hasta la 2.6.8.1 inclusive, permite a los actores de amenazas cargar archivos arbitrarios, incluyendo scripts potencialmente peligrosos.
De esta forma, los ciberdelincuentes pueden obtener control total sobre los sitios webs afectados. Esto incluye desconfigurar las páginas, hacerse con datos de usuarios o instalar malware persistente.
Respuesta del desarrollador y recomendaciones de seguridad
El creador del plugin asegura que cumple con los estándares de calidad de WordPress de la plataforma Envato, lo que sugiere que sigue estrictas prácticas de seguridad y codificación. Sin embargo, tras descubrirse la brecha esta ha quedado bastante en entredicho.
El desarrollador de Crawlomatic ha respondido con el lanzamiento de una versión parcheada (2.6.8.2), que soluciona el problema añadiendo una validación adecuada del tipo de archivo. Así, los usuarios del mismo deberían actualizar lo antes posible a esta nueva iteración para evitar posibles problemas.
¿Cómo proteger tu sitio WordPress?
Además de mantener todos los plugins, temas y la versión del núcleo de WordPress siempre actualizados, es fundamental adoptar buenas prácticas de seguridad para minimizar riesgos. Utilizar firewalls de aplicaciones web (WAF) ayuda a bloquear intentos de acceso maliciosos antes de que lleguen a tu sitio. Implementar sistemas de monitoreo constante te permitirá detectar actividad sospechosa rápidamente y reaccionar a tiempo.
También es clave realizar copias de seguridad periódicas y almacenarlas en ubicaciones seguras para poder restaurar el sitio en caso de un ataque o fallo técnico. Por último, limitar los permisos de usuarios y usar contraseñas robustas son pasos esenciales para proteger tu administración y evitar accesos no autorizados.