Plugins de WordPress falsos: Lo que necesitas saber

Hay muchas aplicaciones que ahorran tiempo, marcos CSS y bibliotecas JavaScript que puedes usar como desarrollador de WordPress para simplificar tus flujos de trabajo. Pero, ¿plugins? Especialmente los que se encuentran en el repositorio de WordPress o en tu membresía de WPMU DEV? Hablando de conveniencia y satisfacción instantánea.

Los plugins son definitivamente una de las ventajas de construir sitios web usando WordPress. Sin embargo, los plugins pueden comprometer seriamente la seguridad de su sitio si no tiene cuidado.

Con el 54% de las vulnerabilidades detectadas atribuidas a los plugins, no es un secreto que son la principal causa de las violaciones de seguridad de WordPress. Por supuesto, eso se puede reducir a un error de usuario (es decir, un plugin no fue actualizado cuando debería haberlo sido). Pero a veces estos problemas de seguridad de los plugins no tienen nada que ver con ese tipo de error de usuario. En su lugar, surgen de otros usuarios; específicamente, de hackers que inyectan a sabiendas sus propios plugins con código malicioso.

Sí, eso es: hay falsos plugins de WordPress construidos con el propósito explícito de infectar sitios web . Como verás pronto, estas infecciones tampoco son siempre fáciles de detectar de inmediato. Veamos por qué los hackers utilizan los plugins de WordPress para entrar en tu sitio web, cómo lo hacen y qué puedes hacer para evitarlo.

Plugins de WordPress falsos que engañaron a todos

Muy bien, así que sabes cómo cerrar un sitio de WordPress bastante bien. El área de administración necesita atención al igual que el directorio raíz de tu sitio. Cualquier contacto directo que los visitantes hagan con tu sitio necesita ser fortificado como lo hacen los servidores de tu anfitrión web. Básicamente, cada ángulo necesita ser cubierto.

¿Pero qué haces cuando el hacking viene de dentro de tu sitio web?

Película terrible. Gran línea.

Los hackers que se toman la molestia de construir un falso plugin de WordPress saben lo que hacen. Muchos de los falsos plugins que realmente han dañado los sitios web de los usuarios pasaron desapercibidos porque el código, a primera vista, parecía legítimo. También hay, bastante aterradoramente, falsos plugins que no comenzaron de esa manera.

Si nunca has encontrado un falso plugin de WordPress antes, déjame presentarte un número de casos conocidos:

Pingatorpin Plugin

Pingatorpin era un plugin en 2013 que no fue identificado inmediatamente como lo que realmente era. Sucuri había tropezado con un número bastante grande de sitios web que contenían malware, todos compartiendo un conjunto similar de archivos. No fue hasta que comenzaron a cavar más profundo que se dieron cuenta de que el plugin de Pingatorpin era la fuente del spam que corría desenfrenado en estos sitios.

SI CAPTCHA Anti-Spam Plugin

¿Quieres ver algo difícil? Entonces, mira el plugin SI CAPTCHA, que hasta el verano de 2017 era un plugin CAPTCHA válido. En junio, el plugin fue comprado por otra parte y cambió de dueño. Ahí fue cuando empezaron los problemas.

Leer
Establecer un índice de páginas para niños en las páginas para padres en WordPress

El nuevo propietario añadió un código en el plugin que permitiría a un servidor separado suyo inyectar anuncios de préstamos de día de pago en las entradas de los blogs de los usuarios. No fue el único plugin que este hacker usó, ya que otros ocho plugins de WordPress se usaron como un medio para obtener acceso a sitios web para enviar spam.

Hay hackers astutos como estos que compran plugins bien conocidos de los desarrolladores y luego emiten actualizaciones con una vulnerabilidad en su interior que les permite acceder a los sitios de los usuarios. Saben que los desarrolladores de WordPress y otros usuarios que son hipervigilantes en cuanto a la seguridad son probablemente reacios a usar un plugin poco conocido del repositorio, por lo que este movimiento súper astuto es realmente muy inteligente cuando se piensa en ello.

WP-Base-SEO Plugin

Cerca de 4.000 sitios web de WordPress fueron violados en abril de 2017 cuando se instaló el plugin WP-Base-SEO. El hacker detrás de este no construyó el plugin desde cero ni compró un plugin ya conocido para ganar la confianza de los usuarios. En su lugar, copiaron el código de otro plugin SEO para hacer pasar éste como un plugin legítimo, que es probablemente como escapó a la atención de los escáneres en línea.

Por supuesto, no fue así, ya que la gente pronto se dio cuenta de que algo andaba mal. Tras la inspección, pronto identificaron una serie de archivos sospechosos junto con una petición PHP codificada en base64 que llevó a la infección.

X-WP-SPAM-SHIELD-PRO

El caso más reciente de un falso plugin de WordPress es verdaderamente horripilante. Entra: X-WP-SPAM-SHIELD-PRO. A todos los efectos, este parecía ser un plugin de seguridad bien codificado para WordPress. Incluso tenía estructuras de carpetas que se asemejaban a las de un plugin normal y seguro . Pero una vez que Sucuri puso sus manos en él, así como en algunos sitios infectados por él, notaron grandes problemas con el código.

Aquí tienes una muestra de lo que este fue a buscar:

  • La versión actual de WordPress.
  • Una lista de todos los plugins instalados en el sitio web.
  • Una lista de los usuarios administradores del sitio.
  • El nombre de los usuarios conectados, sus contraseñas, así como las direcciones IP, entre otros detalles sensibles.

Una vez que tuvo toda esa información, tuvo el poder de..:

  • Añadir un nuevo usuario administrador, dándose la posibilidad de vagar libremente por el sitio.
  • Desactivar cualquier plugin usado en el sitio, incluyendo los plugins de seguridad.
  • Sube cualquier archivo al sitio.
  • Recibir una notificación cada vez que alguien instalara el plugin, para que supieran el momento en que tenían acceso total para desmontarlo.

Cosas que dan miedo.

Entonces, veamos qué puedes hacer para evitar que tus sitios de WordPress tengan plugins falsos.

9 Mejores prácticas del plugin de WordPress para mantener a raya a los hackers

Ahora que sabes lo que los hackers buscan hacer con los plugins falsos, es tu trabajo asegurarte de no caer en sus trampas. Aquí hay 9 prácticas recomendadas para los plugins de WordPress a las que deberías adherirte en el futuro:

Leer
Plugins de Skype para WordPress que te ayudan a conectarte con tus visitantes

1. Revisar el Plugin de Control de Calidad General

Si encuentras un plugin de WordPress que quieres usar y está ubicado en el repositorio de WordPress o en otra fuente de confianza para plugins de WordPress (como CodeCanyon) , revísalo extensamente.

Un desglose de cómo usar los detalles del repositorio de WordPress para analizar un plugin.

Esto es lo que tienes que buscar:

  1. En primer lugar, la reputación del desarrollador de plugins. Si no los reconoces, investiga para verificar su credibilidad.
  2. La frecuencia de las actualizaciones también es importante, ya que un sitio web que no se toca o no se mantiene durante más de unos pocos meses puede ser un signo grave de problemas; tal vez no es que sea una falsificación, sino que está abandonado y no tiene apoyo disponible.
  3. Normalmente se puede saber mucho sobre la calidad de un plugin en base a la cantidad de gente que lo usa. Diría que más de unos pocos miles es un número seguro en el que puedes confiar.
  4. Las clasificaciones van de la mano con el número de usuarios. Una puntuación por debajo de 4,5 debería hacer que te preguntes “¿Por qué?”
  5. Finalmente, deberías explorar los comentarios reales que los usuarios dejaron cuando calificaron el plugin. Esto te dará una mejor visión de los problemas recurrentes con el plugin. Cualquier nota sobre seguridad y deberías deshacerte del plugin inmediatamente.

Si encuentras un plugin fuera de los recursos estándar y fiables de WordPress, entonces tendrás que investigar fuera de ellos. Una búsqueda en Google es un buen lugar para empezar, al igual que los foros de WordPress. Te darán una idea de qué tipo de quejas o problemas han encontrado otros usuarios.

2. Revisar el Código

Lo primero que debes hacer antes de instalar un nuevo plugin es inspeccionar la estructura del archivo y asegurarte de que se ve legítimo. Si pasa la inspección, puedes entonces echar un vistazo más de cerca al código. Incluso si no eres un desarrollador de plugins, podrás detectar posibles problemas de codificación en los archivos del plugin si miras lo suficientemente cerca. Si hay llamadas por información sensible que no pertenece allí, entonces sabrás que algo pasa.

3. Revisa tu tema

¿Has oído hablar de las hazañas de TimThumb o Slider Revolution? Aunque no se trataba de casos de falsos plugins, sus vulnerabilidades pudieron pasar desapercibidas debido a la forma en que se utilizaron.

Algunos temas de WordPress incluirán un conjunto de plugins dentro de ellos. Esto puede parecer conveniente para tener toda esa funcionalidad incorporada lista para usar, pero puede plantear serios problemas si el desarrollador del tema no se mantiene al tanto de los exploits de seguridad de los plugins y emite actualizaciones de los mismos a los usuarios.

Así que, hazte un favor, y revisa tu tema para ver si incluye algún plugin dentro de él. TimThumb, Slider Revolution y Gravity Forms son tres de los plugins más problemáticos cuando no se actualizan, así que esas serán tus primeras banderas rojas. En general, sin embargo, es una buena idea saber lo que tienes ahí en caso de que se detecte un nuevo exploit o un falso plugin.

4. Usar un Escáner de Vulnerabilidad

Es posible que un escáner de vulnerabilidades no pueda detectar un plugin falso por lo que es, pero definitivamente le avisará cuando se detecte malware, spam o alguna otra infección.

Leer
Cómo bloquear el interés en tu sitio de WordPress

5. Usar un plugin de seguridad
El plugin de seguridad Defender de WPMU DEV.

Los plugins de seguridad tienen una serie de responsabilidades en su sitio; una de ellas es informarle cuando los plugins se eliminan del repositorio de WordPress o se han marcado de alguna otra manera.

6. Administrar y mantener sus plugins

Si los plugins fueran una cosa de una sola vez. Desafortunadamente, estos útiles asistentes de WordPress necesitan atención regular y amor. Esto es lo que pueden hacer para administrar y mantener adecuadamente su lista:

  • Mantén todos tus plugins (así como el núcleo de WordPress y tu tema) actualizados.
  • Borre cualquier plugin viejo o no usado.
  • Deseche inmediatamente cualquier plugin de WordPress falso o aquellos que tengan serios problemas de seguridad o de rendimiento. Consulta esta lista de SiteLock para ver si tienes alguno ahora mismo.

7. Revise su sitio después de la instalación del plugin

Cada vez que instale un nuevo plugin o emita una actualización de uno, asegúrese de revisar el sitio web en vivo. Muchos usuarios ni siquiera sabían que tenían instalados plugins falsos hasta que notaron que aparecían anuncios de spam en su blog.

8. Utilice la base de datos de vulnerabilidades de WPScan
Un vistazo a la Base de Datos de Vulnerabilidad de WPScan.

Este rastreador en línea mantiene una lista actualizada de las vulnerabilidades detectadas en WordPress, plugins y temas. Si te preocupa que un plugin que estés usando pueda tener problemas, usa esto como punto de referencia. De hecho, suscríbete a sus alertas para que siempre sepas de antemano cuándo un tema ha sido marcado en WordPress.

9. Confía sólo en los mejores

En caso de duda, busque sus plugins de WordPress sólo en los mejores. Si te preocupa que esto te ocupe más tiempo mientras revisas el repositorio y CodeCanyon para encontrar desarrolladores de buena reputación, no lo hagas. WPMU DEV ofrece una caché de plugins que cubre casi todas las bases que necesitarías para un sitio de alto rendimiento.

Envolviendo

Incluso con las más estrictas normas de seguridad, los hackers encontrarán una manera de explotar las vulnerabilidades conocidas de WordPress. Desafortunadamente, una de esas debilidades es nuestra dependencia de los plugins para manejar una buena parte del trabajo en nuestro nombre.

Eso no quiere decir que debas dejar de usar los plugins de WordPress. Simplemente significa que debes ser más vigilante y también un poco cauteloso al decidir qué plugins usar en tu sitio de WordPress. Siempre y cuando se adhiera a las mejores prácticas de plugins y confíe sólo en terceros bien conocidos y minuciosamente examinados para proporcionar a su sitio características y funcionalidades mejoradas, debería encontrar que los plugins falsos son de poca preocupación para usted.

1,6 millones de superhéroes de WordPress leen y confían en nuestro blog. Únete a ellos y recibe entradas diarias en tu bandeja de entrada – ¡gratis!

Etiquetas:

  • Plugins de WordPress

Deja una respuesta