Más de 30 plugins de WordPress pertenecientes a la suite EssentialPlugin han sido comprometidos con una puerta trasera oculta que lleva meses desplegándose sin que nadie lo notara. El hallazgo lo firma Austin Ginder, fundador del proveedor Anchor Hosting, y el alcance es serio: más de 400.000 instalaciones activas afectadas.
El incidente afecta a un paquete que muchos administradores usan a diario para sliders, galerías, extensiones de WooCommerce, utilidades SEO y temas. Esta puerta trasera en plugins de WordPress se activó recientemente, después de pasar inactiva durante casi un año dentro del código oficial distribuido desde el repositorio.
Cómo se coló la puerta trasera en la suite EssentialPlugin
Ginder rastreó el origen del código malicioso hasta agosto de 2025, cuando WP Online Support, la empresa detrás de EssentialPlugin, fue adquirida por nuevos propietarios. La inyección se produjo durante ese proceso de compraventa, algo que en el ecosistema WordPress empieza a repetirse demasiado.
Aquí conviene parar un segundo. Los cambios de manos silenciosos en plugins populares son uno de los vectores más infravalorados por los administradores web. Nadie revisa el código tras una actualización rutinaria, y ese es precisamente el hueco que aprovechan.
Según el propio investigador: La puerta trasera estaba presente en todas las soluciones del paquete, sin excepción.
Lo que hace el código, una vez activo, es conectarse a una infraestructura externa para descargar un archivo adicional. Ese archivo inyecta malware directamente en el wp-config.php, el corazón de cualquier instalación WordPress.
EtherHiding: cuando los hackers esconden el C2 en Ethereum
El detalle técnico que convierte este caso en algo más que un susto habitual es el uso de la cadena de bloques Ethereum para ocultar el servidor de mando. La dirección del C2 está embebida en un contrato inteligente, una técnica bautizada como EtherHiding y ya vista en operaciones atribuidas a grupos norcoreanos.
¿Por qué funciona tan bien? Porque los contenidos en blockchain no se pueden borrar. Ni las autoridades ni los registradores pueden tumbar esa dirección como harían con un dominio clásico. Los atacantes ganan persistencia casi infinita por muy poco dinero.
Una vez que el sitio recibe instrucciones, el repertorio es el de siempre: generar páginas de spam, colocar redirecciones hacia dominios fraudulentos o mostrar contenido falso al visitante. Dicho de otra forma, cualquier web con un plugin de EssentialPlugin instalado está sirviendo de trampolín a terceros.
Qué hay que hacer ya si tienes EssentialPlugin instalado
WordPress.org reaccionó forzando una actualización automática en todos los sitios comprometidos. Esa medida corta la comunicación con el C2, pero deja el archivo malicioso en disco. Es decir, el problema está contenido, no resuelto.
El protocolo de limpieza es sencillo y urgente. Hay que desactivar y borrar cualquier plugin de la suite, eliminar manualmente el archivo inyectado y revisar a fondo el wp-config.php para descartar código residual. Quien no se sienta cómodo tocando la configuración principal, mejor que llame a alguien que sí.
Este caso se suma a los avisos de los últimos meses a principios de año apareció una vulnerabilidad crítica en un plugin instalado en 100.000 webs, y antes de eso otro malware infectó más de 20.000 sitios aprovechando extensiones defectuosas. La foto general no mejora: el punto débil de WordPress ya no es el núcleo, son los plugins.
La lección es la de siempre, aunque cueste aplicarla, menos plugins instalados, auditoría periódica de los que se mantienen y desconfianza ante cambios de propiedad en los que nadie anuncia nada.