Descubren otro plugin de Wordpress que hackea tu página web

La seguridad de Wordpress, el servicio de creación de páginas web más popular del mundo, ha sido puesta en entredicho. Varias veces en las últimas semanas se han detectado extensiones maliciosas con capacidad para hackear y derribar cientos de miles de páginas webs alojadas en sus servidores.

El último en ser identificado es un plugin de Wordpress que puede hackear tu página en cuestión de minutos. Se trata de la extensión antispam llamada X-WP-SPAM-SHIELD-PRO, muy popular pese a no estar alojada en los servidores oficiales de Wordpress. Por desgracia no es la primera vez que ocurre, y parece que tampoco será la última.

Dicha extensión contiene -y hablamos en presente- una puerta trasera. Ésta sirve para un propósito bastante claro: dar acceso a su creador al panel de control y a los permisos para convertirse automáticament en administrador de la web, con todo lo que ello conlleva en materia de seguridad. Por ejemplo se sabe que puede subir archivos ZIP con virus a Wordpress sin permiso del propietario de la página.

Lo paradójido del caso es que dicho plugin vende intencionalmente a los usuarios una preocupación por la seguridad de su sitio web que en realidad no existe. Se trata de una clásica trampa para convencerlos y acabar siendo instalado por la vía extraoficial.

He ahí la clave: al no estar soportado en el servidor oficial de Wordpress, tiene que ser instalado de forma externa. Es lo mismo que ocurre en cualquier sistema operativo, sólo que llevado al alojamiento de webs: la inseguridad y el peligro siempre existe cuando recurres a software no oficial ni validado.

Por ahora la web desde la que se puede descargar este plugin malicioso sigue activa, con valoraciones de cinco estrellas en la mayoría de los casos. Eso significa que sus usuarios aún no son conscientes del peligro que corren, algo preocupante si tenemos en cuenta que acumula más de 100.000 descargas.