Alerta WordPress: Falso Plugin de Seguridad Ataca Sitios

La seguridad en el universo digital es una carrera constante entre quienes protegen y quienes buscan vulnerar. Recientemente, el ecosistema de WordPress, el sistema de gestión de contenidos (CMS) más popular del mundo, ha sido sacudido por una nueva amenaza. Investigadores de seguridad han alertado sobre un plugin malicioso que, irónicamente, se disfraza de herramienta de seguridad para infiltrarse y comprometer sitios web.

A finales de abril de 2025, Marko Wotschka, del reconocido equipo de seguridad Wordfence, compartió detalles sobre este engañoso malware para WordPress. El software malicioso suele aparecer en los archivos del sistema con nombres que intentan simular legitimidad, siendo «WP-antymalwary-bot.php» uno de los más comunes. Este descubrimiento se originó durante una limpieza de rutina de un sitio afectado en enero de 2025.

A primera vista, este plugin podría pasar desapercibido para un administrador de sitio web menos experimentado. Sin embargo, un análisis más profundo por parte de Wordfence reveló su verdadera naturaleza. Este malware no solo es un impostor, sino que está equipado con múltiples funcionalidades diseñadas para asegurar la persistencia del atacante en el sitio web infectado. Además, tiene la capacidad de ocultar su presencia del panel de control de WordPress, dificultando su detección y eliminación.

Una de sus características más preocupantes es la capacidad de ejecutar código de forma remota. Esto otorga a los ciberdelincuentes un control significativo sobre el sitio comprometido, permitiéndoles realizar una variedad de acciones maliciosas. Wotschka explicó que el plugin «también incluye una función de ping que puede informar a un servidor de Comando y Control (C&C)». Esta comunicación con un servidor externo es vital para los atacantes, ya que les permite enviar instrucciones y extraer información.

El alcance del malware no termina ahí. También contiene código que facilita su propagación a otros directorios dentro del servidor y es capaz de inyectar JavaScript malicioso. Este JavaScript se utiliza comúnmente para mostrar anuncios no deseados o redirigir a los visitantes a sitios peligrosos, generando ingresos para los atacantes o propagando aún más infecciones.

Tácticas de Persistencia y Origen del Ataque

La investigación de Wordfence, iniciada tras encontrar un archivo wp-cron.php modificado en enero de 2025, desveló cómo este malware asegura su supervivencia. El archivo wp-cron (una función de WordPress para tareas programadas) era el encargado de crear y activar programáticamente el plugin malicioso. Si un administrador del sitio web detectaba y eliminaba el plugin impostor, el wp-cron modificado simplemente lo recreaba y reactivaba, frustrando los esfuerzos de limpieza manual.

Además de WP-antymalwary-bot.php, se descubrió que este plugin malicioso utilizaba otros nombres de archivo para camuflarse, como addons.php, wpconsole.php, wp-performance-booster.php y scr.php. Esta variedad de nombres complica aún más su identificación.

Un aspecto que Wordfence no pudo determinar con certeza fue el vector de infección inicial ni la identidad de los autores. La falta de registros detallados para analizar llevó a los investigadores a especular que la brecha original podría haberse producido a través de una cuenta de hosting comprometida o mediante credenciales FTP robadas. Lo que sí lograron identificar es que el servidor de Comando y Control (C2) al que se reporta el malware está ubicado en Chipre. También se señaló que un ataque con características similares ya había sido detectado en junio de 2024, sugiriendo una campaña persistente o la evolución de una amenaza anterior.

Inteligencia Artificial: ¿Una Nueva Herramienta para los Ciberdelincuentes?

Un detalle particularmente interesante destacado por Wordfence es el aparente uso de Inteligencia Artificial Generativa (IA Gen) en la escritura de algunas porciones del código del malware. Lo notable aquí no es solo el uso de la IA en sí, sino cómo esta tecnología podría estar ayudando a los actores de amenazas a crear malware que parezca más legítimo y sofisticado, dificultando su detección por herramientas automatizadas y análisis humano. Esto representa una nueva frontera en la ciberdelincuencia, donde la IA se convierte en un arma para perfeccionar los engaños.

Protegiendo su Sitio WordPress

Ante esta creciente sofisticación de las amenazas, la vigilancia y la proactividad son esenciales para los propietarios de sitios WordPress:

1. Contraseñas Robustas y Autenticación de Dos Factores (2FA): Utilice contraseñas complejas y únicas para su panel de WordPress, cuentas de hosting y FTP. Habilite 2FA siempre que sea posible.
2. Hosting de Confianza: Elija proveedores de hosting que tengan buenas prácticas de seguridad.
3. Actualizaciones Constantes: Mantenga el núcleo de WordPress, temas y plugins siempre actualizados a sus últimas versiones.
4. Plugins de Fuentes Fiables: Descargue e instale plugins únicamente desde el repositorio oficial de WordPress o de desarrolladores con buena reputación. Revise las valoraciones y el número de instalaciones activas.
5. Plugins de Seguridad: Instale un plugin de seguridad de buena reputación (¡uno real!) que ofrezca escaneo de malware, firewall y otras protecciones.
6. Copias de Seguridad Regulares: Realice copias de seguridad completas de su sitio web de forma periódica y guárdelas en un lugar seguro y separado de su servidor.
7. Monitoreo Activo: Revise los registros de su servidor y utilice herramientas de monitoreo para detectar actividades sospechosas. Esté atento a archivos desconocidos o modificados.

La aparición de este plugin malicioso disfrazado de solución de seguridad es un recordatorio contundente de la astucia de los ciberdelincuentes. La comunidad de WordPress debe permanecer alerta y adoptar medidas de seguridad rigurosas para proteger sus activos digitales contra estas amenazas en constante evolución. La información y la prevención son las mejores defensas.

Fuente: bleepingcomputer