El atacante compró el portafolio EssentialPlugin en Flippa, inyectó código malicioso y esperó 8 meses para activarlo. WordPress.org forzó actualización pero wp-config.php requiere limpieza manual.
Un actor de amenazas compró el portafolio completo de EssentialPlugin en Flippa por una suma de seis dígitos, inyectó un backdoor de deserialización PHP en más de 30 plugins y esperó ocho meses antes de activarlo el 5 de abril de 2026. El código malicioso permaneció inactivo desde agosto de 2025 bajo commits aparentemente inocuos etiquetados como "Check compatibility with WordPress version 6.8.2", acumulando confianza mientras se desplegaba silenciosamente en cientos de miles de instalaciones WordPress.
WordPress.org cerró permanentemente 31 plugins el 7 de abril y emitió una actualización forzada, pero el parche no elimina el código inyectado en wp-config.php, dejando a la mayoría de sitios afectados en estado de compromiso parcial.
La mecánica del ataque revela un nivel de sofisticación inusual. Según el análisis técnico publicado por Patchstack, el backdoor registra un endpoint REST API sin autenticación que contacta analytics.essentialplugin.com para recuperar contenido serializado. Ese contenido se pasa directamente a unserialize(), permitiendo inyección de objetos PHP con gadget chains para escritura arbitraria de archivos o ejecución de comandos. El atacante solo necesitaba controlar el servidor remoto para activar la carga útil en cualquier momento, lo que hizo durante una ventana de 6 horas y 44 minutos entre el 5 y 6 de abril.
La infraestructura de comando y control (C2) evade los mecanismos tradicionales de interdicción. En lugar de depender de dominios convencionales que pueden ser confiscados, el payload resuelve su servidor a través de un contrato inteligente en Ethereum, consultando endpoints RPC públicos de blockchain.
El malware descarga wp-comments-posts.php un archivo que simula el legítimo wp-comments-post.php y lo usa para inyectar código directamente en wp-config.php, uno de los archivos más sensibles de cualquier instalación WordPress.
El payload desplegado implementa cloaking: sirve spam SEO, redirecciones maliciosas y páginas falsas exclusivamente a Googlebot. Los propietarios de sitios que navegan sus propias páginas no ven nada inusual, mientras que los rastreadores de motores de búsqueda reciben contenido manipulado diseñado para inflar rankings de sitios terciarios. Esta técnica prolonga la ventana de detección, permitiendo que el compromiso persista durante semanas o meses antes de ser descubierto.
El incidente expone una vulnerabilidad arquitectónica en el ecosistema WordPress: no existe mecanismo para revisar transferencias de propiedad de plugins ni requerir firma de código para actualizaciones. Cuando un desarrollador vende su portafolio en un marketplace público, el nuevo propietario hereda el acceso commit, la reputación y la confianza implícita de cientos de miles de administradores que habilitaron actualizaciones automáticas. El equipo de Plugins de WordPress respondió rápidamente al cierre de los afectados, pero la actualización 2.6.9.1 solo neutraliza el mecanismo de phone-home.
Los administradores de sitios que ejecutan plugins de EssentialPlugin o WP Online Support deben actualizar inmediatamente a la última versión disponible y realizar inspección manual de wp-config.php para eliminar código inyectado. Se recomienda también escanear la instalación en busca del archivo wp-comments-posts.php y revisar logs de acceso al endpoint REST API con parámetros siteID, productID y productSlug. El sector de hosting gestionado en LATAM, particularmente en México y Colombia donde WordPress domina el mercado de pequeños negocios, enfrenta exposición significativa dado el amplio uso de plugins de sliders, galerías y extensiones WooCommerce del catálogo comprometido.
FUENTE ORIGINAL
Patchstack↗CURADO POR
Santiago Torres