Expertos alertan sobre una campaña de ciberataques dirigida a los sitios web de pequeñas y medianas empresas.

Los atacantes están comprometiendo sitios web a gran escala en todo el mundo e instalan en los servidores herramientas ocultas para controlarlos de forma remota. La campaña ya ha afectado a numerosas pequeñas y medianas empresas en Australia; sin embargo, los ataques no se limitan a un solo país.
El Centro de Ciberseguridad de Australia informó que los atacantes escanean automáticamente sitios web en busca de sistemas de gestión de contenidos y complementos vulnerables. Los fallos encontrados permiten subir archivos sin autorización, ejecutar comandos en el servidor, enviar peticiones en su nombre o procesar datos especialmente diseñados.
Una vez que el sitio ha sido comprometido, los atacantes instalan webshells, que ofrecen acceso remoto persistente al servidor. A través de ellos, los delincuentes pueden modificar o dejar fuera de servicio los sitios, interceptar contraseñas introducidas por visitantes, robar datos almacenados, cargar software malicioso y usar el servidor como punto de entrada a la red interna de la empresa.
En la campaña se explotan vulnerabilidades en los siguientes programas y complementos:
Simple File List para WordPress – CVE-2020-36847 (9.8 Crítica). La CVE-2025-34085 citada en el aviso fue desestimada como duplicado de esta vulnerabilidad;Los especialistas australianos recomiendan comprobar los directorios de los sitios y los complementos en busca de archivos desconocidos o modificados recientemente, y revisar los registros de acceso en busca de solicitudes GET y POST sospechosas. Un servidor en el que se detecte una webshell debe considerarse totalmente comprometido; aislarlo de la red y verificar si han aparecido nuevas cuentas o software malicioso, si los atacantes intentaron extraer datos o si se movieron lateralmente entre sistemas.
También se aconseja a los administradores revisar entradas anteriores en los registros para encontrar las peticiones que pudieron permitir a los atacantes comprometer inicialmente el sitio y cargar la webshell. Los registros de red y de los cortafuegos ayudarán a detectar conexiones del servidor infectado con direcciones externas.
Hay que actualizar los componentes vulnerables y desactivar temporalmente los complementos que no tienen correcciones. Después de eliminar o aislar los archivos maliciosos, no se debe reconectar el servidor a la red hasta haberlo inspeccionado por completo. Si el sitio fue comprometido, se recomienda restaurarlo desde una copia de seguridad reciente y conocida como limpia.
Para protegerse adicionalmente, a las organizaciones se les propone prohibir la escritura en los directorios del sitio donde no debe producirse ningún cambio, restringir el acceso a archivos y rutas, controlar qué procesos hijos inicia el servidor web y separar los sitios públicos de la red corporativa. Si las correcciones se instalan automáticamente, eso también puede reducir el tiempo durante el cual el sitio permanece vulnerable.
Si no es posible prohibir por completo la creación de archivos, los administradores aconsejan controlar cualquier cambio que vaya más allá de los trabajos autorizados. Ese enfoque ayuda a detectar la webshell más rápido y a reducir el tiempo que permanece activa en el servidor comprometido.