- Vulnerabilidad crítica en All In One SEO expone tokens de IA a usuarios con acceso de colaborador.
- Afecta a más de 3 millones de sitios WordPress, permitiendo uso no autorizado de funciones AI.
- Solución: actualiza a la versión 4.9.3 o superior inmediatamente.
El ecosistema WordPress enfrenta una nueva amenaza seria con la detección de una vulnerabilidad crítica en el plugin All In One SEO (AIOSEO), uno de los más populares para optimización SEO. Esta falla pone en jaque la seguridad de tokens de inteligencia artificial, exponiendo sitios web a riesgos graves de privacidad y consumo no autorizado de recursos.
Qué es All In One SEO y por qué es tan usado
All In One SEO es un plugin esencial para millones de sitios WordPress. Con más de 3 millones de instalaciones, ayuda a generar metadatos, sitemaps XML, datos estructurados y herramientas impulsadas por IA para crear títulos, descripciones, posts de blog, FAQs, publicaciones en redes sociales e incluso imágenes.
Estas funciones AI dependen de un token de acceso global que conecta el sitio con servicios externos de AIOSEO. La vulnerabilidad radica en un endpoint de REST API mal protegido: /aioseo/v1/ai/credits, que debería mostrar solo créditos de uso pero revela el token sensible sin verificar permisos.
Esta falla permite a atacantes autenticados con acceso de colaborador o superior divulgar el token de acceso global de IA.
- Riesgo principal: Generación de contenido AI no autorizada, agotando créditos y cuotas del sitio.
- Impacto económico: Posible denegación de servicio en herramientas AI y riesgos de facturación.
- Alcance: Cualquier usuario logueado con rol de colaborador puede explotarla.
Tabla de vulnerabilidades en plugins SEO en 2025
| Plugin SEO | Vulnerabilidades en 2025 | Ejemplos de fallos |
|---|---|---|
| All In One SEO | 6 | Inyección SQL, exposición de datos, XSS, falta de autorización |
| Yoast SEO | 0 | Ninguna reportada |
| RankMath | 4 | Autorización insuficiente |
| Squirrly SEO | 3 | Exposición sensible |
Análisis de riesgos y contexto
Esta no es una vulnerabilidad aislada. En 2025, AIOSEO acumuló seis fallos similares, todos relacionados con controles de permisos deficientes para usuarios de bajo privilegio. Comparado con competidores, el nivel es alarmante: Yoast SEO mantuvo cero incidencias el mismo año.
Los riesgos van más allá: un atacante podría automatizar requests para agotar cuotas AI, causando denegación de servicio. Afecta especialmente sitios de marketing digital y tecnología web que dependen de estas herramientas para contenido automatizado.
- Pasos para mitigar: Actualiza a la versión 4.9.3, donde se endurecieron las rutas API.
- Verificación: Comprueba tu versión en el panel de WordPress y regenera tokens AI si es necesario.
- Prevención: Limita roles de colaborador y usa autenticación de dos factores.
Conclusión y recomendaciones finales
La vulnerabilidad en All In One SEO subraya la importancia de la vigilancia constante en plugins críticos. Con más de 3 millones de sitios expuestos, la actualización inmediata es esencial para proteger tokens de IA y mantener la integridad de tu sitio WordPress. Prioriza la seguridad en tu estrategia de marketing digital y SEO para evitar brechas que comprometan tu presencia online.
