Un plugin de WordPress instalado en más de 300.000 sitios ha sido modificado recientemente para descargar e instalar una puerta trasera oculta. El equipo de WordPress ha intervenido y eliminado este complemento del repositorio oficial de WordPress Plugins, que también proporciona versiones limpias para los clientes afectados. Como sabemos se trata de un sistema de gestión de contenidos muy popular.
Puerta trasera en un plugin de WordPress
Conocido solo como Captcha, el plugin de WordPress fue uno de los plugins CAPTCHA más populares en el sitio oficial. Fue el trabajo de un desarrollador de plugins muy popular llamado BestWebSoft. Esta compañía está detrás de muchos otros plugins conocidos de WordPress.
BestWebSoft vendió la versión gratuita de su plugin Captcha a un nuevo desarrollador llamado Simply WordPress el 5 de septiembre, según una publicación en el sitio de la compañía.
Exactamente tres meses después de la venta, el nuevo propietario del complemento envió Captcha versión 4.3.7, que contenía código malicioso que se conectaría al dominio simplywordpress.net y descarga un paquete de actualización de complemento desde fuera del repositorio oficial de WordPress (en contra de las reglas de WordPress.org) . Este paquete de actualización furtivo instalaría una puerta trasera en los sitios que usan el complemento.
«Este backdoor (puerta trasera) crea una sesión con el ID de usuario 1 (el usuario administrador predeterminado que crea WordPress cuando lo instala por primera vez), establece las cookies de autenticación y luego se elimina a sí mismo», dice Matt Barry, investigador de seguridad de Wordfence. «El código de instalación de la puerta trasera no está autenticado, lo que significa que cualquiera puede activarlo».
Actualización limpia
Además, también hay un código para activar una actualización limpia que elimina cualquier rastro de la puerta trasera, en caso de que el atacante decida borrar todas sus pistas.
Al principio esta actualización no llamó la atención de nadie. Lo que expuso la puerta trasera no fue una queja del usuario, sino un reclamo de derechos de autor del equipo de WordPress. Hace unos días, el equipo de WordPress eliminó el plugin Captcha del sitio web oficial de WordPress.org porque el nuevo autor del complemento había utilizado la marca comercial «WordPress» en su nombre y marca de complemento.
La eliminación del plugin del sitio de WordPress alertó al equipo de seguridad de Wordfence. Se trata de una empresa que proporciona un poderoso firewall de aplicaciones web para sitios de WordPress.
«Cada vez que el repositorio de WordPress elimina un complemento con una gran base de usuarios, verificamos si pudo ser debido a algo relacionado con la seguridad», dice Barry, explicando cómo llegaron a revisar el código del complemento y detectar la puerta trasera.
Una vez que detectaron la puerta trasera, Wordfence notificó al equipo de seguridad de WordPress. Gracias a ello compiló una versión limpia del plugin Captcha (versión 4.4.5). Inmediatamente comenzaron a forzar la instalación en todos los sitios web afectados. Eliminaron así las versiones con código malicioso de los usuarios. Más de 100.000 sitios recibieron la versión limpia del plugin Captcha durante el fin de semana, dijeron desde el equipo de WordPress.