El 6 de abril de 2026, durante seis horas y cuarenta y cuatro minutos, miles de páginas web servían spam SEO oculto a Google sin que sus dueños se enteraran. La razón: un atacante había comprado más de 30 plugins de WordPress en el marketplace Flippa por una suma de seis cifras a principios de 2025, había plantado una puerta trasera ocho meses antes en una actualización aparentemente inocua, y había esperado pacientemente a activarla. El caso, reportado por Alina Maria Stan en TheNextWeb el 15 de abril, es uno de los ataques de cadena de suministro más metódicos que ha sufrido jamás la plataforma que mueve el 43% de Internet, y deja al descubierto un agujero estructural que WordPress.org no tiene mecanismo para tapar: cuando un plugin cambia de propietario, no se vuelve a auditar el código, no se notifica a los administradores, y el nuevo dueño hereda toda la confianza acumulada por el desarrollador anterior. Continúa leyendo «Alguien compró 30 plugins de WordPress en Flippa, plantó una puerta trasera y la activó ocho meses después: el ataque que demuestra que el modelo de gobernanza de WordPress está roto»
