Cybersecurity News

Plugin malicioso se oculta como herramienta legítima en WordPress

May 2, 2025

Un reciente hallazgo por parte de expertos en ciberseguridad ha revelado la existencia de un plugin malicioso llamado ‘wp-security’, que se presenta como una herramienta legítima de protección para sitios WordPress. Lejos de ofrecer seguridad, este complemento inyecta una puerta trasera en el sistema, permitiendo el control remoto por parte de atacantes.

¿Qué es el plugin ‘wp-security’?

‘wp-security’ es parte de una campaña de malware recientemente descubierta dirigida a sitios WordPress. Se trata de un plugin malicioso que se presenta como una herramienta de protección antimalware, diseñada para engañar a administradores y usuarios desprevenidos. Bajo esta fachada, el plugin permite la ejecución de código malicioso, inyecciones de JavaScript y el establecimiento de una puerta trasera persistente en el servidor.

Aunque el nombre más mencionado es ‘wp-security’, los atacantes también han utilizado otros nombres de plugins maliciosos en esta campaña, como:

  • addons.php
  • wpconsole.php
  • wp-performance-booster.php
  • scr.php
  • WP-antymalwary-bot.php

Estos plugins no están disponibles en el repositorio oficial de WordPress y, generalmente, se instalan a través de accesos comprometidos o métodos fuera del ecosistema seguro de instalación.

Persistencia y recreación del malware

Una característica preocupante de esta amenaza es su persistencia. Aunque el plugin malicioso pueda ser eliminado, el archivo wp-cron.php, modificado por los atacantes, lo vuelve a crear y activa automáticamente durante la siguiente visita al sitio. Esta función asegura que la infección permanezca operativa aun después de intentos de limpieza superficial.

Acceso remoto, backdoor y privilegios de administrador

Una vez activo, el plugin realiza una verificación automática de su estado y utiliza la función emergency_login_all_admins para otorgar acceso de administrador a los atacantes. Esta función se activa mediante una solicitud GET con el parámetro emergency_login, y si se incluye una contraseña en texto plano válida, el código obtiene todos los registros de usuarios administradores, selecciona el primero e inicia sesión como si fuera ese usuario.

Además, el malware registra una ruta REST API personalizada no autenticada que permite la ejecución de comandos maliciosos como:

  • Inserción de código PHP arbitrario en los archivos header.php del tema activo.
  • Eliminación de cachés de plugins.
  • Inyección de JavaScript codificado en base64, que puede ser usado para spam, redirecciones o publicidad maliciosa.
Técnicas de evasión y ocultamiento

El malware se oculta eficazmente:

  • No aparece en el panel de administración de plugins.
  • Usa nombres y descripciones que simulan ser legítimos.
  • Inyecta código sigiloso en archivos clave como header.php y wp-cron.php.
  • No deja rastros evidentes de actividad en los paneles administrativos.

Incluso investigadores indicaron que no se encontraron registros suficientes para trazar la cadena de infección, pero se presume que el acceso inicial se obtiene mediante credenciales FTP comprometidas o cuentas de alojamiento vulneradas.

Recomendaciones
  • Evita instalar plugins fuera del repositorio oficial de WordPress: La mayoría de los plugins maliciosos, incluyendo ‘wp-security’, se propagan mediante descargas externas o enlaces engañosos. Instalar solo desde fuentes verificadas reduce significativamente el riesgo.
  • Verifica regularmente archivos críticos del sitio: Revisa especialmente wp-cron.php y header.php en busca de cambios no autorizados o fragmentos de código inusuales.
  • Monitorea los registros de acceso: Realiza auditorías periódicas buscando parámetros como emergency_login, check_plugin, urlchange y key, que están vinculados con esta campaña de malware.
  • Reemplaza credenciales y revisa accesos FTP: Dado que se sospecha que los atacantes acceden a través de cuentas comprometidas, se recomienda cambiar todas las contraseñas asociadas al panel de administración, FTP y hosting, así como habilitar autenticación en dos pasos cuando sea posible.
  • Haz copias de seguridad frecuentes: Mantener un backup limpio y reciente permite restaurar el sitio en caso de compromiso, evitando pérdidas mayores o reinstalaciones completas.
  • Actualiza regularmente WordPress, temas y plugins: La mayoría de las infecciones explotan versiones desactualizadas con vulnerabilidades conocidas.
Related Posts
Clear Filters
Bitpixie: vulnerabilidad crítica permite desactivar BitLocker en minutos sin hardware adicional
“Bitpixie”: vulnerabilidad crítica permite desactivar BitLocker en minutos sin hardware adicional
Bitpixie: vulnerabilidad crítica permite desactivar BitLocker en minutos sin hardware adicional
Cybersecurity News
Bitpixie: vulnerabilidad crítica permite desactivar BitLocker en minutos sin hardware adicional

Una nueva vulnerabilidad crítica en el sistema de cifrado de disco completo BitLocker de Microsoft ha sido revelada, permitiendo burlar…

Read More
“Defendnot”: la nueva herramienta que engaña a Windows para desactivar Microsoft Defender
Variante de DLL Expone una Debilidad de Windows
“Defendnot”: la nueva herramienta que engaña a Windows para desactivar Microsoft Defender
Cybersecurity News
“Defendnot”: la nueva herramienta que engaña a Windows para desactivar Microsoft Defender

Una nueva herramienta de investigación denominada Defendnot ha generado preocupación en la comunidad de ciberseguridad al demostrar cómo es posible…

Read More
Devel Group
Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.
Privacy Policy
You have read and agreed to our privacy policy
Required