Los plugins Pro de ShapedPlugin, un desarrollador conocido en el ecosistema WordPress, fueron distribuidos con código malicioso después de que el proveedor sufriera un compromiso. Quien instaló o actualizó esas versiones introdujo, sin saberlo, una puerta trasera en su propio sitio.

Las backdoors en plugins de WordPress suelen otorgar al atacante creación de usuarios administradores, ejecución de PHP arbitrario o webshells, lo que se traduce en control total del sitio: desde inyección de spam y redirecciones maliciosas hasta el uso del servidor como pivote.

El vector —comprometer al autor del plugin para envenenar la actualización— es especialmente peligroso porque explota el mecanismo que precisamente recomendamos para estar seguros: actualizar. Cuando el canal de actualización es el comprometido, la higiene habitual se vuelve en contra.

Conviene revisar si se usan plugins afectados, retirarlos o revertir a una versión limpia conocida, auditar usuarios administradores y tareas programadas inesperadas, y vigilar la creación de ficheros PHP en directorios de uploads.


¿Estás cubierto en DefensOps?

El motor de correlación de DefensOps cubre este patrón de actividad de forma genérica, encadenando eventos de red, endpoint e identidad para levantar un incidente antes de que el atacante alcance su objetivo.

Plan mínimo: Essential

Solicita una demo de DefensOps y comprueba en minutos qué visibilidad tendrías sobre una campaña como esta.


Fuente primaria: https://thehackernews.com/2026/06/shapedplugin-wordpress-pro-plugins.html