Por Canuto Decenas de plugins de WordPress fueron retirados tras descubrirse una puerta trasera añadida al código luego de un cambio de propietario. El caso vuelve a poner bajo la lupa los riesgos de la cadena de suministro en software usado por miles de sitios web.
***
- Austin Ginder, fundador de Anchor Hosting, alertó sobre un ataque a la cadena de suministro vinculado al fabricante Essential Plugin.
- Según el reporte, los plugins afectados fueron comprados el año pasado y luego modificados para distribuir código malicioso a inicios de abril.
- WordPress ya retiró los complementos del directorio, pero los administradores deben verificar si aún los tienen instalados.
Decenas de complementos de WordPress quedaron fuera de línea después de que investigadores detectaran una puerta trasera en su código, utilizada para distribuir software malicioso a los sitios que dependían de esas herramientas. El hallazgo apunta a un nuevo episodio de ataque a la cadena de suministro, una modalidad cada vez más preocupante en el ecosistema del software.
El caso salió a la luz luego de que un nuevo propietario corporativo adquiriera los plugins afectados. Poco después de la compra, según la denuncia pública, alguien añadió una puerta trasera al código fuente. Esa modificación permaneció inactiva durante meses, hasta que fue activada a comienzos de abril para desplegar código malicioso en instalaciones activas, reseña TechCrunch.
Para entender la relevancia del incidente, conviene recordar que WordPress es uno de los gestores de contenido más usados del mundo. Sus plugins permiten ampliar funciones sin necesidad de desarrollar herramientas desde cero, pero también exigen permisos elevados dentro del sitio. Si un complemento resulta comprometido, el daño puede propagarse con rapidez.
La alerta fue emitida por Austin Ginder, fundador de Anchor Hosting, quien detalló en una publicación técnica el compromiso de un fabricante de plugins llamado Essential Plugin. De acuerdo con su explicación, la adquisición de esos activos habría sido el punto de entrada para alterar el software y usarlo como vehículo de distribución maliciosa.
Qué se sabe sobre los plugins comprometidos
Según la reconstrucción de Ginder, alguien compró Essential Plugin el año pasado. Después de esa operación, se introdujo una puerta trasera en el código de varios complementos de la empresa. La modificación no generó efectos visibles de inmediato, lo que le permitió pasar desapercibida durante un periodo prolongado.
La situación cambió a principios de este mes, cuando la puerta trasera fue activada. A partir de ese momento, los plugins comenzaron a distribuir código malicioso a cualquier sitio web que los tuviera instalados. Ese detalle convierte el episodio en un problema de alcance amplio, ya que no se trata de un solo portal afectado, sino de una posible infección en cascada.
Essential Plugin asegura en su sitio web contar con más de 400.000 instalaciones de plugins y más de 15.000 clientes. En paralelo, la página de instalaciones de WordPress citada en el reporte indica que los complementos afectados estaban presentes en más de 20.000 instalaciones activas. Esa diferencia puede responder a métricas distintas, pero ambas cifras subrayan la escala del riesgo.
Tras el hallazgo, los plugins fueron retirados del directorio oficial de WordPress. Ahora aparecen marcados con cierre “permanente”. Sin embargo, esa medida no elimina por sí sola el problema en los servidores que ya los tengan instalados, por lo que la revisión manual sigue siendo clave para los administradores.
Por qué este caso preocupa más allá de WordPress
Los ataques a la cadena de suministro consisten en comprometer un proveedor, una librería o una pieza de software para alcanzar a muchos usuarios al mismo tiempo. En lugar de atacar sitio por sitio, el actor malicioso altera un componente confiable que luego distribuye la infección entre sus propios clientes. Ese modelo ha ganado notoriedad porque ofrece escala y sigilo.
En el caso de WordPress, el problema es especialmente sensible porque los plugins suelen tener acceso profundo al sistema. Pueden modificar funciones del sitio, interactuar con bases de datos, cambiar configuraciones y ejecutar tareas automatizadas. Esa cercanía operativa es útil para el desarrollador legítimo, pero también muy valiosa para un atacante.
Ginder advirtió además que los usuarios de WordPress no reciben notificaciones automáticas sobre cambios de propiedad de los plugins que utilizan. Ese punto es importante, ya que una venta corporativa puede pasar inadvertida para miles de administradores. Si el nuevo dueño decide alterar el código, la confianza acumulada por el proyecto previo puede convertirse en una ventaja para el abuso.
El especialista también señaló que este sería el segundo secuestro de un plugin de WordPress descubierto en apenas dos semanas. La recurrencia sugiere que no se trata de un hecho aislado, sino de una superficie de riesgo que merece mayor vigilancia, tanto por parte de los operadores de sitios como por parte de las plataformas que distribuyen extensiones.
Qué deben hacer los administradores de sitios
La recomendación inmediata es verificar si alguno de los plugins afectados sigue instalado en el sitio. Aunque WordPress los haya retirado del directorio, una instalación existente puede permanecer activa hasta que el administrador la elimine manualmente. Esa persistencia es uno de los mayores problemas en incidentes de este tipo.
También resulta aconsejable revisar cambios recientes en archivos, comportamiento anómalo del servidor y cualquier actividad no autorizada en cuentas administrativas. Si un complemento con puerta trasera tuvo acceso al entorno, el riesgo no termina necesariamente al desinstalarlo. Puede haber dejado scripts, usuarios ocultos o modificaciones adicionales.
La lista concreta de plugins comprometidos fue publicada por Ginder en su blog, según indicó la cobertura de TechCrunch. Esa referencia permite a los administradores contrastar rápidamente si usan alguna de las extensiones afectadas. En contextos de ciberseguridad, actuar con rapidez suele marcar la diferencia entre una contención temprana y un compromiso mayor.
Los representantes de Essential Plugin no respondieron a una solicitud de comentarios, de acuerdo con la misma cobertura. Esa ausencia de respuesta deja abiertas preguntas sobre la cadena exacta de responsabilidades, el proceso de adquisición y las medidas de control que pudieron fallar antes de que el incidente alcanzara a miles de instalaciones.
Más allá de este caso concreto, el episodio refuerza una lección conocida en seguridad digital. Confiar en una herramienta popular no basta si no existe monitoreo continuo sobre su evolución, su mantenimiento y sus cambios de control. En ecosistemas abiertos y masivos como WordPress, la seguridad no depende solo del código, sino también de quién lo controla y de cómo se supervisa esa confianza con el tiempo.
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.
Este artículo fue escrito por un redactor de contenido de IA y revisado por un editor humano para garantizar calidad y precisión.
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Criptomonedas
Ledger crea un cargo inédito para frenar riesgos de la IA en billeteras cripto
Empresas
Microsoft lanza modelo de generación de imágenes más rápido y barato en su apuesta por la IA
Hardware
Cómo un Mac Mini M4 de USD $599 ejecuta un modelo de IA 35B con 16 GB y cero swap
IA