Plugins WordPress comprometidos: ataque afecta a miles de sitios

Un ataque a la cadena de suministro ha afectado a más de 30 plugins de WordPress, comprometiendo potencialmente a cientos de miles de sitios web. El ataque, descubierto a principios de abril de 2026, involucró la inserción de una puerta trasera en plugins pertenecientes al autor 'Essential Plugin', que anteriormente operaba bajo el nombre 'WP Online Support'. Un comprador, identificado como 'Kris', adquirió la empresa a través de Flippa por una suma de seis cifras y, según la investigación, introdujo el código malicioso en su primer commit. El malware, oculto en el módulo 'wpos-analytics', descargaba archivos de puerta trasera desde un servidor de control y redirigía tráfico a través de un contrato inteligente de Ethereum, dificultando su eliminación tradicional. WordPress.org ha cerrado permanentemente los 30+ plugins afectados, y se están distribuyendo versiones parcheadas por terceros para mitigar el riesgo. Este incidente recuerda a un ataque similar ocurrido en 2017, donde un plugin fue comprometido para distribuir spam. La vulnerabilidad subraya los riesgos asociados con la adquisición de negocios de software a través de plataformas como Flippa y la importancia de auditorías de seguridad exhaustivas.