En junio de 2026, tres plugins Pro de ShapedPlugin fueron comprometidos a través de un ataque de cadena de suministro que inyectó malware en el canal oficial de actualizaciones. El ataque, clasificado como CVE-2026-10735 con score CVSS 9.8 crítico, expuso aproximadamente 400,000 sitios WordPress que instalaron versiones maliciosas entre el 21 de mayo y el descubrimiento público del 11 de junio de 2026.

En 30 segundos

  • ShapedPlugin confirmó el breach el 16 de junio de 2026; Wordfence lo detectó el 11 de junio, con acceso inicial desde el 21 de mayo.
  • Los plugins afectados son Product Slider for WooCommerce Pro, Real Testimonials Pro y Smart Post Show Pro; las versiones gratuitas en WordPress.org no fueron tocadas.
  • El malware instala Tiny File Manager 2.6, Adminer 5.2.1, un web shell y un backdoor en la REST API para acceso remoto persistente.
  • Los atacantes roban credenciales de administrador, secretos TOTP de plugins 2FA (WP 2FA, Wordfence, Really Simple SSL), claves de wp-config.php y datos de órdenes de WooCommerce de los últimos 3 meses.
  • Las versiones parcheadas están disponibles: Product Slider 3.5.4, Real Testimonials 3.2.6 y Smart Post Show 4.0.2.

WooCommerce es un plugin de WordPress desarrollado por Automattic que permite crear y gestionar tiendas de comercio electrónico. Proporciona funcionalidades de carrito de compras, gestión de productos, procesamiento de pagos e integración de múltiples métodos de envío.

El build pipeline comprometido: cómo un atacante infectó 400,000 sitios WordPress

Un ataque de cadena de suministro en plugins WordPress ocurre cuando los atacantes vulneran el servidor de distribución o el proceso de build del desarrollador, en vez de atacar cada sitio objetivo por separado. En este caso, el build pipeline de ShapedPlugin fue el punto de entrada, lo que permitió que las actualizaciones «oficiales» de sus plugins Pro entregaran código malicioso a los sitios de los usuarios. Es una táctica que multiplica el radio de daño: comprometés a uno, llegás a miles.

El 21 de mayo de 2026, alguien vulneró el servidor de distribución de actualizaciones de ShapedPlugin. Durante casi tres semanas, los sitios que tenían licencias Pro y auto-actualización habilitada instalaron código malicioso pensando que estaban recibiendo mejoras legítimas (spoiler: no lo eran). Según BleepingComputer, Wordfence detectó la anomalía recién el 11 de junio, y ShapedPlugin lo reconoció públicamente el 16 de junio.

El resultado: cerca de 400,000 sitios potencialmente expuestos, una vulnerabilidad con CVSS 9.8, y un malware que no se limita a romper el sitio sino que extrae datos de acceso con precisión quirúrgica.

Cuáles son los tres plugins de ShapedPlugin afectados por el malware

Solo los plugins Pro distribuidos por el servidor privado de ShapedPlugin fueron comprometidos. Las versiones gratuitas en el repositorio oficial de WordPress.org no fueron afectadas. Acá están los detalles:

PluginVersiones comprometidasVersión parcheadaEstado
Product Slider for WooCommerce ProAnteriores a 3.5.43.5.4Parche disponible
Real Testimonials Pro~3.2.43.2.6Parche disponible
Smart Post Show ProAnteriores a 4.0.24.0.2Parche disponible
plugins wordpress comprometidos backdoor diagrama explicativo

Si tenés cualquiera de estos tres plugins instalado en versión Pro y no actualizaste después del 16 de junio de 2026, asumí que tu sitio fue comprometido y actuá en consecuencia. No es momento de «pero tal vez no me tocó a mí». Sobre eso hablamos en cuando integras tu tienda en múltiples canales.

Cómo el malware roba credenciales, 2FA y datos de WooCommerce

Ponele que tenés Product Slider for WooCommerce Pro instalado y la auto-actualización activada. Descargás la actualización un lunes a la madrugada, el plugin se instala sin problemas, el sitio funciona perfecto, los clientes hacen pedidos, todo parece normal, y mientras tanto un archivo adminer.php en tu carpeta uploads da acceso completo a tu base de datos a cualquiera que conozca la URL (si es que eso cuenta como «funciona perfecto»).

Los cuatro componentes que el malware instala son:

  • Tiny File Manager 2.6: gestor de archivos web que da acceso remoto al filesystem completo desde el navegador, sin autenticación adicional una vez que el atacante tiene las credenciales iniciales.
  • Adminer 5.2.1: interfaz web para gestionar bases de datos MySQL. Con esto pueden leer, editar o exportar toda la base de datos WordPress, incluyendo usuarios, contraseñas y pedidos.
  • Web shell: backdoor que permite ejecutar comandos arbitrarios en el servidor como si tuvieran acceso SSH directo.
  • Backdoor en la REST API: endpoint no documentado que mantiene acceso persistente incluso si borrás los archivos evidentes.

Los datos que el malware extrae: credenciales de administrador, session cookies, IP y detalles del navegador, secretos TOTP de plugins de autenticación de dos factores (WP 2FA, Wordfence 2FA, Really Simple SSL), las salt keys del wp-config.php, y datos de órdenes de WooCommerce de los últimos tres meses.

El detalle de los TOTP es lo que más preocupa. Si alguien tiene tu contraseña Y tu secreto TOTP, el 2FA deja de protegerte. El atacante puede generar los códigos de autenticación él mismo.

Signos de alerta para detectar si tu WordPress está comprometido

Hay señales técnicas que encontrás revisando el servidor, y señales operacionales que llegan solas si el daño ya ocurrió. Para más detalles técnicos, mirá alternativas de seguridad para WooCommerce.

Señales técnicas para revisar ahora:

  • Cuentas admin sospechosas: revisá si aparecieron usuarios con nombres como «admin2» o «support» en Usuarios > Todos los usuarios. Cualquier cuenta que no reconocés es una red flag.
  • Archivos .php en wp-content/uploads: ese directorio solo debería tener imágenes y medios. Un PHP ahí es confirmación de problema.
  • Archivos adminer.php o filemanager.php: si los encontrás en cualquier directorio web, el malware ya se instaló.
  • Código ofuscado en plugins: buscá funciones como eval(), base64_decode() o gzinflate() en los archivos del plugin. No deberían estar en código legítimo.

Señales operacionales:

  • Avisos de Google Safe Browsing o alertas en Search Console sobre «sitio peligroso»
  • El hosting suspendió la cuenta por actividad sospechosa
  • Tráfico inusual de IPs desconocidas a wp-admin o a archivos PHP en uploads
  • Cambios en configuraciones de WordPress que nadie en tu equipo hizo

Pasos para limpiar tu WordPress si fue comprometido con este malware

¿Confirmaste que tu sitio fue comprometido? El orden importa.

  • Cambiá todas las contraseñas de inmediato: admin de WordPress, usuario de base de datos MySQL, FTP/SFTP y cPanel. Todas. Ahora.
  • Eliminá cuentas admin no reconocidas: cualquier cuenta que no creaste vos va a la papelera antes de seguir con los demás pasos.
  • Desactivá y eliminá los plugins comprometidos: primero sacalos, después actualizás. Esto corta el acceso activo.
  • Instalá las versiones parcheadas: Product Slider 3.5.4, Real Testimonials 3.2.6, Smart Post Show 4.0.2.
  • Corré un escáner de malware completo: Wordfence Full Scan o Sucuri SiteCheck detectan archivos maliciosos residuales que podrían haber quedado.
  • Revisá archivos PHP modificados después del 21 de mayo: en el servidor podés buscar con find /ruta/wordpress -name "*.php" -newer /tmp/fecha_ref -type f para encontrar archivos alterados.
  • Regenerá las salt keys del wp-config.php: las AUTH_KEY, SECURE_AUTH_KEY y demás deben regenerarse. WordPress.org tiene un generador oficial gratuito.
  • Generá nuevos secretos TOTP para todas las cuentas admin: los anteriores están quemados. Configurá el 2FA de nuevo desde cero en cada cuenta administrativa.

Si tu sitio tiene WooCommerce con datos de clientes reales, evaluá notificar a los usuarios afectados. Dependiendo de dónde estés radicado, puede haber obligaciones legales de notificación de brechas.

¿Por qué solo los plugins Pro fueron comprometidos y no las versiones free?

Las versiones gratuitas de ShapedPlugin se distribuyen a través del repositorio oficial de WordPress.org, que tiene un proceso de revisión de la comunidad, escáneres automáticos y acceso controlado. Para inyectar código malicioso ahí, tenés que comprometer la cuenta de WordPress.org del desarrollador Y pasar los controles automatizados.

Las versiones Pro se distribuyen por el servidor privado de ShapedPlugin. Ese servidor es infraestructura propia, con sus propios controles de acceso, su propia cadena de build, sus propios procesos de release. Si comprometés ese servidor, las actualizaciones maliciosas llegan a los usuarios de pago sin que WordPress.org tenga ninguna visibilidad.

El repositorio público es paradójicamente más robusto para este tipo de ataques porque está expuesto al escrutinio continuo de la comunidad. La infraestructura privada de un desarrollador independiente raramente tiene el mismo nivel de hardening. Ojo con esto cuando evalúes qué plugins premium instalar. Relacionado: plugins de seguridad especializados.

Cómo proteger tu WordPress de ataques de cadena de suministro en plugins

Este ataque confirma un patrón que se viene consolidando en 2026: el vector se trasladó de vulnerabilidades de código a vulnerabilidades de gobernanza e infraestructura. Ya no alcanza con verificar si el plugin tiene CVEs conocidos; ahora también tenés que pensar en quién mantiene el servidor de distribución.

  • Actualizá todos los plugins: quedarse en versiones viejas es más riesgoso que el riesgo de una actualización comprometida. Los parches resuelven vulnerabilidades conocidas.
  • Monitoreá cambios de propiedad en plugins: si un plugin que usás cambia de manos (venta en Flippa, por ejemplo), revisá la actividad de commits antes de actualizar.
  • Usá un scanner de malware activo: Wordfence o Sucuri con monitoreo en tiempo real pueden detectar archivos maliciosos antes de que el atacante los aproveche.
  • 2FA obligatorio en todas las cuentas admin: es el freno de mano si roban las contraseñas. Con secretos TOTP comprometidos, regenerá siempre los secretos.
  • Vigilá cambios de integridad de archivos: Wordfence File Integrity Monitoring notifica cuando un archivo del core o de los plugins se modifica fuera de una actualización reconocida.
  • Preferí plugins con historial de respuesta ante incidentes: un plugin sin actualizaciones en 12 meses probablemente no tenga proceso de respuesta ante brechas de seguridad.

Contexto: otros ataques de supply chain en plugins WordPress en 2026

El caso de ShapedPlugin no es un evento aislado. En abril de 2026, un actor malicioso compró 31 plugins en el marketplace Flippa, esperó 8 meses sin hacer nada (período «durmiente» para construir confianza), y luego inyectó malware en todos al mismo tiempo, afectando más de 400,000 instalaciones combinadas.

El patrón emergente es el mismo en ambos casos: comprometés la infraestructura del distribuidor, no el código en sí. Los usuarios reciben malware creyendo que están recibiendo mejoras.

Otro patrón que se consolida es el robo específico de secretos TOTP. Los atacantes apuntan a WP 2FA, Wordfence y Really Simple SSL porque saben que muchos administradores tienen 2FA activado. En vez de forzar el 2FA, lo roban de la base de datos durante la ejecución. ¿Alguien lo verificó de forma independiente antes del 11 de junio? No, ese es el problema con los supply chain attacks: llegás tarde. Cubrimos ese tema en detalle en gestión proactiva de parches de seguridad.

Si querés ir más a fondo, tenemos un artículo detallado sobre proteger códigos 2FA.

Qué está confirmado y qué no queda claro todavía

  • Confirmado: el breach ocurrió entre el 21 de mayo y el 11 de junio de 2026, según la detección de Wordfence y el comunicado de ShapedPlugin del 16 de junio.
  • Confirmado: CVE-2026-10735 con CVSS 9.8, afecta los tres plugins Pro mencionados.
  • Confirmado: los componentes maliciosos incluyen Tiny File Manager 2.6, Adminer 5.2.1, web shell y backdoor en REST API.
  • Confirmado: las versiones parcheadas 3.5.4, 3.2.6 y 4.0.2 están disponibles.
  • Sin confirmar: el número exacto de sitios que instalaron las versiones maliciosas. Los 400,000 son el alcance potencial máximo, no compromisos confirmados.
  • Sin confirmar: el vector específico del breach inicial en el build pipeline de ShapedPlugin, es decir, cómo entraron al servidor de distribución.
  • Sin confirmar: si los datos robados ya están siendo utilizados o comercializados en mercados clandestinos.

Preguntas Frecuentes

¿Qué es ShapedPlugin Pro y por qué fue comprometido?

ShapedPlugin es un desarrollador de plugins WordPress que distribuye versiones Pro a través de su propio servidor privado de actualizaciones. Fue comprometido porque un atacante vulneró su build pipeline (el proceso que empaqueta y distribuye actualizaciones), no por bugs en el código del plugin. El servidor privado tenía menos controles que el repositorio oficial de WordPress.org, lo que lo convirtió en el vector de entrada ideal.

¿Cuáles son los plugins afectados por el backdoor de junio 2026?

Los tres plugins comprometidos son Product Slider for WooCommerce Pro (versiones anteriores a 3.5.4), Real Testimonials Pro (versión ~3.2.4, parcheado en 3.2.6) y Smart Post Show Pro (versiones anteriores a 4.0.2). Las versiones gratuitas de estos mismos plugins en WordPress.org no fueron afectadas en ningún caso.

¿Cómo puedo saber si mi WordPress fue infectado por este malware?

Revisá si hay cuentas admin que no creaste (nombres como «admin2» o «support»), archivos .php en wp-content/uploads, o archivos llamados adminer.php o filemanager.php en cualquier directorio del sitio. Wordfence Full Scan o Sucuri SiteCheck detectan los componentes maliciosos automáticamente. Si instalaste cualquiera de los tres plugins Pro antes del 16 de junio de 2026, asumí compromiso hasta probar lo contrario.

¿Qué datos pueden robar estos plugins WordPress comprometidos con backdoor?

El malware extrae credenciales de administrador, session cookies, detalles del navegador y de la IP, secretos TOTP de plugins de 2FA (WP 2FA, Wordfence, Really Simple SSL), las salt keys del wp-config.php y datos de órdenes de WooCommerce de los últimos tres meses. El robo de secretos TOTP es el punto más crítico: inutiliza el 2FA existente porque el atacante puede generar los códigos de verificación sin acceso al dispositivo del administrador.

¿Cómo limpiar un WordPress comprometido con el malware de ShapedPlugin?

El proceso básico: cambiar todas las contraseñas (WordPress, base de datos, FTP), eliminar cuentas admin no reconocidas, desactivar y borrar los plugins comprometidos, instalar las versiones parcheadas, correr Wordfence Full Scan o Sucuri, y regenerar las salt keys del wp-config.php. Finalmente, configurar el 2FA de nuevo desde cero en todas las cuentas admin, ya que los secretos TOTP anteriores están potencialmente robados.

Conclusión

El ataque a ShapedPlugin Pro cambia el marco de evaluación de riesgo para cualquier administrador de WordPress. Hasta ahora, la pregunta era «¿este plugin tiene vulnerabilidades conocidas?». A partir de este incidente, la pregunta tiene que incluir también «¿la infraestructura de distribución del desarrollador es segura?».

Las versiones parcheadas ya están disponibles. Si tenés cualquiera de los tres plugins afectados, actualizás ahora. Si ya actualizaste pero antes del 16 de junio, auditás el servidor, cambiás contraseñas, eliminás cuentas sospechosas y regenerás los secretos TOTP. Si tenés WooCommerce con datos de clientes reales, considerá notificar a los afectados.

El patrón de supply chain attacks en WordPress escala en 2026. La buena noticia es que la respuesta existe: backups verificados, monitoreo de integridad de archivos, 2FA en todos los admins, y una política de evaluación de proveedores que incluya cómo manejan su infraestructura de distribución. Si tu WordPress está en un hosting con snapshots automáticos como donweb.com, un incidente como este es recuperable en horas. Si no tenés backups recientes, el daño es considerablemente mayor.

Fuentes

Categorizado en:

VulnerabilidadesMalware

Etiquetado en:

, , , ,