Más de 30 plugins de **WordPress** dentro del paquete **EssentialPlugin** han sido comprometidos con código malicioso, permitiendo el acceso no autorizado a los sitios web que los utilizan. Un actor malicioso introdujo el código de la backdoor el año pasado, pero solo recientemente comenzó a distribuirlo a los usuarios a través de actualizaciones, generando páginas de spam y redirecciones basadas en instrucciones de un servidor de comando y control (C2). El compromiso afecta a plugins con cientos de miles de instalaciones activas y fue descubierto por **Austin Ginder**, fundador del proveedor de hosting administrado para **WordPress** **Anchor Hosting**, tras recibir un aviso sobre un complemento que contenía código que permitía el acceso de terceros. Una investigación adicional por parte de **Ginder** reveló que una backdoor había estado presente en todos los plugins del paquete **EssentialPlugin** desde agosto de 2025, tras la adquisición del proyecto por parte de un nuevo propietario en un acuerdo de seis cifras. **EssentialPlugin**, fundado en 2015 como WP Online Support y renombrado en 2021, es una firma de desarrollo para **WordPress** que ofrece sliders, galerías, herramientas de marketing, extensiones para **WooCommerce**, utilidades de SEO/analítica y temas. Según **Ginder**, la backdoor permaneció inactiva hasta hace poco, cuando contactó silenciosamente a infraestructura externa para obtener un archivo ('wp-comments-posts.php') que inyecta malware en 'wp-config.php'. El malware descargado está diseñado para ser invisible para los propietarios de los sitios y utiliza la resolución de direcciones C2 basada en Ethereum para evadir la detección. Dependiendo de las instrucciones recibidas, el malware puede recuperar "enlaces de spam, redirecciones y páginas falsas". "El código inyectado era sofisticado. Obtenía enlaces de spam, redirecciones y páginas falsas de un servidor de comando y control. Solo mostraba el spam a **Googlebot**, haciéndolo invisible para los propietarios del sitio", [explicó Ginder](https://anchor.host/someone-bought-30-wordpress-plugins-and-planted-a-backdoor-in-all-of-them/). El análisis de la plataforma de seguridad para **WordPress** **PatchStack** [muestra](http://patchstack.com/articles/critical-supply-chain-compromise-on-20-plugins-by-essentialplugin/) que la backdoor solo funcionaba si el endpoint 'analytics.essentialplugin.com' devolvía contenido serializado malicioso. ### Acción de WordPress y Estado de Infección WordPress.org respondió rápidamente a los informes de actividad maliciosa cerrando los plugins y enviando una actualización forzada a los sitios web para neutralizar la comunicación de la backdoor y deshabilitar su ruta de ejecución. Sin embargo, los desarrolladores advirtieron que la acción no limpió el archivo de configuración principal wp-config, que conecta los sitios web a sus bases de datos e incluye configuraciones críticas. El equipo de plugins de WordPress.org también advirtió a los administradores de sitios web que ejecutan un producto de **EssentialPlugin** que, si bien una ubicación conocida para la backdoor es un archivo llamado `wp-comments-posts.php`, que se asemeja al legítimo `wp-comments-post.php`, el malware también podría ocultarse en otros archivos. **BleepingComputer** se ha puesto en contacto con **EssentialPlugins** para obtener comentarios sobre el commit malicioso reportado que ocurrió después de la adquisición, pero no ha recibido respuesta hasta el momento de la publicación.