Detectan nueva técnica de ataque que aprovecha plugins Must-Use de WordPress para distribuir código malicioso

CyberSecureFox 🦊

Detectan nueva técnica de ataque que aprovecha plugins Must-Use de WordPress para distribuir código malicioso

por

Investigadores de seguridad de Sucuri han descubierto una preocupante tendencia en el panorama de amenazas de WordPress: los ciberdelincuentes están aprovechando la funcionalidad Must-Use Plugins (MU-plugins) para ocultar y ejecutar código malicioso. Esta sofisticada técnica de ataque, identificada por primera vez en febrero de 2025, representa un nuevo desafío para la seguridad de los sitios web basados en WordPress.

Análisis técnico de la vulnerabilidad Must-Use Plugins

Los Must-Use Plugins constituyen una característica especial de WordPress que permite la ejecución automática de extensiones PHP ubicadas en la carpeta wp-content/mu-plugins/. A diferencia de los plugins regulares, estos componentes no aparecen en el panel de administración, lo que los convierte en un vector de ataque ideal para los actores maliciosos que buscan mantener su presencia oculta en los sistemas comprometidos.

Variantes de malware identificadas

El análisis forense ha revelado tres tipos principales de código malicioso que aprovechan esta vulnerabilidad:

Módulo de redirección maliciosa

Implementado como redirect.php, este componente redirige selectivamente a los visitantes hacia sitios de phishing, específicamente updatesnow[.]net, mientras evita la detección por parte de administradores y crawlers de búsqueda.

Backdoor mediante web shell

El componente más peligroso de este arsenal se presenta como index.php, permitiendo la ejecución remota de código PHP arbitrario y utilizando repositorios de GitHub como canal de comando y control.

Inyector de JavaScript malicioso

Bajo el nombre custom-js-loader.php, este script modifica dinámicamente el contenido del sitio, manipulando imágenes y generando ventanas emergentes fraudulentas en respuesta a las interacciones del usuario.

Estrategias de protección y mitigación

Para proteger los sitios WordPress contra esta amenaza, los administradores deben implementar las siguientes medidas de seguridad:

  • Monitorizar regularmente el contenido de la carpeta mu-plugins
  • Implementar autenticación de doble factor para cuentas administrativas
  • Mantener actualizados todos los componentes de WordPress
  • Utilizar soluciones de seguridad específicas para WordPress

Esta nueva técnica de ataque subraya la importancia crítica de mantener una postura de seguridad proactiva en las instalaciones de WordPress. Los administradores de sistemas y propietarios de sitios web deben permanecer vigilantes y adoptar un enfoque de seguridad en capas que incluya monitorización continua, actualizaciones regulares y auditorías de seguridad periódicas para proteger sus activos digitales contra estas amenazas emergentes.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

cybersecurefox.com

© 2025 INFO

PRIVACY POLICY terms of service