Ciberseguridad en WordPress
14/04/2026 | 17:34
Redacción Cadena 3
Doce plug-ins de la popular plataforma WordPress fueron desconectados después de que se descubrieran puertas traseras que permitían la inyección de código malicioso en cualquier sitio que dependiera de ellos. Este problema surgió tras la compra de los plug-ins por una nueva empresa.
El fundador de Anchor Hosting, Austin Ginder, emitió una alerta en un blog la semana pasada, describiendo un ataque a la cadena de suministro en un fabricante de plug-ins de WordPress llamado Essential Plugin. Ginder mencionó que alguien compró Essential Plugin el año pasado y que, poco después, se añadió una puerta trasera al código fuente de los plug-ins. Esta puerta trasera permaneció inactiva hasta principios de este mes, cuando se activó y comenzó a distribuir código malicioso a cualquier sitio con los plug-ins instalados.
Essential Plugin afirma en su sitio web que tiene más de 400,000 instalaciones de plug-ins y más de 15,000 clientes. La página de instalación de plug-ins de WordPress indica que los plug-ins afectados están en más de 20,000 instalaciones activas de WordPress.
Los plug-ins permiten a los propietarios de sitios basados en WordPress extender la funcionalidad de sus sitios, pero al hacerlo, otorgan acceso a los plug-ins a sus instalaciones, lo que puede exponer estos sitios a extensiones maliciosas y potenciales compromisos. Ginder advirtió que los usuarios de WordPress no son notificados de ningún cambio en la propiedad de los plug-ins, lo que los expone a posibles ataques de toma de control por parte de sus nuevos propietarios.
Ginder mencionó que este es el segundo secuestro de un plug-in de WordPress descubierto en dos semanas. Los investigadores de seguridad han advertido durante mucho tiempo sobre los riesgos de actores maliciosos que compran software y cambian su código para comprometer una gran cantidad de computadoras en todo el mundo.
A pesar de que los plug-ins fueron eliminados del directorio de WordPress y ahora listan su cierre como "permanente", Ginder advirtió que los propietarios de WordPress deben verificar si aún tienen uno de los plug-ins maliciosos instalados y eliminarlo. Ginder tiene una lista de los plug-ins afectados en su publicación de blog.
Los representantes de Essential Plugin no respondieron a una solicitud de comentarios.
¿Qué ocurrió?
Se descubrieron puertas traseras en plug-ins de WordPress, permitiendo la inyección de malware en miles de sitios.
¿Quién alertó sobre el problema?
Austin Ginder, fundador de Anchor Hosting, fue quien advirtió sobre el ataque en un blog.
¿Cuándo se activó el malware?
El malware se activó a principios de abril de 2026, después de permanecer inactivo durante un tiempo.
¿Dónde se encuentran los plug-ins afectados?
Los plug-ins comprometidos están instalados en más de 20,000 sitios activos de WordPress.
¿Por qué es un problema?
Los cambios en la propiedad de los plug-ins no son notificados a los usuarios, exponiéndolos a ataques de toma de control.
Te puede Interesar
La nueva era del contenido digital
La plataforma WordPress.com anunció la integración de agentes de IA, capaces de redactar y gestionar contenido en sitios web, facilitando la creación de publicaciones y optimizando la gestión de comentarios.
El nuevo desafío de un veterano en ciberseguridad
Tras más de 35 años luchando contra el malware, Mikko Hyppönen se embarca en una nueva misión: desarrollar sistemas para detener drones asesinos, un desafío crítico en la actual era de ciberamenazas.
Ciberataque a un proyecto popular
Un ataque cibernético comprometió Axios, una biblioteca de JavaScript usada por millones de desarrolladores. Se insertó malware en una actualización, poniendo en riesgo sistemas a nivel global.
Reflexiones sobre despidos
La empresa de ciberseguridad Anjuna enfrentó despidos en 2022 tras un crecimiento acelerado en 2021. Su CEO, Ayal Yogev, compartió claves sobre cómo navegar estos momentos difíciles y reconstruir la cultura interna.