Encuentran tres complementos de WordPress ocultando una puerta trasera

tos para WordPress

WordPress, como sabemos, es un sistema de gestión de contenidos muy popular. Muchos usuarios lo eligen y es por ello por lo que surgen muchos plugins. Son extensiones que mejoran la experiencia de uso y nos ofrece otras variables. Sin embargo no siempre es tan positivo, como podemos ver. Han encontrado tres complementos de WordPress que ocultaban una puerta trasera. Lamentablemente, se une a la lista de otros similares de los que ya hemos hablado.

Complementos de WordPress ocultan puerta trasera

El tamaño masivo del ecosistema de complementos de WordPress está empezando a mostrar signos de deterioro. Se ha informado de otro incidente que involucra la venta de plugins abandonados a nuevos autores que de inmediato agregan una puerta trasera al código original.

De esta manera, estos plugins legítimos se convierten en un arma para los ciberdelincuentes. Atacan a los usuarios y se aprovechan de las vulnerabilidades.

El equipo de seguridad de WordPress ha intervenido y eliminado todos los complementos del Directorio oficial de complementos de WordPress. La firma de seguridad WordPress Wordfence descubrió las tres puertas traseras.

Los tres complementos de WordPress que han sido encontrados en las últimas fechas con puertas traseras son: Duplicate Page and Post, No Follow All External Links y WP No External Links.

Tres elementos

Si analizamos el primero, Duplicate Page and Post, contaba con más de 50.000 instalaciones activas. Su versión 2.1.0 fue lanzada en agosto de 2017. Si entramos en la web oficial de WordPress e intentamos descargarlo, nos dice que ya no está disponible y que ha sido cerrado. Se conecta con el servidor remoto cloud-wp.org.

Lo mismo ocurre con No Follow All External Links. En esta ocasión fue lanzado antes, en abril del mismo año, su versión 2.1.0. Tuvo más de 9.000 instalaciones y estuvo presente durante más tiempo en los usuarios. Utiliza el servidor remoto cloud.wpserve.org.

WP No External Links, por su parte, tuvo más de 30.000 instalaciones activas. Su versión 4.2.1 fue lanzada en julio de 2017. wpconnect.org es el servidor remoto al que estaba enlazado.

El código de puerta trasera en los tres complementos funciona de una manera muy similar llamando a un servidor remoto e insertando contenido y enlaces en los sitios afectados. Los expertos creen que el código de puerta trasera se usa para inyectar spam SEO oculto (enlaces encubiertos) en los sitios afectados que ayudan a mejorar el ranking en los motores de búsqueda de otros sitios.

Los expertos en Wordfence creen que el mismo actor está detrás de los tres complementos. Basaron su conclusión en una serie de descubrimientos que hicieron mientras analizaban los complementos maliciosos y cómo operaban:

El código de la puerta trasera en el primer y tercer complemento llama a dos dominios diferentes alojados en la misma dirección IP.

La misma compañía (Orb Online) pagó por la adquisición del primer y segundo complemento.
La solicitud de compra enviada por correo electrónico a los propietarios del segundo y tercer complemento usa una plantilla similar.
Todos los complementos fueron comprados por usuarios recién creados de WordPress.org.
El código de puerta trasera era similar en los tres complementos.

Casos similares

Esta no es la primera vez que Wordfence ha descubierto una operación masiva para comprar plugins de WordPress antiguos y agregar una puerta trasera para inyectar spam de SEO en sitios web que usaban los complementos afectados.

La firma de seguridad de WhitePress White Fir Design recientemente señaló que estos complementos a menudo permanecen en sitios infectados durante años. Por ejemplo, tres años después, todavía hay cientos de sitios de WordPress (probablemente abandonados) que ejecutan uno de los 14 complementos que también presentan una puerta trasera de inyección de spam SEO similar.

Fuente > Bleeping Computer

to en Fuente: