Encontrada una puerta trasera en un plugin de Wordpress

Plugin de Wordpress con entrada trasera

Un plugin de Wordpress con más de 200.000 instalaciones tenía una puerta trasera para acceder la página web y publicar sin consentimiento del propietario del sitio.

El plugin permitía a los propietarios de páginas web desarrolladas en Wordpress controlar qué, cuándo y cómo se mostraban los Widgets de Wordpress en sus páginas web.

El plugin fue desarrollado por una programadora, Stephanie Wells, que posteriormente decidió vender el código fuente para centrarse en una versión premium del mismo. El nuevo propietario modificó el código y publicó una nueva versión en el repositorio de plugins de wordpress.org aprovechándose de la buena reputación del plugin que había creado Stephanie.

Lo inquietante es que esta es la cuarta vez que ese plugin se elimina del wordpress.org.

El nuevo programador introdujo una primera versión (la 2.6.0) que recopilaba información de los usuarios que visitaban la página web infectada (IP, navegador, página, información del dispositivo...). Fue otro desarrollador, David Law, quien advirtió al equipo de wordpress.org del comportamiento malicioso del plugin. Éstos eliminaron el mismo del repositorio al comprobar que era como Law describía.

Una semana más tarde, el nuevo programador modificó el plugin (ahora era la versión 2.6.1) y consiguió volver a publicarlo en wordpress.org para ponerlo a disposición de nuevas víctimas. Ahora el plugin, además de robar información de los usuarios, permitía acceder al sitio web infectado y crear nuevas páginas o post en nombre de la víctima. David Law volvió a descubrirlo y advirtió, de nuevo, a Wordpress para que lo eliminase.

Cinco días después, el nuevo propietario del plugin volvió a crear una nueva versión y a subirlo a Wordpress. Sería la versión 2.6.2 y estaba otra vez disponible para todos los usuarios de páginas web con Wordpress. La nueva versión, hacía lo mismo que la anterior pero ocultaba las páginas para que el administrador no las viese y pasase desapercibido. Por supuesto también recopilaba la información de los usuarios de las páginas web infectadas. Cuando Wordpress fue alertado, volvió a eliminar el plugin de su página web.

Sin embargo, el nuevo propietario del plugin no se dio por vencido y varios días después volvió a subirlo a wordpress.org (versión 2.6.3)  con las mismas tácticas. Después de varias quejas de usuarios infectados, el equipo de Wordpress lo eliminó - parece que ahora sí - para siempre.

Ya no se puede volver a descargar desde wordpress.org, pero hay más de 200.000 páginas web en Wordpress que ya lo tienen.

En Nétical no utilizamos Wordpress en nuestras páginas web, así no tendrá que preocuparse de si hay o no un plugin con código malicioso en su sitio robándole información o recursos. Póngase en contacto con nosotros y le asesoraremos sobre la mejor forma de mantener su sitio seguro.


volver


942 68 17 30 netical39 info@netical39.com C/ Luis Martínez, 21
39005 Santander, Cantabria (España)

Contacto

Póngase en contacto con nosotros rellenando el siguiente formulario.

* Campo obligatorio Formato "nombre@dominio.com" Formato "942681730"
¡Gracias!
El mensaje se ha enviado correctamente.
Atenderemos su consulta en el menor tiempo posible.

Cerrar
No se ha podido enviar el formulario.
Pruebe de nuevo más tarde.
Disculpe las molestias.

Cerrar