WordFence nos advertía anoche en su página oficial de una grave vulnerabilidad en el plugin Captcha de WordPress, que en su última actualización incluía una backdoor. La puerta de atrás es un código que permite a un tercero acceder a tu instalación de WordPress sin tu consentimiento.

La semana pasada, el repositorio oficial de plugins de WordPress borró de su directorio el plugin Captcha. Este plugin contaba entonces con más de 300.000 instalaciones activas. Los desarrolladores de dicha extensión dejaron una nota indicando que WordPress les había solicitado que cambiaran el nombre de la compañía (que según ellos no podía contener la palabra WordPress) y que por eso habían deshabilitado las descargas temporalmente. La gente de WordFence (uno de los plugins de seguridad más utilizados) no vio claro este asunto y lo han investigado a fondo. El trabajo no ha sido en vano, ya que han encontrando en el código de dicha extensión una puerta de atrás.

La última actualización del plugin Captcha contaba con unas líneas de código que ejecutaban una auto-actualización, pero en lugar de descargarla del repositorio oficial de WordPress, la descargaba de la propia página del autor. Y esta nueva actualización, venía con sorpresa.

Una vez actualizado, el propio plugin puede acceder a tu página web con el usuario de ID 1 de WordPress. Este usuario, salvo que lo hayas cambiado, es el administrador por defecto.

¿Por qué ha sucedido esto en un plugin con tantas descargas?

En septiembre los antiguos desarrolladores de este plugin anunciaron que cedían el mantenimiento a otra empresa. WordFence ha rastreado los datos de este nuevo desarrollador y ha encontrado un largo historial de compra de dominios de dudosa reputación para ganar enlaces externos en su propio beneficio.

Si tienes activado WordFence en tu WordPress, puedes estar tranquilo. Han preparado su plugin para neutralizar este script. Además, el repositorio de WordPress parece que vuelve a tener Captcha activo. Aun así, viendo que el desarrollador sigue siendo el mismo “simplyforwordpress”, mi recomendación es que desinstales esta extensión y busques otra que te aporte las mismas funcionalidades.

Para más información acerca de este asunto, visita la web de WordFence.

Si te has visto afectado por este plugin o sospechas que puedas tener un virus en la web, no te pierdas este artículo sobre seguridad en tu WordPress.