Tres populares plugins tenían código malicioso
Por Robert Lemos
CSO (EE.UU.)
Las empresas y los bloggers que hospedan sus propias instalaciones de WordPress deben asegurarse de que no se han descargado cualquiera de los tres populares plugins que fueron, durante unas 24 horas, portadores de códigos maliciosos, advirtió el creador de WordPress Auttomatic.
"El equipo de WordPress notó código sospechoso que comprometía a varios plugins populares y que contenían puertas traseras, hábilmente disfrazadas", escribió Matt Mullenweg, desarrollador y fundador de Auttomatic. "Se determinó que el problema no fué ocasionado por los autores, que se retiraron, se colocaron actualizaciones de los plugins, y se cerró el acceso al repositorio de plugins mientras se busca si hay algo más".
Auttomatic ha iniciado un reajuste de todo el sistema de WordPress.org, obligando a todos los usuarios a que cambien sus contraseñas. Además, la compañía ha bloqueado los cambios a otros plugins, mientras verifica la autenticidad de su código.
"Las puertas traseras basadas en la web pueden ser muy peligrosas", escribió Paul Ducklin, investigador de la firma de seguridad Sophos, en un blog al respecto del incidente. "Una puerta trasera en WordPress podría ofrecer algo con una funcionalidad similar, pero usando una dirección URL diferente, inesperada, y el uso de una contraseña conocida por el hacker, en lugar depor el autor".
Los usuarios del servicio de Auttomatic, WordPress.com, no se vieron afectados por el ataque, añadió Ducklin.
Entre los consejos para los administradores, Auttomatica recomienda: nunca utilice su contraseña WordPress en otro sitio. La reutilización de contraseñas se ha convertido en un tema importante a raíz de una serie de violaciones a los servicios en línea, tales como Sony Playstation Network y RockYou, que han sucumbido a los ataques en línea. Un análisis del archivo de contraseñas que se filtró en el hack de Sony Pictures reveló que más de dos tercios de las personas que también tenían cuentas en otro sitio, Gawker, utilizaban la misma contraseña.
Los tres plugins incluyen WPtouch, un tema que formatea los sitios web para dispositivos móviles; AddThis, un plugin de marcadores que permite a los visitantes a compartir el sitio con sus amigos, y W3 Total Cache, un software que mejora el rendimiento del sitio con almacenamiento en caché de contenido. Los plugins son bastante populares: WPtouch cuenta con 2 millones de descargas, mientras que los otros dos tienen aproximadamente la mitad de un millón de descargas cada uno.
El incidente dice poco sobre la seguridad del código de fuente abierta y más acerca de si los administradores deben preguntarse si deben aplicarse inmediatamente descargas, dice Chester Wisniewski, un asesor de seguridad senior de Sophos. En el futuro, puede que lo piense dos veces antes de aplicar una actualización de los plug-ins de WordPress, dice el experto.
Esa es un aspecto que WordPress tendrá que abordar en el futuro, agregó.