Más de 30 plugins de WordPress pertenecientes a la suite EssentialPlugin han sido comprometidos con una puerta trasera oculta, afectando a más de 400,000 instalaciones activas.
Este hallazgo proviene de Austin Ginder, fundador del proveedor Anchor Hosting, quien ha destapado uno de los ataques a la cadena de suministro más sofisticados en el ecosistema WordPress.
El código malicioso, que permaneció inactivo durante casi un año, se activó recientemente, generando serias preocupaciones en la comunidad de administradores de sitios web.
Ginder rastreó el origen del código comprometido hasta agosto de 2025, cuando WP Online Support, la empresa detrás de EssentialPlugin, fue adquirida por nuevos propietarios.
Esta inyección de código malicioso se produjo durante el proceso de compraventa, un fenómeno que está comenzando a ser habitual en el ecosistema de WordPress.
La puerta trasera estaba presente en todas las soluciones del paquete, permitiendo que, una vez activada, se conectara a una infraestructura externa para descargar un archivo adicional que inyectaba malware en el wp-config.php, el corazón de cualquier instalación de WordPress.
Tambien lee:
La técnica utilizada por los atacantes incluye el uso de la cadena de bloques Ethereum para ocultar el servidor de mando, haciendo casi imposible bloquear la comunicación.
Esto permite a los atacantes mantener un control persistente sobre los sitios afectados, generando spam y redirecciones hacia dominios fraudulentos.
WordPress.org ha respondido forzando una actualización automática en los sitios comprometidos, pero esto no elimina el archivo malicioso ya inyectado.
Los administradores de sitios web deben actuar con rapidez para mitigar el riesgo: es crucial desactivar y eliminar cualquier plugin de la suite EssentialPlugin, eliminar manualmente el archivo inyectado y revisar a fondo el wp-config.php. Ante la complejidad del proceso, se recomienda acudir a expertos si no se cuenta con la experiencia necesaria.
Este incidente resalta la vulnerabilidad del ecosistema de WordPress, donde el 91% de las vulnerabilidades se encuentran en plugins.
Con el aumento de la sofisticación de estos ataques, es vital que los administradores mantengan una vigilancia constante y realicen auditorías periódicas en sus instalaciones para prevenir futuros compromisos de seguridad.
Fuentes: Cultura Informática, Infobae y Ecosistema StartUp
