Retirado el plugin Display Widgets del repositorio oficial de WordPress.

Image
15 Sep
2017
Retirado el plugin Display Widgets del repositorio oficial de WordPress.

Display Widgets, un plugin con más de 200,000 instalaciones, permitía insertar código malicioso oculto. 

 

Como sabrán WordPress es un software de código abierto respaldado por miles y miles de personas que forman la Comunidad WordPress. Gracias a dicha comunidad, esta aplicación está en continuo desarrollo; nuevos plugins, actualizaciones, corrección de errores, parches de seguridad, nuevas funcionalidades o, por ejemplo, mejoras en el rendimiento que hacen que los usuarios de este CMS podamos tener una web más moderna y segura.

 

Gracias al trabajo de todos los que colaboran con esta comunidad, se ha podido detectar que Display Widgets, un plugin con más de 200,000 instalaciones, permitía insertar código malicioso oculto (fundamentalmente spam) en los sitios web gestionados con WordPress.

¿Qué ha ocurrido exactamente con Display Widgets?

 

Durante los últimos tres meses, este plugin ha sido eliminado del repositorio oficial de WordPress un total de 4 veces. A continuación, resumimos de manera cronológica que ha sucedido con Display Widgets, tal y como se recoge en el blog oficial de Wordfence:

 

21 de junio: El plugin Display Widgets fue vendido al usuario conocido en los foros de WordPress.org como “displaywidget”. Una vez adquirido, el nuevo propietario del plugin lanza la versión 2.6.0.

22 de junio: David Law, consultor SEO, informa al equipo de revisión de plugins de WordPress de que Display Widgets estaba insertando código adicional desde servidores externos y recopilando datos de visitantes sin permiso.

23 de junio: Como este comportamiento no está permitido para plugins de WordPress.org y se retira del repositorio.

30 de junio: Una semana después, el desarrollador libera la versión 2.6.1 de Display Widgets. Esta actualización incluía un archivo denominado geolocation.php que permitía publicar contenidos en cualquier página web que trabajase con este plugin y eliminar o publicar nuevo contenido sin que fuese visible por cualquier usuario logueado, impidiendo así que el propietario del sitio lo detectase.

1 de julio: Al día siguiente, el plugin vuelve a ser eliminado de WordPress.org.

6 de julio: El propietario lanza una nueva versión: Display Widgets 2.6.2. David Law vuelve a advertir sobre la presencia de código malicioso, pero esta vez no fue suficiente para llegar a un acuerdo sobre su retirada.

23 de julio: Calvin Ngan abrió un Ticket en WordPress.org alertando que se estaban creando páginas que no se podían detectar con enlaces de spam.

24 de julio: Por tercera vez, el plugin es eliminado del repositorio oficial de WordPress.

2 de septiembre: El propietario del plugin no se rinde y lanza la versión 2.6.3, mejorando el malware oculto en las versiones anteriores. Su intención estaba clara, ¿verdad?

7 de septiembre: Otro usuario de WordPress daba la voz de alarma y reporta que se ha inyectado spam en su sitio a través de este plugin.

8 de septiembre: Por cuarta vez, el plugin es eliminado de WordPress.

 

Que se puede hacer ahora?

 

Existe una solución. Si utilizabas este plugin en alguno de tus proyectos web y no quieres poner en riesgo tu aplicación, tienes que eliminarlo de WordPress inmediatamente. Y no basta con darle al botón Desactivar, sabemos que es mucho más cómodo, pero no es suficiente si quieres eliminar los archivos de tu aplicación por completo.

 

Probablemente, si has estado trabajando con las versiones 2.6.0. a 2.6.3, tu sitio se encuentre infectado. Si es este tu caso, te recomiendo que realices una nueva instalación de la última versión WordPress en tu plan de alojamiento. Una vez instalado, revisa que la base de datos se encuentre libre de malware y la carpeta uploads por si detectas algún archivo sospechoso. Una vez que confirmes que está libre de malware, súbelos a WordPress. Para mayor seguridad, recuerda modificar el usuario de la base de datos y contraseña.

 

Si tienes tu página web alojada con Comunika2  o quieres que te llevemos el mantenimiento de tu sitio Web para que no te tengas que  preocupar de nada, nuestro equipo técnico te puede ayudar y asesorar para asegurar que tu sitio Web funcione correctamente y esté libre de malware.

 

El equipo de Comunika2

Otros artículos del blog

Pide presupuesto +34 615 304 642

Suscríbete a nuestro newsletter!

Recibe todas las novedades y ofertas.