Con el 54% de las vulnerabilidades detectadas atribuidas a plugins, no es un secreto que son la causa principal de las vulnerabilidades a la seguridad de WordPress.
Por supuesto, eso normalmente se puede reducir a un error del usuario (es decir, un plugin no se actualizó cuando debería). Pero a veces estos problemas de seguridad del complemento no tienen nada que ver con ese tipo de error de usuario. En cambio, surgen de otros usuarios; específicamente, los piratas informáticos que intencionalmente inyectan sus propios complementos con código malicioso.
Existen hackers que se toman la molestia de construir plugins para WordPress falsos saben lo que están haciendo. Muchos de los complementos falsos que han dañado realmente a los sitios web de los usuarios pasaron desapercibidos porque el código, a primera vista de todos modos, parecía legítimo. También hay, penosamente, plugins falsos que no comenzaron de esa manera.
Si nunca antes ha encontrado un plugin de WordPress falso, permítame presentarle algunos casos conocidos:
1. Plugin Pingatorpin
Pingatorpin fue un complemento en 2013 que no se identificó inmediatamente como lo que realmente era. Sucuri había tropezado con una gran cantidad de sitios web que contenían malware, todos compartían un conjunto similar de archivos. No fue hasta que comenzaron a investigar que se dieron cuenta de que el plugin de Pingatorpin era la fuente del spam que corría desenfrenado en estos sitios.
2. SI CAPTCHA Anti-Spam Plugin
¿Quieres ver algo complicado? A continuación, obtenga una carga del plugin SI CAPTCHA, que, hasta el verano de 2017, era en realidad un complemento CAPTCHA válido. En junio, el complemento fue comprado y cambió de propietario. Fue entonces cuando comenzaron los problemas.
El nuevo propietario agregó un código en el complemento que le permitiría a otro servidor suyo inyectar anuncios de préstamos de día de pago en las publicaciones de blog de los usuarios. No fue el único complemento que este hacker utilizó, ya que otros plugins de WordPress se utilizaron como un medio para obtener acceso a los sitios web con el fin de ejecutar spam allí.
Hay piratas informáticos astutos como estos que comprarán complementos bien conocidos de los desarrolladores y luego emitirán actualizaciones con una vulnerabilidad dentro de ellos que les otorgue acceso a los sitios de los usuarios.
Saben que los desarrolladores de WordPress y otros usuarios que son hipervigilantes acerca de la seguridad son reacios a usar un complemento poco conocido del repositorio, por lo que esta táctica es realmente inteligente si lo vemos objetivamente.
3. Plugin de WP-Base-SEO
Cerca de 4,000 sitios web de WordPress fueron violados en abril de 2017 cuando se instaló el plugin WP-Base-SEO.
El hacker detrás de este plugin no compiló el complemento desde cero ni compró un complemento ya conocido para ganarse la confianza de los usuarios. En su lugar, copiaron el código de otro complemento SEO para pasarlo a uno como un complemento legítimo, que es probablemente la forma en que escapó la atención de los escáneres en línea.
Por supuesto, ese no fue el caso ya que las personas pronto se dieron cuenta de que algo andaba mal. Tras la inspección, pronto identificaron una serie de archivos sospechosos junto con una solicitud PHP codificada en base64 que dio lugar a la infección.
4. X-WP-SPAM-SHIELD-PRO
Para todos los efectos, esto parecía ser un complemento de seguridad bien codificado para WordPress. Incluso tenía estructuras de carpetas parecidas a las de un complemento normal y seguro . Pero una vez que Sucuri lo tuvo en sus manos, así como algunos sitios infectados por él, notaron problemas importantes con el código.
Si estás por utilizar un plugin y no sabes entonces en quien confiar, aquí hay algunas prácticas que puedes empezar a tener para identificar a plugins gratuitos y confiables.