Payload Logo
Ciberseguridad

Hackeo Masivo en WordPress: 30+ Plugins con Backdoor (2026)

Author

Javier Leyton

Date Published

Infografía sobre ataque de cadena de suministro en WordPress 2026 con 30 plugins comprometidos.

Alerta de Seguridad: El ataque de "Cadena de Suministro" que comprometió a millones de sitios WordPress

En el mundo del desarrollo web, solemos decir que un sitio es tan fuerte como su eslabón más débil. Recientemente, la comunidad de WordPress ha recibido un duro recordatorio de esto con uno de los ataques de seguridad más sofisticados y masivos de los últimos años.

No se trató de un hacker explotando un error de código por accidente; se trató de una estrategia de adquisición empresarial diseñada para infectar sitios desde adentro.

¿Qué sucedió exactamente?

Un actor malicioso (identificado bajo el alias "Kris") compró legalmente un portafolio de más de 30 plugins populares en la plataforma Flippa por una cifra de seis dígitos. Estos plugins, que acumulaban millones de instalaciones, pertenecían a desarrolladores confiables como WP Online Support (luego Essential Plugin).

La cronología del engaño:

- Agosto 2025: El nuevo dueño lanza actualizaciones legítimas. En el código, inserta una "puerta trasera" (backdoor) que permanece dormida por 8 meses para no levantar sospechas.

- Abril 2026: Se activa el ataque. Los plugins empiezan a descargar malware que inyecta código malicioso directamente en el archivo wp-config.php de los sitios.

- El objetivo: Crear una red de spam SEO invisible para los dueños de los sitios, pero visible para Googlebot, dañando la reputación y el ranking de miles de negocios.

La técnica "Smart" del atacante

Lo más sorprendente de este caso es cómo el atacante utilizó la tecnología Blockchain. Para evitar que los expertos en seguridad bloquearan sus servidores, el malware consultaba un smart contract de Ethereum para obtener la dirección del servidor de comando. Si una dirección era bloqueada, el atacante simplemente actualizaba el contrato y el malware seguía funcionando.

¿Está tu sitio en riesgo?

Si utilizas alguno de estos plugins (o sus versiones Pro), podrías estar comprometido. Algunos de los más afectados fueron:

- Countdown Timer Ultimate

- Accordion and Accordion Slider

- WP Team Showcase and Slider

- Popup Anything on Click

...y más de 25 títulos adicionales.

Importante: Aunque el equipo de WordPress.org ya eliminó estos plugins de su repositorio oficial y forzó una actualización de "limpieza", esta medida solo detiene la comunicación futura; no elimina el código ya inyectado en tu archivo wp-config.php.

¿Cómo protegerte? (Y cómo en Wedit podemos ayudarte)

Este ataque demuestra que el modelo de seguridad tradicional de WordPress —donde cualquier plugin tiene acceso total a tu servidor— es vulnerable. Mientras surgen alternativas como Mdash de Cloudflare, que busca aislar (sandboxing) los plugins, la realidad actual exige una vigilancia activa.

En wedit.tech, recomendamos:

Auditoría de archivos core: Revisar manualmente el wp-config.php en busca de bloques de código sospechosos (especialmente al final del archivo).

Limpieza de plugins: Eliminar cualquier plugin que haya sido retirado del repositorio oficial.

Monitoreo de cambios: Implementar sistemas que alerten cuando un archivo del sistema es modificado sin autorización.

¿No sabes por dónde empezar? En Wedit nos especializamos en mantener tu WordPress rápido, limpio y, sobre todo, seguro. No esperes a que tu sitio desaparezca de Google por una infección de spam.

👉 Contáctanos hoy para una auditoría de seguridad gratuita.