Underc0de - La Casa de los Informáticos

Una grave amenaza de seguridad ha sido descubierta en el popular plugin de WordPress Quick Page/Post Redirect Plugin, utilizado en más de 70.000 sitios web. Según un reciente análisis, este complemento habría incluido una puerta trasera (backdoor) durante años, permitiendo la inyección de código arbitrario y comprometiendo la integridad de miles de páginas.

El hallazgo ha generado preocupación en la comunidad de ciberseguridad, especialmente por el impacto potencial en SEO, integridad de datos y control total del sitio.

Descubrimiento del malware: cómo se detectó la amenaza

El problema fue identificado por Austin Ginder, fundador del proveedor de hosting WordPress Anchor Hosting. El investigador detectó actividad sospechosa tras recibir alertas de seguridad en 12 sitios web comprometidos dentro de su infraestructura.

Tras un análisis profundo, se descubrió que el plugin estaba ejecutando comportamientos no autorizados, vinculados a un mecanismo oculto de actualización remota.

¿Qué hace el plugin afectado?

El plugin Quick Page/Post Redirect es ampliamente utilizado en WordPress para:

• Crear redirecciones personalizadas
• Gestionar URLs de páginas y publicaciones
• Optimizar la navegación y SEO técnico

Su funcionalidad aparentemente inocente lo convirtió en un vector ideal para ocultar actividad maliciosa sin levantar sospechas.

El origen del ataque: un autoactualizador malicioso

Las versiones 5.2.1 y 5.2.2, publicadas entre 2020 y 2021, incluían un mecanismo oculto de actualización automática que no dependía del repositorio oficial de WordPress.

Este sistema se conectaba a un dominio externo (anadnet[.]com), desde donde podía descargar y ejecutar código arbitrario sin supervisión.

 Punto crítico: este comportamiento permitía a un atacante tomar control total del sitio web afectado.

En febrero de 2021, este mecanismo fue eliminado en versiones posteriores del plugin en WordPress.org, pero no antes de causar un impacto significativo.

Distribución de una versión manipulada

Según la investigación, en marzo de 2021, los sitios que utilizaban las versiones vulnerables recibieron de forma silenciosa una actualización maliciosa (versión 5.2.3) desde el servidor externo.

Esta versión contenía una puerta trasera pasiva, diseñada para:

• Activarse únicamente para usuarios no autenticados
• Evitar ser detectada por administradores
• Inyectar contenido dinámico en el sitio

Además, el archivo distribuido tenía un hash distinto al de la versión oficial, lo que confirma su manipulación.

SEO comprometido: el verdadero objetivo del ataque

El ataque no solo buscaba acceso al sistema, sino también explotar el posicionamiento web de los sitios infectados.

El malware utilizaba la técnica conocida como SEO parasitario, permitiendo a terceros:

• Insertar contenido oculto optimizado para buscadores
• Manipular rankings en Google
• Aprovechar la autoridad del dominio comprometido

CitarSegún Austin Ginder:

"El plugin alquilaba el ranking de Google en decenas de miles de sitios web."

Este tipo de ataque puede dañar gravemente la reputación del sitio, provocar penalizaciones en buscadores e incluso incluir enlaces maliciosos sin conocimiento del propietario.

Riesgo persistente: una amenaza aún latente

Aunque actualmente el servidor de comando y control no responde, el dominio sigue activo, y el mecanismo de actualización malicioso permanece en instalaciones antiguas del plugin.

Esto significa que:

• El ataque podría reactivarse en cualquier momento
• Los sitios siguen siendo vulnerables
• Existe riesgo de ejecución remota de código

Además, el plugin ha sido retirado temporalmente del repositorio oficial de WordPress, lo que indica la gravedad de la situación.

Medidas de mitigación y solución

Para proteger tu sitio web, se recomienda actuar de inmediato:

Acciones críticas

• Desinstalar el plugin afectado inmediatamente
• Verificar integridad de archivos del sitio
• Escanear el sistema en busca de código malicioso
• Revisar contenido SEO sospechoso

Solución recomendada

Instalar una versión limpia (5.2.4 o superior) desde el repositorio oficial de WordPress cuando esté disponible nuevamente.

Impacto en entornos empresariales y hosting

El incidente resalta un problema crítico en la cadena de suministro de software, especialmente en plataformas como WordPress, donde plugins de terceros pueden introducir vulnerabilidades graves.

Los entornos más afectados incluyen:

• Sitios corporativos con alto tráfico
• Plataformas de comercio electrónico
• Redes multisite
• Proveedores de hosting compartido

Seguridad en WordPress no es opcional

Este caso demuestra que incluso plugins populares y aparentemente confiables pueden convertirse en vectores de ataque avanzados.

La combinación de:

• Actualizaciones externas no verificadas
• Puertas traseras ocultas
• Manipulación SEO

convierte este incidente en una de las amenazas más relevantes en el ecosistema WordPress en los últimos años.

La recomendación es clara: implementar políticas estrictas de seguridad, auditorías periódicas y monitoreo continuo.

Fuente: https://www.bleepingcomputer.com/