La comunidad de WordPress se encuentra en alerta tras el descubrimiento de puertas traseras maliciosas insertadas en docenas de plugins ampliamente utilizados.Este incidente, que ha afectado a más de 20,000 instalaciones activas, representa uno de los ataques de cadena de suministro más significativos en la historia reciente del popular sistema de gestión de contenidos.El problema se originó cuando un nuevo propietario corporativo adquirió estos complementos y posteriormente introdujo código malicioso en ellos.Un ataque silencioso que estuvo meses en esperaAustin Ginder, fundador de Anchor Hosting, fue quien dio la voz de alarma mediante una publicación en su blog la semana pasada, detallando un ataque de cadena de suministro dirigido contra Essential Plugin, un desarrollador de complementos para WordPress.Según su investigación, alguien adquirió Essential Plugin el año pasado y poco después se introdujo la puerta trasera en el código fuente de los plugins. Lo más preocupante del caso es que este backdoor permaneció inactivo durante meses, esperando el momento preciso para activarse.La activación ocurrió a principios de este mes, cuando el código malicioso comenzó a distribuirse automáticamente a todos los sitios web que tenían instalados estos complementos comprometidos.Essential Plugin presume en su sitio web de contar con más de 400,000 instalaciones de plugins y más de 15,000 clientes, aunque la página oficial de WordPress indica que los complementos afectados están presentes en aproximadamente 20,000 instalaciones activas.Esta discrepancia en las cifras no disminuye la gravedad del incidente, considerando que cada instalación representa un sitio web potencialmente comprometido.El riesgo inherente de los cambios de propiedadUno de los aspectos más alarmantes que señala Ginder en su análisis es que WordPress no notifica a sus usuarios cuando un plugin cambia de propietario.Esta falta de transparencia expone a los administradores de sitios web a potenciales ataques de apropiación por parte de nuevos dueños con intenciones maliciosas.Los plugins permiten a los propietarios de sitios basados en WordPress extender la funcionalidad de sus instalaciones, pero al hacerlo, otorgan a estos complementos acceso privilegiado a sus sistemas, lo que puede abrir las puertas a extensiones maliciosas y compromisos de seguridad.Cabe destacar que, según Ginder, este es el segundo secuestro de un plugin de WordPress descubierto en apenas dos semanas, lo que sugiere un patrón preocupante en la industria.Los investigadores de seguridad han advertido durante años sobre los riesgos de que actores maliciosos adquieran software y modifiquen su código con el objetivo de comprometer un gran número de computadoras alrededor del mundo.Este tipo de ataque de cadena de suministro es particularmente efectivo porque aprovecha la confianza que los usuarios depositan en herramientas que ya han estado utilizando durante tiempo.Medidas tomadas y recomendaciones de seguridadAunque los plugins comprometidos han sido removidos del directorio oficial de WordPress y ahora figuran con un estado de cierre «permanente», Ginder advierte que los propietarios de sitios WordPress deben verificar manualmente si todavía tienen instalado alguno de estos complementos maliciosos y proceder a eliminarlo de inmediato.En su publicación original, Ginder proporciona una lista completa de los plugins afectados para facilitar esta tarea de auditoría.Por otro lado, resulta revelador que los representantes de Essential Plugin no hayan respondido a las solicitudes de comentarios sobre este incidente, lo que genera aún más incertidumbre sobre las circunstancias exactas de la adquisición y las intenciones detrás de la introducción del código malicioso.La falta de comunicación por parte de la empresa involucrada dificulta la comprensión completa del alcance del ataque y las posibles motivaciones detrás del mismo.Lecciones para el ecosistema WordPressSin lugar a dudas, este incidente pone de manifiesto vulnerabilidades significativas en el ecosistema de WordPress que van más allá de simples fallos de código.La ausencia de notificaciones sobre cambios de propiedad en plugins representa una brecha de seguridad que necesita ser abordada con urgencia por parte de la comunidad y los administradores de la plataforma.Para los usuarios, la lección es clara: mantener una vigilancia constante sobre los complementos instalados, revisar regularmente las actualizaciones y cambios en sus herramientas, y considerar cuidadosamente qué extensiones son realmente necesarias para sus sitios.A decir verdad, este tipo de ataques de cadena de suministro representan una de las amenazas más sofisticadas en el panorama actual de ciberseguridad, precisamente porque explotan la confianza establecida entre desarrolladores y usuarios.Fuente: AnchorHostThe post Descubren backdoors en decenas de plugins de WordPress que afectan a miles de sitios web first appeared on PasionMóvil.