Docenas de complementos para WordPress, el popular software de código abierto para blogs y sitios web, han sido retirados de circulación después de que se descubriera una puerta trasera que distribuía código malicioso a los sitios que los tenían instalados. El incidente afecta a más de 20,000 instalaciones activas de WordPress y representa un grave riesgo de seguridad relacionado con complementos de WordPress comprometidos.
Austin Ginder, fundador de Anchor Hosting, alertó sobre el ataque en una publicación de blog la semana pasada, describiendo un ataque de cadena de suministro contra Essential Plugin, un desarrollador de extensiones para WordPress. Según Ginder, alguien adquirió Essential Plugin el año pasado y posteriormente se añadió la puerta trasera al código fuente de los complementos.
Ataque a Complementos de WordPress Permanece Inactivo Durante Meses
La puerta trasera permaneció inactiva hasta principios de este mes, cuando se activó y comenzó a distribuir código malicioso a cualquier sitio web con los complementos instalados. Essential Plugin afirma en su sitio web que tiene más de 400,000 instalaciones de complementos y más de 15,000 clientes, lo que amplifica el alcance potencial del ataque.
Los complementos permiten a los propietarios de sitios basados en WordPress ampliar la funcionalidad de sus páginas, pero al hacerlo otorgan acceso a sus instalaciones. Sin embargo, Ginder advirtió que los usuarios de WordPress no son notificados cuando hay cambios de propiedad en los complementos, lo que expone a los usuarios a posibles ataques de secuestro por parte de los nuevos propietarios.
Segundo Incidente de Seguridad en Dos Semanas
Este representa el segundo secuestro de un complemento de WordPress descubierto en dos semanas, según Ginder. Los investigadores de seguridad han advertido durante mucho tiempo sobre los riesgos de que actores maliciosos adquieran software y modifiquen su código para comprometer un gran número de computadoras en todo el mundo.
La página de instalación de complementos de WordPress indica que los complementos afectados están presentes en más de 20,000 instalaciones activas. Esta cifra subraya la magnitud del problema de seguridad y la vulnerabilidad de los sitios web que dependen de extensiones de terceros.
Respuesta de la Comunidad WordPress
Los complementos comprometidos han sido eliminados del directorio de WordPress y ahora indican su cierre como “permanente”. A pesar de esta acción, Ginder advirtió que los propietarios de sitios WordPress deben verificar si todavía tienen alguno de los complementos maliciosos instalados y eliminarlos inmediatamente.
Ginder ha publicado una lista completa de los complementos afectados en su publicación de blog para ayudar a los administradores de sitios web a identificar posibles vulnerabilidades. Los representantes de Essential Plugin no respondieron a las solicitudes de comentarios sobre el incidente.
Implicaciones para la Seguridad de WordPress
Este incidente destaca las vulnerabilidades inherentes en el ecosistema de complementos de código abierto. Mientras que WordPress impulsa aproximadamente el 40% de todos los sitios web en Internet, su dependencia de complementos de terceros crea puntos de entrada potenciales para ataques de seguridad.
Además, la falta de notificaciones sobre cambios de propiedad en los complementos representa una brecha significativa en la seguridad de la cadena de suministro. Los expertos en seguridad han señalado que los ataques de cadena de suministro son cada vez más comunes y sofisticados.
Los administradores de sitios WordPress deberán mantenerse vigilantes y revisar regularmente los complementos instalados en sus sitios. Se espera que WordPress implemente medidas adicionales de seguridad y notificación para prevenir futuros incidentes similares, aunque no se han anunciado cambios específicos en las políticas de la plataforma hasta el momento.