Detectan puertas traseras en múltiples plug-ins de WordPress que afectan miles de sitios
Un grupo de plug-ins de WordPress fue comprometido tras ser vendido a un nuevo propietario, permitiendo la inyección de código malicioso en miles de sitios web. Los expertos advierten sobre el riesgo de cambios en la propiedad.
14/04/2026 | 17:34Redacción Cadena 3
FOTO: Puertas traseras en plug-ins de WordPress
Doce plug-ins de la popular plataforma WordPress fueron desconectados después de que se descubrieran puertas traseras que permitían la inyección de código malicioso en cualquier sitio que dependiera de ellos. Este problema surgió tras la compra de los plug-ins por una nueva empresa.
El fundador de Anchor Hosting, Austin Ginder, emitió una alerta en un blog la semana pasada, describiendo un ataque a la cadena de suministro en un fabricante de plug-ins de WordPress llamado Essential Plugin. Ginder mencionó que alguien compró Essential Plugin el año pasado y que, poco después, se añadió una puerta trasera al código fuente de los plug-ins. Esta puerta trasera permaneció inactiva hasta principios de este mes, cuando se activó y comenzó a distribuir código malicioso a cualquier sitio con los plug-ins instalados.
Essential Plugin afirma en su sitio web que tiene más de 400,000 instalaciones de plug-ins y más de 15,000 clientes. La página de instalación de plug-ins de WordPress indica que los plug-ins afectados están en más de 20,000 instalaciones activas de WordPress.
Los plug-ins permiten a los propietarios de sitios basados en WordPress extender la funcionalidad de sus sitios, pero al hacerlo, otorgan acceso a los plug-ins a sus instalaciones, lo que puede exponer estos sitios a extensiones maliciosas y potenciales compromisos. Ginder advirtió que los usuarios de WordPress no son notificados de ningún cambio en la propiedad de los plug-ins, lo que los expone a posibles ataques de toma de control por parte de sus nuevos propietarios.
Ginder mencionó que este es el segundo secuestro de un plug-in de WordPress descubierto en dos semanas. Los investigadores de seguridad han advertido durante mucho tiempo sobre los riesgos de actores maliciosos que compran software y cambian su código para comprometer una gran cantidad de computadoras en todo el mundo.
A pesar de que los plug-ins fueron eliminados del directorio de WordPress y ahora listan su cierre como "permanente", Ginder advirtió que los propietarios de WordPress deben verificar si aún tienen uno de los plug-ins maliciosos instalados y eliminarlo. Ginder tiene una lista de los plug-ins afectados en su publicación de blog.
Los representantes de Essential Plugin no respondieron a una solicitud de comentarios.
Lectura rápida
¿Qué ocurrió?
Se descubrieron puertas traseras en plug-ins de WordPress, permitiendo la inyección de malware en miles de sitios.
¿Quién alertó sobre el problema?
Austin Ginder, fundador de Anchor Hosting, fue quien advirtió sobre el ataque en un blog.
¿Cuándo se activó el malware?
El malware se activó a principios de abril de 2026, después de permanecer inactivo durante un tiempo.
¿Dónde se encuentran los plug-ins afectados?
Los plug-ins comprometidos están instalados en más de 20,000 sitios activos de WordPress.
¿Por qué es un problema?
Los cambios en la propiedad de los plug-ins no son notificados a los usuarios, exponiéndolos a ataques de toma de control.
