Image by Souvik Banerjee, from Unsplash
Los Hackers Utilizan un Falso Plugin de WordPress para Mantener el Control Total del Sitio
Tiempo de lectura: 2 min.
Actualizado por última vez: Sep 30, 2025
-
![Kiara Fabbri]()
-
![El equipo de localización y traducción]()
Traducido por El equipo de localización y traducción Servicios de localización y traducción
Los investigadores han descubierto que los hackers explotan sitios de WordPress a través de puertas traseras ocultas, obteniendo control total, incluso cuando los propietarios del sitio intentan eliminarlos.
¿Con prisa? Aquí están los datos rápidos:
- Un plugin falso llamado DebugMaster Pro creó secretamente cuentas de administrador.
- El malware enviaba los detalles de inicio de sesión robados a un servidor controlado por hackers.
- Se inyectaron scripts maliciosos en los sitios, también registrando las direcciones IP de los administradores.
Una reciente investigación realizada por Sucuri encontró que dos archivos con contenido malicioso estaban disfrazados como componentes normales del sistema WordPress. Uno era un falso plugin llamado “DebugMaster Pro” (./wp-content/plugins/DebugMaster/DebugMaster.php). El otro pretendía ser un archivo central (./wp-user.php).
Ambos estaban diseñados para asegurarse de que los atacantes siempre tuvieran una cuenta de administrador en el sitio. El archivo DebugMaster contenía un código avanzado ya que creaba una cuenta de usuario administrador secreta. DebugMaster también permanecía invisible en las listas de plugins mientras enviaba información de inicio de sesión robada a un servidor remoto.
Según explicó el informe: “Este fragmento obliga a WordPress a crear un nuevo usuario llamado help con el rol de administrador. Si el usuario ya existe, el script se asegura de restaurar sus privilegios de administrador”.
Los detalles robados, incluyendo el nombre de usuario y la contraseña, fueron codificados y enviados a un sitio web controlado por un hacker. El malware ejecutó scripts perjudiciales en el sitio web durante su operación para localizar las direcciones IP de los administradores del sitio web.
El archivo wp-user.php presentó una situación sencilla pero preocupante. El sistema mantenía una cuenta de administrador llamada “help” que utilizaba una contraseña fija. Incluso si el propietario del sitio borraba esta cuenta, el archivo la recrearía instantáneamente.
Las investigadoras explicaron que las señales de advertencia de esta infección incluyen archivos extraños como ‘DebugMaster.php’ o ‘wp-user.php’, nuevas cuentas de administrador o cuentas ocultas, y cuentas eliminadas que vuelven a aparecer.
La solución a este problema implica eliminar archivos dañinos y cuentas sospechosas. También se aconseja a los usuarios que restablezcan todas las contraseñas y actualicen WordPress, los plugins, y revisen los registros del servidor en busca de conexiones inusuales.
Los investigadores afirmaron que los dos archivos “crearon un punto de apoyo resistente en el sitio web”, lo que significa que los atacantes podrían regresar fácilmente a menos que el sitio estuviera completamente limpio y seguro.
Artículo anterior
Artículos más recientes 
