Informe técnico
Reporte de Incidente
de Seguridad Web
Fecha: 16 de abril de 2026
Resumen Ejecutivo
Tipo de ataque
WordPress Gambling SEO Spam Hack
Fecha de detección
29 de marzo de 2026
Estado actual
Resuelto — 16 abr 2026
El sitio web smelectricalgroup.com fue víctima de un ataque de tipo WordPress Gambling SEO Spam, una de las modalidades de hackeo más frecuentes a nivel mundial en sitios WordPress. El atacante explotó una vulnerabilidad introducida por la instalación de un plugin de terceros no oficial (nulled), obtuvo acceso a las credenciales del administrador y procedió a crear contenido fraudulento de apuestas en línea con fines de posicionamiento en buscadores.
Adicionalmente, se confirmó la eliminación de dos años de archivos de imágenes del servidor (carpetas 2024 y 2025), causando la pérdida de recursos visuales asociados a los productos del catálogo.
Vector de Ataque Identificado
Plugin nulled: Premmerce Permalink Manager for WooCommerce
Se identificó que el sitio tenía instalada una versión no reforzada (vulnerable) del plugin Premmerce Permalink Manager for WooCommerce, obtenida del sitio gpltimes.com. Este plugin tenía una licencia beta y su sistema de actualizaciones fue redirigido al servidor externo dl.gpltimes.com, lo que permitía la descarga e instalación de código no verificado en cualquier momento. Este es el punto de entrada confirmado del ataque.
Los plugins y temas "nulled" o beta son versiones modificadas de software comercial distribuidas de forma gratuita. Además de que los autores no se responsabilizan, ya que no es una version de paga, frecuentemente contienen código experimental o temporales, oculto o canales de actualización controlados por terceros no confiables, como fue el caso en este incidente.
Línea de Tiempo del Incidente
Antes del 29 de marzo 2026
Instalación del plugin malicioso
Premmerce Permalink Manager for WooCommerce instalado en el sitio con canal de actualización redirigido a servidor externo no confiable. El atacante obtiene capacidad de ejecución de código en el servidor.
29 de marzo de 2026
Creación de contenido fraudulento de apuestas
El atacante, usando las credenciales del usuario administrador "Handry" (ID 5), creó dos posts de apuestas en línea: "¡Disfruta de la emoción de los juegos de casino..." y "Descubre por qué el juego responsable es fundamental..." con el objetivo de posicionarse en Google bajo el dominio legítimo del cliente.
Marzo — Abril 2026
Eliminación de archivos de imágenes
Las carpetas de uploads correspondientes a los años 2024 y 2025 fueron eliminadas del servidor, causando la pérdida de las imágenes de productos asociadas a esos periodos.
16 de abril de 2026
Detección, análisis y neutralización
Se realizó análisis forense completo del servidor, se identificó el vector de entrada, se eliminó el plugin malicioso, se purgaron los posts fraudulentos de la base de datos, se renovaron credenciales y se regeneraron las claves de seguridad de WordPress.
Acciones de Respuesta Realizadas
| Acción | Detalle | Estado |
|---|---|---|
| Eliminación de plugin malicioso | Premmerce Permalink Manager for WooCommerce eliminado del servidor vía cPanel | Resuelto |
| Eliminación de contenido fraudulento | Posts de apuestas ID 7733 y 7735 borrados permanentemente de la base de datos | Resuelto |
| Cambio de contraseñas | Contraseñas de WordPress admin y cPanel renovadas | Resuelto |
| Regeneración de Secret Keys | Todas las claves de autenticación de wp-config.php regeneradas — sesiones cerradas | Resuelto |
| Solicitud de remoción en Google | URLs de posts fraudulentos reportadas en Google Search Console | Resuelto |
| Verificación de backdoors PHP | Búsqueda exhaustiva en uploads/, plugins/, themes/ — ningún backdoor encontrado | Resuelto |
| Verificación de usuarios admin | Revisión de wp_users — no se encontraron cuentas admin no autorizadas | Resuelto |
| Recuperación de imágenes 2024–2025 | JetBackup disponible — pendiente de restauración selectiva de carpetas | Pendiente |
Recomendaciones de Seguridad
Adquirir licencias originales de plugins premium
El uso de plugins nulled fue la causa raíz de este incidente. Se recomienda adquirir Premmerce Permalink Manager for WooCommerce - premium en sliderrevolution.com (~$89 USD/año) o un plugin con codigo personalizado para WordPress. Las versiones beta nunca garantizan seguridad, ya que son un servicio gratuito.
Instalar plugin de seguridad activo
Instalar Wordfence Security (versión gratuita) para monitoreo continuo, firewall de aplicación web y escaneo de malware automático. Configurar alertas por email ante cualquier actividad sospechosa.
Implementar autenticación de dos factores (2FA)
Activar 2FA para todos los usuarios administradores de WordPress. Esto previene accesos no autorizados incluso si las credenciales son comprometidas. Wordfence y WP 2FA son opciones gratuitas.
Recuperar imágenes perdidas via JetBackup
El hosting cuenta con JetBackup 5 con 14 backups disponibles. Se recomienda solicitar restauración selectiva de las carpetas wp-content/uploads/2024 y wp-content/uploads/2025 desde un snapshot anterior al ataque.
Mantener WordPress y plugins actualizados
Activar actualizaciones automáticas para WordPress core y revisar mensualmente el estado de todos los plugins. Los plugins desactualizados son el segundo vector de ataque más común.
Implementar backups propios periódicos
Configurar backups automáticos semanales con UpdraftPlus hacia Google Drive o Dropbox, independientemente de los backups del hosting. Mantener al menos 4 semanas de historial.