COMUNICADO EMERGENTE
Durante mayo de 2026 se ha observado un incremento significativo de campañas maliciosas dirigidas contra infraestructuras WordPress expuestas a Internet. Diversas fuentes de inteligencia y monitoreo de amenazas, incluyendo alertas difundidas por VECERT Radar, han confirmado actividad orientada a la explotación de plugins vulnerables, abuso de servicios expuestos y compromiso de sitios web mediante ataques automatizados.
Las campañas actuales están enfocadas principalmente en:
- Fuerza bruta contra /wp-login.php.
- Abuso de xmlrpc.php para autenticación distribuida y ataques password spraying.
- Explotación de plugins vulnerables o abandonados.
- Instalación de webshells y puertas traseras.
- Creación de cuentas administrativas ocultas.
- Redirecciones maliciosas y distribución de malware.
Riesgos asociados
- Plugins desactualizados.
- Múltiples componentes de terceros.
- Configuraciones inseguras.
- Falta de MFA.
- Exposición directa de paneles administrativos.
- Ausencia de monitoreo continuo.
- Compromiso total del sitio web.
- Robo de credenciales y bases de datos.
- Distribución de malware a visitantes.
- Inclusión en listas negras.
- Uso de la infraestructura para phishing o campañas maliciosas.
- Pivoting hacia infraestructura interna.
Análisis Turing Team
Como parte de las revisiones y monitoreo realizados por el equipo de Turing, se ha identificado actividad sospechosa recurrente proveniente de múltiples direcciones IPs asociadas a intentos de autenticación, escaneo y explotación sobre sitios WordPress de clientes. Entre las IPs observadas recientemente destacan:
- 192.109.200.19
- 49.207.219.79
- 223.233.83.89
- 152.42.253.137
La actividad detectada incluye:
- Intentos masivos de acceso contra /wp-login.php.
- Enumeración de usuarios.
- Consultas y abuso de /xmlrpc.php.
- Escaneo automatizado de plugins vulnerables.
- Comportamientos compatibles con botnets y explotación automatizada.
Estas IPs y otras, como indicadores de compromiso (IOC), forman parte del Feed OTI del equipo Turing, una fuente propia de inteligencia de amenazas construida mediante la correlación de eventos reales, la validación en múltiples fuentes OSINT/CTI y el monitoreo continuo de la actividad maliciosa observada en la infraestructura de clientes.
Conclusiones
El comportamiento observado durante las últimas semanas confirma que WordPress continúa siendo uno de los principales objetivos de campañas automatizadas y actores maliciosos debido a su alta exposición en Internet y la dependencia de componentes de terceros. La explotación de plugins vulnerables, el abuso de xmlrpc.php y los ataques de fuerza bruta continúan siendo utilizados como vectores de acceso inicial en compromisos reales.
Considerando el incremento de actividad detectada, tanto en fuentes públicas de inteligencia como en el monitoreo realizado por el equipo Turing, recomiendamos tratar esta amenaza como activa y prioritaria. La aplicación inmediata de controles preventivos, monitoreo continuo, hardening y bloqueo proactivo de indicadores de compromiso resulta fundamental para reducir la superficie de exposición y minimizar el riesgo de compromiso de sitios web corporativos.
A todas las organizaciones con portales WordPress publicados en Internet recomendamos ejecutar de manera inmediata las siguientes acciones:
- Actualizar WordPress core, plugins y themes.
- Eliminar plugins sin soporte o innecesarios.
- Restringir acceso a /wp-admin.
- Deshabilitar xmlrpc.php si no es requerido.
- Implementar MFA para cuentas administrativas.
- Aplicar reglas WAF específicas para WordPress.
- Bloquear IPs maliciosas identificadas en el Feed OTI.
- Monitorear accesos fallidos y actividad anómala.
- Verificar usuarios administrativos no autorizados.
- Revisar archivos PHP sospechosos en wp-content y uploads.
- Integrar eventos del sitio web hacia SIEM/SOC.
- Ejecutar análisis de vulnerabilidades y hardening periódico.
Los clientes con servicios gestionados pueden solicitar al equipo Turing la configuración e integración del Feed OTI para fortalecer controles preventivos y mejorar las capacidades de detección temprana frente a amenazas activas observadas en entornos reales.
Deja una respuesta