31 plugins de WordPress comprometidos: qué ha pasado y cómo proteger tu web

Esta semana se ha destapado uno de los ataques más sofisticados que ha sufrido el ecosistema WordPress en los últimos años. Un atacante compró un portfolio de 31 plugins legítimos de WordPress, metió una puerta trasera en su código y esperó 8 meses antes de activarla. Cuando lo hizo, miles de páginas web en todo el mundo quedaron comprometidas.

No es un fallo puntual ni un descuido de un desarrollador. Es un problema estructural de cómo funciona WordPress, y es exactamente el motivo por el que en Xavia Digital no usamos WordPress ni plugins de terceros para desarrollar las webs de nuestros clientes.

Qué ha pasado exactamente

El ataque afecta a un paquete de plugins llamado Essential Plugin, que acumulaba más de 400.000 instalaciones y estaba activo en más de 20.000 sitios web. El desarrollador original, un equipo de India que llevaba desde 2015 manteniendo estos plugins, decidió vender el negocio a través de la plataforma Flippa porque sus ingresos habían caído.

El comprador, que opera bajo el alias "Kris", adquirió todo el portfolio por una cantidad de seis cifras. Y lo primero que hizo fue modificar el código de los 31 plugins para incluir una puerta trasera. Eso fue en agosto de 2025. La actualización se disfrazó como una simple mejora de compatibilidad con WordPress 6.8.2, pero en realidad añadía casi 200 líneas de código malicioso.

Durante 8 meses el código estuvo dormido. Los plugins funcionaban con normalidad, nadie detectó nada. Hasta que el 5 de abril de 2026 la puerta trasera se activó y empezó a inyectar páginas de spam, redirecciones maliciosas y accesos no autorizados en todos los sitios web que tenían estos plugins instalados.

WordPress.org reaccionó cerrando permanentemente los 31 plugins, pero el daño ya estaba hecho. Y lo peor: la limpieza no es automática. Los administradores de las webs afectadas tienen que revisar manualmente archivos del sistema, buscar cuentas de administrador falsas y limpiar configuraciones comprometidas.

Y no fue el único ataque de la semana

Casi al mismo tiempo se descubrió que Smart Slider 3 Pro, otro plugin muy popular con más de 800.000 instalaciones, también fue comprometido. En este caso los atacantes accedieron a los servidores de actualización del desarrollador y distribuyeron una versión troyanizada a través del canal oficial de updates. Es decir, los propios usuarios instalaron el malware pensando que era una actualización legítima.

Dos ataques de cadena de suministro en la misma semana, afectando a cientos de miles de instalaciones. No es casualidad, es una tendencia.

Por qué ocurre esto con WordPress

WordPress en sí mismo no es inseguro. Es un software maduro y bien mantenido. El problema está en su modelo de dependencias: una web en WordPress necesita plugins para casi todo. Un formulario de contacto, un slider de imágenes, un sistema de caché, SEO, seguridad, copias de seguridad... Cada funcionalidad es un plugin diferente, desarrollado por una empresa o persona diferente, con sus propios estándares de seguridad.

Una instalación típica de WordPress tiene entre 15 y 30 plugins activos. Cada uno de ellos es un punto de entrada potencial. Y como se ha demostrado esta semana, ni siquiera hace falta que el plugin tenga un fallo técnico. Basta con que cambie de dueño y el nuevo propietario tenga malas intenciones.

WordPress no notifica a los usuarios cuando un plugin cambia de propietario. Tú instalas un plugin de un desarrollador de confianza, y meses después ese plugin puede pertenecer a otra persona que ha metido código malicioso. La actualización te llega como cualquier otra y la instalas sin sospechar nada.

Cómo evitamos esto con la programación a medida

En Xavia Digital desarrollamos todas nuestras webs con programación PHP a medida. ¿Qué significa esto en términos de seguridad?

Cero plugins de terceros. Cada funcionalidad de la web está programada por nosotros. No hay código externo que pueda ser comprometido por un cambio de propietario, una vulnerabilidad no parcheada o una actualización maliciosa. Si tu web necesita un formulario de contacto, lo programamos. Si necesita un slider, lo programamos. No instalamos un plugin y cruzamos los dedos.

Sin actualizaciones que puedan romper tu web. Una web en WordPress necesita actualizaciones constantes del núcleo, del tema y de cada plugin. Cada actualización es un riesgo: puede generar incompatibilidades, errores o, como hemos visto esta semana, inyectar código malicioso. Con programación a medida tu web no necesita actualizaciones para seguir funcionando de forma segura.

Código que solo conocemos nosotros y tú. El código fuente de tu web no está publicado en ningún repositorio público. Nadie puede estudiar su estructura para buscar vulnerabilidades, como sí pueden hacer con WordPress, cuyo código es abierto y conocido por cualquier atacante.

Sin CMS genérico expuesto. Los ataques automatizados contra WordPress buscan rutas conocidas como /wp-admin, /wp-login.php o archivos de configuración estándar. Nuestras webs no tienen estas rutas porque no usan WordPress. Los bots que rastrean Internet buscando sitios vulnerables simplemente no encuentran nada que atacar.

¿Y si ya tengo una web en WordPress?

Si tu web está hecha con WordPress y funciona bien, no hace falta que entres en pánico. Pero sí deberías tomar algunas precauciones:

Revisa qué plugins tienes instalados. Desactiva y elimina los que no uses. Cada plugin activo es una superficie de ataque.

Comprueba quién los desarrolla. Si un plugin ha cambiado de propietario recientemente o lleva tiempo sin actualizarse, valora sustituirlo.

Mantén todo actualizado. Sí, las actualizaciones pueden traer problemas, pero no actualizar es peor. Las vulnerabilidades conocidas sin parchear son la vía de entrada más habitual.

Ten copias de seguridad diarias. Si algo falla, poder restaurar la web a un estado anterior es la mejor red de seguridad.

Y si estás pensando en renovar tu web o en crear una nueva, quizá sea un buen momento para plantearte si el modelo de WordPress con plugins es realmente lo que necesita tu negocio.

La seguridad no debería ser una preocupación constante

Una de las ventajas que más valoran nuestros clientes es que no tienen que preocuparse por la seguridad de su web. No reciben avisos de actualizaciones pendientes, no se les cae la web por un plugin incompatible, no aparecen páginas de spam en su sitio porque alguien explotó una vulnerabilidad.

Sus webs funcionan, punto. Y eso no es magia, es la consecuencia directa de no depender de código de terceros que no controlas.

Si quieres saber más sobre cómo trabajamos o quieres que revisemos la seguridad de tu web actual, escríbenos a info@xaviadigital.com o contacta con nosotros a través de nuestra web. Estamos en Asturias y Madrid, y nos desplazamos sin compromiso.