Alerta: Miles de sitios web infectados por malware de un plugin de WordPress
Publicado el
Hackeo en EssentialPlugin
Un hackeo reciente ha expuesto a miles de sitios web a malware tras comprometer el popular paquete de plugins EssentialPlugin. Este incidente, descubierto por el investigador de seguridad Austin Ginder, ha permitido que el malware se distribuya a través de actualizaciones desde agosto de 2025, fecha en la que se inyectó el código malicioso.
Impacto en los sitios web
La vulnerabilidad afecta a más de 30 complementos de EssentialPlugin, utilizados ampliamente en la plataforma WordPress. El malware permite a los atacantes crear páginas de Spam, redirigir a los usuarios a sitios no deseados y, en general, comprometer la seguridad de los sitios web afectados.
A pesar de que WordPress ha tomado medidas para desactivar los plugins comprometidos, muchos administradores de sitios no notan cambios en su funcionamiento. Esto se debe a que el malware es invisible y evade la detección de herramientas de seguridad convencionales.
Funcionalidad del malware
El código malicioso se activa al recibir instrucciones de un servidor de comando y control, contactando silenciosamente con una infraestructura externa para obtener un archivo que inyecta el malware en el archivo wp-config.php. Esto crea una puerta trasera que permite a los atacantes el acceso no autorizado a los sitios web.
Según un análisis de PatchStack, el malware solo se activa si el servidor analytics.essentialplugin.com devuelve contenido malicioso específico, dificultando así su detección.
Recomendaciones para los administradores
Se aconseja a los administradores de sitios que utilicen plugins de EssentialPlugin deshabilitarlos de inmediato. Además, se debe realizar una auditoría completa del sitio, prestando especial atención al archivo wp-config.php en busca de código sospechoso y al archivo wp-comments-posts.php, que podría estar infectado. También es recomendable restaurar copias de seguridad previas a agosto de 2025 si es posible.
¿Por qué no se detectó el malware?
El diseño del malware le permite ser invisible, lo que significa que puede evadir la detección de antivirus y otras herramientas de seguridad. Este hecho subraya la importancia de mantener una vigilancia constante sobre los plugins instalados y su procedencia, así como la necesidad de actualizar y auditar regularmente los sitios web.
Hasta el momento, no ha habido comunicación oficial por parte de EssentialPlugin sobre este problema, aunque se estima que entre 20.000 y 60.000 instalaciones podrían estar comprometidas. Ante esta situación, es crucial que los administradores tomen medidas proactivas para proteger sus sitios y usuarios.