COMUNICADO EMERGENTE
Durante mayo de 2026 se ha observado un incremento significativo de campañas maliciosas dirigidas contra infraestructuras WordPress expuestas a Internet. Diversas fuentes de inteligencia y monitoreo de amenazas, incluyendo alertas difundidas por VECERT Radar, han confirmado actividad orientada a la explotación de plugins vulnerables, abuso de servicios expuestos y compromiso de sitios web mediante ataques automatizados.
Principales vectores de ataque
- Fuerza bruta contra /wp-login.php
- Abuso de xmlrpc.php para autenticación distribuida y ataques password spraying
- Explotación de plugins vulnerables o abandonados
- Instalación de webshells y puertas traseras
- Creación de cuentas administrativas ocultas
- Redirecciones maliciosas y distribución de malware
Riesgos asociados
- Compromiso total del sitio web
- Robo de credenciales y bases de datos
- Distribución de malware a visitantes
- Inclusión en listas negras
- Uso de la infraestructura para phishing o campañas maliciosas
- Pivoting hacia infraestructura interna
Análisis Turing Team
El equipo de Turing ha identificado actividad sospechosa recurrente proveniente de múltiples direcciones IPs asociadas a intentos de autenticación, escaneo y explotación sobre sitios WordPress de clientes. Entre las IPs observadas recientemente destacan:
- 192.109.200.19
- 49.207.219.79
- 223.233.83.89
- 152.42.253.137
La actividad detectada incluye intentos masivos de acceso contra /wp-login.php, enumeración de usuarios, consultas y abuso de /xmlrpc.php, escaneo automatizado de plugins vulnerables y comportamientos compatibles con botnets y explotación automatizada. Estas IPs y otras, como indicadores de compromiso (IOC), forman parte del Feed OTI del equipo Turing, una fuente propia de inteligencia de amenazas construida mediante la correlación de eventos reales, la validación en múltiples fuentes OSINT/CTI y el monitoreo continuo de la actividad maliciosa observada en la infraestructura de clientes.
Conclusiones
WordPress continúa siendo uno de los principales objetivos de campañas automatizadas y actores maliciosos debido a su alta exposición en Internet y la dependencia de componentes de terceros. La explotación de plugins vulnerables, el abuso de xmlrpc.php y los ataques de fuerza bruta continúan siendo utilizados como vectores de acceso inicial en compromisos reales. Se recomienda tratar esta amenaza como activa y prioritaria, aplicando controles preventivos, monitoreo continuo, hardening y bloqueo proactivo de indicadores de compromiso para reducir la superficie de exposición y minimizar el riesgo de compromiso de sitios web corporativos.
Recomendaciones
- Actualizar WordPress core, plugins y themes
- Eliminar plugins sin soporte o innecesarios
- Restringir acceso a /wp-admin
- Deshabilitar xmlrpc.php si no es requerido
- Implementar MFA para cuentas administrativas
- Aplicar reglas WAF específicas para WordPress
- Bloquear IPs maliciosas identificadas en el Feed OTI
- Monitorear accesos fallidos y actividad anómala
- Verificar usuarios administrativos no autorizados
- Revisar archivos PHP sospechosos en wp-content y uploads
- Integrar eventos del sitio web hacia SIEM/SOC
- Ejecutar análisis de vulnerabilidades y hardening periódico
Los clientes con servicios gestionados pueden solicitar al equipo Turing la configuración e integración del Feed OTI para fortalecer controles preventivos y mejorar las capacidades de detección temprana frente a amenazas activas observadas en entornos reales.
Deja una respuesta