En las últimas semanas se han detectado varios plugins de WordPress que ponen en peligro nuestras instalaciones de la manera más vil, dejando al descubierto una “backdoor” o puerta trasera, que se encarga de facilitar el acceso a nuestro WordPress y, en ocasiones, también a nuestro servidor.
Plugins retirados del repositorio
Duplicate Page and Post
Este plugin, que contaba con más de 50.000 instalaciones activas y que su autor original vendió en verano de 2017, fue retirado del repositorio de WordPress el 14 de diciembre de 2017 tras descubrirse que en la versión 2.1.0 se había incluido un malware (que se mejoró en versiones posteriores) y que dejaba acceso a las instalaciones de los usuarios para manejarlas a su antojo.
En el caso de este plugin se ha comprobado que se utilizó para inyectar backlinks en multitud de sitios web.
No Follow All External Links
Este otro plugin, solo contaba con 9.000 instalaciones activas cuando WordPress lo ha retirado de su repositorio el día 19 de diciembre de 2017, al encontrar también malware que abría una puerta trasera que permitía insertar enlaces a otras páginas desde su versión 2.1.0 y después de ser vendido en abril de 2017 por su desarrollador a la empresa Orb Online, una empresa de marketing digital especializada en SEO.
WP No External Links
Este es quizás el plugin más popular de los retirados en diciembre del repositorio de WordPress y está estrechamente relacionado con los anteriores, dado que el comprador que firma los emails coincide en los plugins Duplicate Page and Post y WP No External Links . Y la empresa que paga la transacción coincide en la compra de los plugins No Follow All External Links y WP No External Links.
Este plugin fue comprado el 12 de Julio de 2017 y fue a partir de la versión 4.2.1 cuando se detectó, al igual que en los plugins anteriores, un malware que abría una puerta trasera, que utilizaban para inyectar enlaces para mejorar el SEO de sus clientes…
Captcha
Aunque si duda, los usuarios que más se han visto afectados fueron los usuarios del plugin “Captcha”, que se calcula que fueron unos 300.000. No confundir con Google Captcha (reCAPTCHA), que es un plugin distinto.
Ya sabéis que cuando WordPress elimina un plugin de su repositorio, sigue sin dar ningún tipo de información ni de motivos por lo que esto se ha realizado, cosa que ocurrió a mediados de diciembre de 2017.
En autor alegaba este hecho a problemas de marca (incumplimento de normativa de fundación WordPress), pero lo cierto es que al indagar más en el tema, Matt Barry, autor del blog de Wordfece, se descubrió de que el plugin contenía un fichero que, nada más instalar el plugin, descargaba una actualización que modificaba parte de los ficheros e instalaba un archivo llamado “plugin-update.php” que era una puerta trasera, eliminando después todo el rastro, como si nunca hubiera existido.
Tras varias averiguaciones con un whois inverso, DNS, etc. empezaron a tirar del hilo hasta llegar a descubrir quién había detrás de este plugin… que no es otro que nuestro ya conocido Mason Souza del que ya te hablé en el episodio 41 de este podcast por el escándalo de Display Plugins.
Gracias a esta minuciosa investigación, se han descubierto otros plugis, también relacionados con Mason Souza, que presentan el mismo malware inyectado y la misma puerta trasera:
- Covert me Popup
- Death To Comments
- Human Captcha
- Smart Recaptcha
- Social Exchange
Algunos están directamente relacionados con Mason Souza (que recordemos que utiliza las puertas traseras para inyectar SPAM de una empresa de préstamos para la que colabora) y otros con Serpable Ltd, una empresa que se dedicaba al SEO y a la venta de backlinks.
Desde el Blog de Wordfence recomiendan encarecidamente desinstalar y eliminar el plugin Captcha de todas las instalaciones de WordPress para evitar ser infectado por este malware y dejar al descubierto una puerta trasera.
El Plugin recomendado de la semana
Esta semana te recomiendo el plugin Widget Shortcode con el que podrás insertar widgets en cualquier parte de tu blog (incluso dentro de otro widget).
Primero debes crear un widget nuevo en una zona ficticia que se habilita y una vez guardado el widget, se generará un shortcode, que deberás copiar y pegar en el lugar que quieras que aparezca el contenido.
La Agenda de la semana
- jueves, 28 de diciembre 19:30 Sevilla. De localhost a tudominio.com. IP, DNS, URL sin volverte loco
- sábado, 13 de enero Zaragoza. WordCamp Zaragoza 2018 . Te lo cuenta Dani Serrano en su podcast
- miércoles, 17 de enero 19:00 Granada. Obligaciones Legales en un sitio Web
- jueves, 18 de enero 19:00 Madrid. Desarrollando un Tema con Genesis
- jueves, 18 de enero 20:00 Oviedo. 3,2,1… Despegamosssss!!!! Primera WordPress Meetup Oviedo
- sábado, 20 de enero 10:30 Santander. Desarrollo WordPress en local con “Local by Flywheel”
- viernes, 26 de enero 19:00 Pontevedra. Monetización de blogs con ingresos pasivos: AdSense, afiliación e infoproductos
- viernes, 23 de febrero Las Palmas de Gran Canaria. WordCamp Las Palmas 2018
Hola Juanma!
Desafortunadamente tenía instalado el plugin Captcha aunque no lo tenía activo.
Ahora tengo dos avisos de Wordfence: uno relacionado con la creación de un usuario administrador desde fuera de la plataforma (no veo usuarios nuevos en el panel)
y otro relacionado con la modificación del archivo “WordPress core file modified: wp-config-sample.php”
¿Qué me aconsejas hacer en este caso?
Gracias!!
Hola Pau!
Siento mucho que te haya afectado este tema… como tantos otros usuarios que habrá 🙁
En teoría, desinstalando y borrando los plugis acabarás con el problema de la backdoor. Otra cosa distintas es que hayan modificado archivos entrando a través de esa puerta… ahí ya vas a tener mucho más complicado corregir los hackeos.
Cuando hayas borrado los plugins, intenta pasar algún plugin “todo en uno” de seguridad, como Wordfence, a ver si te encuentra malware aún y cruza los dedos..
Un saludo!