Alerta: Falsa actualización del plugin Smart Slider 3 Pro instala puerta trasera en WordPress y Joomla

Usuarios de WordPress y Joomla, ¡cuidado! Se ha descubierto que una actualización maliciosa del popular plugin Smart Slider 3 Pro contenía una puerta trasera (backdoor), permitiendo a atacantes tomar control de los sitios web afectados. La empresa de seguridad Patchstack fue quien detectó este problema.

Cómo funciona el ataque

Un atacante no autorizado logró acceder a los servidores de Nextend, la empresa que mantiene el plugin, y distribuyó una versión modificada (3.5.1.35 Pro) a través del canal de actualización oficial. Esta versión contenía un backdoor, un tipo de malware (software malicioso) que permite el acceso remoto al sistema. Este acceso se mantuvo disponible durante aproximadamente seis horas antes de ser detectado y retirado.

• El malware podía crear cuentas de administrador ocultas, imposibles de detectar para los administradores legítimos.
• También permitía ejecutar comandos del sistema de forma remota a través de cabeceras HTTP y código PHP arbitrario mediante parámetros ocultos en las solicitudes.
• Además, extraía información sensible del sitio web, incluyendo contraseñas y datos de la base de datos, enviándola a un servidor de control (C2) en la dirección "wpjs1[.]com".
• Para asegurar su permanencia en el sistema, el malware se instalaba en múltiples ubicaciones, como un plugin falso de caché y el archivo "functions.php" del tema activo.

A quién afecta

Este incidente afectó a los usuarios de Smart Slider 3 Pro que actualizaron a la versión 3.5.1.35 entre el 7 de abril de 2026 y las seis horas siguientes. La versión gratuita del plugin no se vio afectada. Se estima que Smart Slider 3 tiene más de 800,000 instalaciones activas entre sus versiones gratuita y Pro.

Qué hacer si crees que fuiste afectado

Si instalaste la versión 3.5.1.35 de Smart Slider 3 Pro, es crucial que tomes medidas de inmediato. Nextend ya ha eliminado la versión maliciosa y lanzado una actualización (3.5.1.36) para solucionar el problema. Además de actualizar, Nextend y Patchstack recomiendan realizar una limpieza exhaustiva:

• Verifica si hay cuentas de administrador sospechosas y elimínalas.
• Elimina la versión 3.5.1.35 de Smart Slider 3 Pro si está instalada y reinstala una versión limpia.
• Elimina todos los archivos que permitan que el backdoor persista en el sitio.
• Elimina las opciones maliciosas de WordPress de la tabla "wp_options": _wpc_ak, _wpc_uid, _wpc_uinfo, _perf_toolkit_source, y wp_page_for_privacy_policy_cache.
• Limpia el archivo "wp-config.php", eliminando "define('WP_CACHE_SALT', '<token>');" si existe.
• Elimina la línea "# WPCacheSalt <token>" del archivo ".htaccess" en la carpeta raíz de WordPress.
• Restablece las contraseñas del administrador y del usuario de la base de datos de WordPress.
• Cambia las credenciales de FTP/SSH y de la cuenta de hosting.
• Revisa el sitio web y los registros en busca de cambios no autorizados y solicitudes POST inusuales.
• Habilita la autenticación de dos factores (2FA) para los administradores y deshabilita la ejecución de PHP en la carpeta de subidas.

Qué significa esto para ti

Este incidente destaca la importancia de la seguridad de la cadena de suministro. Incluso si tomas todas las precauciones en tu propio sitio web, un plugin comprometido puede abrir la puerta a los atacantes. Mantén tus plugins actualizados, verifica la integridad de las actualizaciones y considera utilizar herramientas de seguridad que monitoreen la actividad sospechosa en tu sitio.