Miles de sitios web han sido afectados tras el hackeo de EssentialPlugin, un popular paquete de complementos para WordPress. El ataque permitió insertar código malicioso capaz de distribuir malware, crear páginas de spam, realizar redirecciones y facilitar accesos no autorizados.
La vulnerabilidad fue descubierta por el investigador Austin Ginder, quien detectó una puerta trasera añadida en agosto de 2025, tras el cambio de propietario del proyecto. Aunque permaneció inactiva durante meses, recientemente comenzó a propagarse mediante actualizaciones de más de 30 plugins afectados.
El malware opera de forma silenciosa y difícil de detectar. Descarga un archivo malicioso llamado wp-comments-posts.php, que modifica wp-config.php para comprometer el sitio. Según Patchstack, la amenaza se activaba únicamente al recibir instrucciones desde servidores externos controlados por los atacantes.
Aunque WordPress deshabilitó o actualizó varios plugins comprometidos, expertos advierten que el malware puede permanecer oculto en otros archivos. Como medida preventiva, se recomienda desactivar los plugins de EssentialPlugin, realizar auditorías de seguridad y verificar cuidadosamente el origen y mantenimiento de los complementos instalados.
Hasta ahora, EssentialPlugin no ha emitido una declaración oficial. Se estima que entre 20.000 y 60.000 instalaciones podrían estar afectadas.
