Si tu empresa tiene un sitio web en WordPress con plugins de pago de ShapedPlugin, como Product Slider Pro, Real Testimonials Pro o Smart Post Show Pro, y los actualizaste entre abril y junio de 2026, existe una probabilidad real de que tu sitio esté comprometido en este momento.
Investigadores de Wordfence confirmaron que atacantes lograron infiltrarse en la infraestructura de compilación de ShapedPlugin y modificaron las versiones premium de tres plugins populares antes de que llegaran a los clientes. Las actualizaciones infectadas se distribuyeron a través de los canales oficiales del fabricante. Es decir: el dueño del sitio hizo exactamente lo correcto, actualizar sus plugins, y eso fue lo que le abrió la puerta al atacante.
Cómo funciona el ataque
Es un ataque a la cadena de suministro, la misma técnica que grupos como TeamPCP ya utilizaron este año para distribuir ransomware. En lugar de atacar tu sitio directamente, los atacantes comprometen al fabricante del software que usas. Cuando tú instalas la "actualización oficial", en realidad estás instalando el malware del atacante. Es como si alguien envenenara el agua en la planta de tratamiento: cada hogar que abre la llave recibe el problema sin saberlo.
En este caso, el malware oculto en las actualizaciones se activaba cuando un administrador entraba al panel de WordPress. Sin que el usuario lo notara, el código malicioso contactaba un servidor externo, descargaba herramientas adicionales y las instalaba como un plugin falso disfrazado de componente de WooCommerce. El incidente está registrado como CVE-2026-10735 con una severidad crítica de 9.8 sobre 10.
¿Qué robaban?
Todo: contraseñas de administrador, cookies de sesión, credenciales de base de datos, configuración SMTP del correo y lo más grave, los secretos de autenticación de dos factores (2FA). Esto significa que aunque cambies tu contraseña, si no regeneras los códigos de verificación, el atacante puede seguir entrando. Si tu sitio usa WooCommerce, también se extrajeron datos de pedidos recientes de tus clientes.
Qué hacer ahora:
Si usas cualquier plugin premium de ShapedPlugin, asume que tu sitio necesita revisión inmediata. Actualiza a las versiones limpias confirmadas: Product Slider Pro 3.5.4, Real Testimonials Pro 3.2.6 y Smart Post Show Pro 4.0.2. Revisa que no existan plugins desconocidos con nombres como "woocommerce-subscription" o "woocommerce-notification", son los disfraces que usa el malware. Cambia todas las contraseñas de WordPress, regenera los secretos de 2FA de cada usuario, rota las credenciales de base de datos y revisa las cuentas de administrador en busca de usuarios que no reconozcas.
Si no tienes equipo técnico interno para hacer esta verificación, es momento de apoyarte en quien sí pueda hacerlo.
¿Quieres saber si tu sitio web está expuesto? Agenda un diagnóstico gratuito de 30 minutos en codigovigia.com/contactanos sin compromisos, sin tecnicismos.