**Smart Slider 3** para **WordPress**, utilizado en más de 900,000 sitios web, sufrió una importante brecha de seguridad después de que hackers secuestraran su sistema de actualizaciones. La actualización maliciosa, que afectó específicamente a la versión Pro 3.5.1.35, se distribuyó el 7 de abril, comprometiendo potencialmente numerosos sitios web. Se insta a los usuarios a actualizar inmediatamente a la versión 3.5.1.36 o a revertir a la 3.5.1.34 o versiones anteriores. ### Malware Multicapa Según un análisis de **PatchStack**, el malware inyectado es un sofisticado kit de herramientas multicapa incrustado en el archivo principal del plugin. Mantiene la funcionalidad normal del plugin al tiempo que introduce varias vulnerabilidades críticas: * Ejecución remota de comandos sin autenticación a través de encabezados HTTP manipulados. * Puerta trasera autenticada con ejecución de comandos PHP eval y del sistema operativo. * Robo automatizado de credenciales.  *Creación de una cuenta de administrador oculta* *Fuente: PatchStack* ### Mecanismos de Persistencia El malware emplea múltiples capas de persistencia para asegurar su operación continua, incluso después de que se tomen medidas de seguridad: * **Cuenta de Administrador Oculta:** Creación de una cuenta de administrador oculta con credenciales almacenadas en la base de datos. * **Directorio 'mu-plugins':** Creación de un directorio 'mu-plugins' y un plugin de uso obligatorio que se hace pasar por un componente de caché legítimo. Estos plugins se cargan automáticamente y no se pueden deshabilitar desde el panel de administración de WordPress. * **Puerta Trasera en el Tema:** Inyección de una puerta trasera en el archivo *functions.php* del tema activo, asegurando la persistencia mientras el tema permanezca activo. * **Inyección en el Directorio *wp-includes*:** Se inyecta un archivo PHP que imita una clase central legítima de WordPress en el directorio *wp-includes*. Esta puerta trasera depende de un archivo `.cache_key` para la autenticación, eludiendo los cambios de credenciales de la base de datos. ### Instalaciones de Joomla Afectadas El proveedor ha emitido una advertencia similar para las instalaciones de **Joomla**, indicando que la versión 3.5.1.35 del plugin puede crear una cuenta de administrador oculta (generalmente con el prefijo *wpsvc_*) e instalar puertas traseras adicionales en los directorios `/cache` y `/media`. También roba información del sitio y credenciales. ### Acciones Recomendadas La actualización maliciosa se distribuyó el 7 de abril. El equipo de **Smart Slider** recomienda restaurar copias de seguridad del 5 de abril para tener en cuenta las posibles diferencias horarias. Si no hay una copia de seguridad disponible, elimine el plugin comprometido e instale una versión limpia (3.5.1.36). Los administradores que encuentren la versión comprometida del plugin deben asumir un compromiso total del sitio y tomar las siguientes medidas: * Eliminar usuarios, archivos y entradas de base de datos maliciosos. * Reinstalar el núcleo, los plugins y los temas de WordPress desde fuentes confiables. * Rotar todas las credenciales (WP, DB, FTP/SSH, hosting, correo electrónico). * Regenerar las claves de seguridad de WordPress (salts). * Escanear en busca de malware restante y revisar los registros. El proveedor ofrece una guía detallada de limpieza manual para WordPress y Joomla, que incluye: * Poner el sitio en modo de mantenimiento y crear una copia de seguridad. * Eliminar usuarios administradores no autorizados. * Eliminar todos los componentes maliciosos. * Reinstalar todos los archivos centrales, plugins y temas. * Restablecer todas las contraseñas. * Escanear en busca de malware adicional. Las recomendaciones finales incluyen fortalecer el sitio activando la autenticación de dos factores (2FA), actualizar componentes, restringir el acceso administrativo y utilizar contraseñas seguras y únicas.