Investigadores alertan sobre una campaña maliciosa dirigida a sitios de WordPress para realizar inyecciones de JavaScript.

“Los visitantes del sitio reciben contenido inyectado que es malware oculto, como una verificación falsa de Cloudfare”, declaro Puja Srivastava, investigadora de Sucuri.

El código insertado incorpora referencias a Google Ads, probablemente con el objetivo de evadir la detección. Pero en realidad funciona como un cargador remoto al enviar una solicitud HTTP POST al dominio “brazilc[.]com”, que a su vez responde con una carga útil dinámica que incluye 2 componentes:

- Un archivo JavaScript alojado en un servidor remoto que al momento de escribir este artículo(08.10.2025) ha sido referenciado en 17 sitios web y contiene código para realizar redirecciones de sitios.

- Un fragmento de código JavaScript que crea un iframe oculto de 1x1 pixeles, dentro del cual inyecta código que imita recursos legítimos de Cloudfare como “cdn-cgi/challenge-platform/scripts/jsd/main.js”, una API esencial de su plataforma de detección y desafío de bots.

Los hallazgos ilustran la necesidad de proteger los sitios de WordPress y garantizar que los plugins, temas y software del sitio web se mantengan actualizados, implementando contraseñas seguras, analizando los sitios en busca de anomalías y creando cuentas de administrador inesperadas para mantener el acceso persistente incluso después de detectar y eliminar el malware.