Miles de sitios web creados con WordPress se han visto afectados por un grave incidente de seguridad provocado por el hackeo de un paquete muy popular de plugins llamado EssentialPlugin. El ataque consiste en la introducción de una puerta trasera con malware en más de 30 complementos, lo que permite a los atacantes tomar el control de los sitios web comprometidos y utilizarlos para fines maliciosos, como la creación de páginas de spam o redirecciones a sitios fraudulentos.
El código malicioso fue introducido en agosto de 2025, coincidiendo con el cambio de propietario del proyecto, pero no se activó hasta fechas recientes, cuando comenzó a distribuirse a través de actualizaciones legítimas de los plugins. El malware es especialmente peligroso porque es invisible para los propietarios de las webs, ya que no provoca cambios visibles y consigue evadir los sistemas de detección tradicionales.
WordPress reaccionó deshabilitando y actualizando los complementos afectados, aunque se advierte que estas medidas no siempre eliminan completamente el malware, ya que este puede ocultarse en archivos críticos como wp-config.php. Se estima que entre 20.000 y 60.000 instalaciones podrían verse afectadas por este incidente.
Funcionamiento del malware
En este caso, el malware logra infiltrarse principalmente a través de sitios WordPress vulnerables, aprovechando plugins o temas desactualizados, credenciales comprometidas o fallos de seguridad en extensiones ampliamente utilizadas. Una vez que los atacantes acceden al entorno, insertan código malicioso oculto en archivos legítimos del sitio web, lo que hace que la infección pase desapercibida tanto para administradores como para visitantes.
Tras su implantación, el malware se mantiene de forma persistente, cargándose automáticamente cada vez que se accede a la web comprometida. Desde ahí, puede redirigir a los usuarios a páginas fraudulentas, inyectar anuncios maliciosos, mostrar contenido engañoso o ejecutar scripts que descargan nuevo malware en los dispositivos de las víctimas. Además, el código malicioso puede comunicarse con servidores externos controlados por los atacantes, permitiéndoles modificar el comportamiento del ataque en tiempo real, ampliar la infección a otros sitios o recopilar información sobre los visitantes afectados, incrementando así el alcance y el impacto del incidente.
Riesgos asociados
El incidente descrito pone de manifiesto cómo una vulnerabilidad puede derivar en impactos relevantes para la seguridad, la continuidad operativa y la reputación de las organizaciones:
- Pérdida de confidencialidad
La existencia de una puerta trasera activa permite a los atacantes obtener acceso no autorizado a los sitios web afectados, lo que puede derivar en el robo de credenciales, información interna del sitio o datos personales gestionados a través de WordPress. - Afectación a la disponibilidad de los sistemas
El malware inyectado puede provocar redirecciones maliciosas, páginas falsas o generación de spam, afectando al funcionamiento normal del sitio web e incluso forzando su desconexión para tareas de contención y limpieza. - Propagación del incidente dentro del entorno TIC
El uso de un servidor de comando y control (C2) y la activación remota del malware facilitan que el incidente se extienda a otros sistemas o sitios gestionados por la misma organización, especialmente en entornos con infraestructuras compartidas. - Impacto económico
La necesidad de realizar análisis forenses, limpieza del malware, restauración desde copias de seguridad y posibles pérdidas de negocio asociadas a la indisponibilidad del servicio genera costes directos e indirectos para las organizaciones afectadas. - Consecuencias legales y regulatorias
Si los sitios comprometidos tratan datos personales o financieros, el acceso no autorizado y la distribución de malware pueden dar lugar a incumplimientos normativos (por ejemplo, en materia de protección de datos y seguridad de la información), con riesgo de sanciones y reclamaciones. - Daño reputacional
El hecho de que un sitio web corporativo se utilice como vector de distribución de malware afecta directamente a la confianza de clientes, usuarios y terceros, con un impacto negativo en la imagen y credibilidad de la organización.
Medidas de protección para la ciudadanía
- Evitar descargar archivos o supuestas actualizaciones ofrecidas por páginas web que resulten sospechosas o inesperadas, especialmente si aparecen redirecciones automáticas.
- Mantener el sistema operativo, el navegador y el antivirus siempre actualizados para reducir el riesgo de infección.
- Desconfiar de páginas que muestren comportamientos anómalos, como ventanas emergentes, enlaces de spam o cambios repentinos de contenido.
- Utilizar soluciones de seguridad que permitan detectar páginas web maliciosas antes de interactuar con ellas.
Estas medidas ayudan a minimizar el riesgo de que los usuarios finales resulten afectados por el malware distribuido desde webs comprometidas.
Medidas de protección para PYMEs
- Deshabilitar de forma inmediata los plugins de EssentialPlugin si están instalados y realizar una auditoría completa del sitio web.
- Revisar todos los archivos del servidor, especialmente wp-config.php y posibles archivos sospechosos como wp-comments-posts.php.
- Mantener WordPress, los temas y los plugins siempre actualizados y eliminar aquellos que no se utilicen.
- Verificar el origen y el historial de los complementos instalados, prestando especial atención a los que hayan cambiado de propietario.
- Realizar copias de seguridad periódicas para poder restaurar el sitio web en caso de infección.
- Contar con servicios profesionales de seguridad web o plataformas especializadas en detección de malware.
Estas acciones son clave para reducir el impacto de ataques de cadena de suministro como este y proteger tanto la imagen como los datos de la empresa.
Fuente: www.redeszone.net
