Basado en información de The Hacker News →
Introducción
Un nuevo ataque a la cadena de suministro golpeó a los plugins Pro de ShapedPlugin, demostrando que los canales oficiales de actualización ya no son una garantía de confianza. Cuando el propio proceso de distribución se vuelve el vector, la seguridad de WordPress entra en una dimensión más compleja.
El problema
Según reportó The Hacker News, múltiples plugins de la casa ShapedPlugin —distribuidos como versiones Pro a través de canales oficiales licenciados— fueron comprometidos en un ataque a la cadena de suministro. Wordfence detectó que atacantes no identificados lograron manipular el pipeline de compilación y distribución del proveedor, inyectando código malicioso (backdoor) en las versiones que los clientes legítimos recibían como actualización. El incidente comprometió la confianza en el propio mecanismo de entrega, no en una vulnerabilidad del plugin en sí.
Consecuencias
Las consecuencias van más allá de un sitio infectado. Cualquier sitio que ejecute una versión Pro de ShapedPlugin afectada aloja ahora una puerta trasera que los atacantes pueden activar. Esto expone datos de clientes, credenciales de administración, información de pedidos y, potencialmente, la base de datos completa. Además, la naturaleza del ataque —en la cadena de suministro— implica que los afectados no violaron ninguna buena práctica: simplemente actualizaron por el canal oficial.