Después de un ataque a un popular conjunto de plugins de WordPress, EssentialPlugin, miles de sitios web se han visto comprometidos. Esto podría significar que esas páginas son capaces de propagar malware. El código malicioso que se ha introducido permite a los atacantes acceder de manera no autorizada. A continuación, te explicaremos qué ha sucedido, cómo puede afectarte y qué pasos seguir si tu sitio web es vulnerable.
La situación fue descubierta por el investigador de seguridad Austin Ginder. Puedes consultar su artículo en Anchor Hosting, donde detalla lo ocurrido y proporciona una lista de los complementos afectados. Este problema no es nuevo, ya que el atacante insertó código malicioso en agosto de 2025, pero ha sido recientemente que comenzó a distribuirlo a los usuarios mediante actualizaciones.
Un problema para miles de sitios de WordPress
Esto significa que el atacante puede generar páginas de Spam, provocar redirecciones maliciosas y llevar a los usuarios a sitios no deseados. Utiliza un servidor de comando y control para manejar estas acciones. La razón por la cual afecta a miles de sitios web es que muchos han instalado plugins que provienen de EssentialPlugin, con más de 30 complementos involucrados en total.
Austin Glinder detectó este problema tras recibir un aviso sobre un complemento de WordPress que contenía código que permitía el acceso a terceros. Posteriormente, inició una investigación y constató que se trataba de una puerta trasera que había estado presente en el paquete EssentialPlugin desde agosto de 2025, fecha en la que el proyecto cambió de propietario.
Es importante mencionar que EssentialPlugin cuenta con una amplia gama de complementos, utilizados por numerosos sitios web. Por ejemplo, incluye un carrusel de noticias para mostrar los últimos artículos, así como galerías, herramientas de marketing, temas y utilidades de SEO.
Esta puerta trasera, que ha estado latente durante meses, se activó recientemente y estableció una conexión silenciosa con una infraestructura externa para descargar un archivo llamado wp-comments-posts.php, que es responsable de inyectar malware en wp-config.php.
Malware indetectable
Los administradores de los sitios comprometidos no notan ningún cambio en sus páginas. Se trata de un malware indetectable, capaz de eludir la detección. Según las instrucciones que reciba, podría generar enlaces de Spam, redirecciones o crear páginas fraudulentas.
Un análisis de PatchStack, una plataforma de seguridad de WordPress, publicado el 15 de abril, señala que la puerta trasera solo se activaba si el endpoint analytics.essentialplugin.com devolvía contenido malicioso serializado.
Por parte de WordPress, se actuó rápidamente y desactivaron o actualizaron los plugins afectados. Sin embargo, algunos desarrolladores han señalado que esta acción no elimina el archivo de configuración principal wp-config, que conecta los sitios web con sus bases de datos.
Además, desde WordPress advierten que, aunque una ubicación común para la puerta trasera es un archivo llamado wp-comments-posts.php, similar al archivo legítimo wp-comments-post.php, el malware también puede estar oculto en otros archivos.
Si gestionas un sitio web que utiliza complementos de EssentialPlugin, es recomendable desactivarlos de inmediato. Realizar una auditoría exhaustiva, verificar quién es el desarrollador y asegurarte de que estén correctamente actualizados es fundamental. Es prudente desconfiar de los complementos que han cambiado de dueño.
Hasta el momento, no hay comunicación oficial por parte de EssentialPlugin sobre este problema. Se estima que hay entre 20,000 y 60,000 instalaciones afectadas.
Preguntas frecuentes
¿Cómo puedo saber si mi web está afectada por este malware?
Verifica si tienes instalado algún plugin de EssentialPlugin. Aunque WordPress ha desactivado varios, el malware puede persistir en el archivo wp-config.php. Busca el archivo sospechoso wp-comments-posts.php (similar al legítimo wp-comments-post.php) y realiza una auditoría completa de tu sitio.
¿Qué debo hacer si tengo un plugin de EssentialPlugin instalado?
Desactiva de inmediato todos los plugins de EssentialPlugin. Lleva a cabo una auditoría exhaustiva de tu sitio, revisa el archivo wp-config.php en busca de código sospechoso y verifica la existencia del archivo wp-comments-posts.php. Considera restaurar una copia de seguridad anterior a agosto de 2025 si es posible.
¿Por qué el antivirus no detectó este malware?
Este es un malware diseñado para ser indetectable y eludir la detección. La puerta trasera solo se activaba si el servidor analytics.essentialplugin.com proporcionaba contenido malicioso específico, lo que dificultaba su identificación por herramientas de seguridad convencionales.
