¿Te ahorraste la licencia? Enhorabuena: ahora tu sitio web tiene dos dueños

Investigadores de Wordfence Threat Intelligence informaron sobre una campaña a gran escala relacionada con el uso de los llamados «plugins nulled» — copias pirata de extensiones premium para WordPress, modificadas por terceros.

Se descubrió que esos paquetes falsificados se convierten en una herramienta conveniente para los atacantes: inyectan código malicioso directamente en la estructura del plugin, lo que permite eludir los mecanismos de protección y garantizar el acceso persistente a los sitios comprometidos. En realidad, los propietarios de los recursos abren el camino a los atacantes al instalar versiones infectadas para ahorrar en licencias.

Las primeras muestras de este malware fueron entregadas a Wordfence el 26 de agosto de 2025. Ya el 2 de septiembre de 2025 la empresa publicó seis firmas para su detección. La investigación mostró que en uno de los sitios infectados había copias sospechosas de dos plugins de pago populares. Sus versiones modificadas se convirtieron en el punto de entrada para el ataque.

Los atacantes disfrazaban los plugins como originales, cambiando metadatos y la estructura de los directorios. La carga maliciosa se ocultaba mediante métodos atípicos de ofuscación: las cadenas se escribían en orden inverso, se aplicaban distintos sistemas de codificación, llamadas adicionales a funciones y entidades HTML, lo que dificultaba el análisis.

El objetivo principal del código es eludir la protección y obtener control. En la primera variante el malware se implantaba en el proceso de inicialización de WordPress, esperando un parámetro especial en la URL. Tras la activación renombraba el directorio de Wordfence, desactivando por completo la protección. En una versión más avanzada apareció la capacidad de modificar simultáneamente dos directorios arbitrarios; los parámetros se transmitían mediante una solicitud web. Este enfoque hizo que los ataques fueran flexibles: cada caso puede configurarse de forma individual, complicando la detección por señales universales.

El paso siguiente era que el malware creara o modificara cuentas con privilegios de administrador. La primera versión insistía en añadir un nuevo usuario «wp_admin_1» o elevar los privilegios de uno ya existente. La segunda versión pasó a parámetros dinámicos, permitiendo cambiar el nombre, la contraseña y la dirección de correo; sin embargo, el código resultaba menos estable y a veces fallaba si los datos coincidían con los ya existentes. A pesar de ello, el objetivo seguía siendo el mismo: afianzarse en el sistema y mantener el acceso completo incluso después de limpiar los archivos.

Para enmascarar su actividad, los atacantes inyectaban reglas CSS y código JavaScript que ocultaban los plugins de la lista de instalados y eliminaban elementos individuales de la interfaz de Wordfence. Esto permitía al administrador creer que la protección estaba activa, mientras el control sobre el sitio permanecía en manos de los atacantes. Además, se registraron indicadores de compromiso: la cadena de consulta «02jri7rt63uind9j837gew82djh», el administrador ficticio «wp_admin_1», así como varias sumas hash de archivos.

Los expertos subrayan que la principal causa de estos ataques es el uso de plugins y temas ilegales. Las copias pirata se crean inicialmente con puertas traseras que se activan inmediatamente después de la instalación. Incluso si el malware está oculto e imita el funcionamiento de una herramienta de seguridad real, abre la puerta a la inserción de código adicional — desde el robo de datos de usuarios hasta la instalación de scripts para extraer información de pago en tiendas en línea.

La recomendación sigue siendo inequívoca: nunca usar versiones «nulled» de plugins o temas de WordPress. Ahorrar en licencias se convierte en pérdidas mucho mayores, ya que la instalación de extensiones infectadas convierte a los administradores en cómplices involuntarios de los ataques a sus propios sitios.