Grave amenaza en WordPress: Plugin falso de seguridad instala backdoor y da control total a los atacantes

Noticias Hacking y Seguridad Informática / Wordpress / 22 de octubre de 2025 / Por

Una nueva campaña de malware está apuntando directamente a sitios WordPress, utilizando un plugin malicioso disfrazado de herramienta de seguridad para engañar a administradores y obtener control total del sitio.

Investigadores de seguridad de Wordfence detectaron el malware por primera vez en enero de 2025, durante una limpieza de sitio.

Este código malicioso inyecta una puerta trasera, permite la ejecución remota de código, modifica archivos clave del sistema y se mantiene invisible en el panel de administración.

Análisis técnico: Cómo funciona el ataque

El núcleo del ataque es un archivo modificado llamado wp-cron.php, que crea y activa automáticamente un plugin oculto llamado WP-antymalwary-bot.php.

Incluso si este plugin es eliminado, wp-cron.php lo recrea al siguiente acceso al sitio, haciendo el malware altamente persistente.

Otros nombres comunes del plugin malicioso:

  • addons.php
  • wpconsole.php
  • wp-performance-booster.php
  • scr.php

Una vez activo, el plugin otorga acceso de administrador inmediato al atacante mediante una función llamada emergency_login_all_admins que se activa a través de una URL con el parámetro emergency_login.

Con el acceso completo, el atacante:

  • Registra rutas REST API no autenticadas.
  • Inserta código PHP arbitrario en archivos header.php de los temas activos.
  • Inyecta JavaScript ofuscado para mostrar anuncios, redireccionamientos o spam.
  • Borra cachés y ejecuta comandos POST personalizados.

Cómo saber si tu sitio WordPress está infectado

Indicadores clave de infección:

  1. Archivos inesperados como wpconsole.php o wp-performance-booster.php en la carpeta de plugins.
  2. Cambios no autorizados en wp-cron.php o header.php.
  3. Accesos en los logs que contengan:
  • emergency_login
  • check_plugin
  • urlchange
  • key

¿Por qué esto importa?

WordPress alimenta más del 40% de todos los sitios web del mundo, lo que lo convierte en un blanco atractivo para cibercriminales.

Este ataque es particularmente peligroso porque:

  • Pasa desapercibido en el panel de plugins.
  • Reactiva el malware automáticamente.
  • Permite tomar control total del sitio sin autenticación.

A pesar de no conocerse aún a los responsables, el servidor de comando y control (C2) se encuentra en Chipre y algunos rastros apuntan a una posible conexión con un ataque a la cadena de suministro ocurrido en junio de 2024.

Recomendaciones para proteger tu sitio

  • Revisa tu instalación WordPress en busca de archivos sospechosos.
  • Analiza wp-cron.php y header.php en busca de código inusual.
  • Monitoriza tus registros de acceso (logs) para detectar comportamientos anómalos.
  • Usa herramientas de seguridad como Wordfence o Sucuri.
  • Cambia tus credenciales FTP y de hosting inmediatamente si sospechas de una intrusión.

[content-egg module=Amazon template=list]

🔥 LO MÁS VISTO DE ESTA CATEGORÍA