Decenas de complementos (plugins) de WordPress han sido retirados de circulación tras el descubrimiento de una puerta trasera (backdoor) en su código fuente, lo que pone en riesgo de infección por malware a miles de sitios web.
La brecha de seguridad se identificó tras la adquisición de Essential Plugin, una desarrolladora que gestiona más de 400.000 instalaciones. Según Austin Ginder, fundador de Anchor Hosting, la puerta trasera fue implantada después de que la empresa fuera comprada el año pasado.
Ginder informó que el código malicioso permaneció inactivo dentro de los plugins hasta principios de abril de 2024, momento en el que se activó para distribuir malware a las instalaciones activas. Este ataque a la cadena de suministro aprovechó las actualizaciones de los plugins, permitiendo que la puerta trasera alcanzara a cualquier sitio que utilizara el software afectado.
Vulnerabilidad en la propiedad de los plugins
Los datos de plugins de WordPress indican que las herramientas comprometidas están actualmente activas en más de 20.000 instalaciones de WordPress. Aunque los plugins están diseñados para ampliar las funcionalidades de un sitio, requieren un acceso profundo a los archivos principales de la web, lo que genera un riesgo de seguridad significativo si el desarrollador se ve comprometido.
Ginder advirtió que los usuarios de WordPress rara vez son notificados cuando un plugin cambia de dueño corporativo. Esta falta de transparencia deja a los administradores de sitios sin saber que la persona encargada de gestionar la seguridad y la funcionalidad de su web podría haber cambiado.
Este incidente representa el segundo gran secuestro de un plugin de WordPress detectado en un periodo de dos semanas. Investigadores de seguridad ya habían señalado anteriormente los riesgos de este tipo de ataques a la cadena de suministro, especialmente cuando los desarrolladores obtienen permisos amplios en las instalaciones de los usuarios.
