El pasado fin de semana, el sitio web del plugin WordPress Multilingüe Plugin (WPML) fue pirateado y los usuarios del plugin comenzaron a recibir correos electrónicos indicando que el plugin está lleno de vulnerabilidades que pueden afectar a la seguridad del sitio web. Según la propia empresa, WPML, esto fue causado por un ex-empleado que dejó una puerta trasera en su sitio web y posteriormente lo infectó.
WPML es un plugin que permite añadir soporte multilingüe a WordPress y cuenta con unos 600.000 usuarios activos.
En un correo electrónico recibido por los usuarios del plugin titulado “WPML Updates”, el hacker declaró que el plugin contiene numerosas vulnerabilidades de seguridad y que los usuarios deberían reforzar su seguridad y posiblemente eliminar el plugin por completo.
Abajo hay un breve extracto de este correo electrónico:
Usted está viendo esto porque está usando WPML. Si ha comprado WPML y lo instala en uno o más de sus sitios leyendo esto, tal vez se plantee hacerlo. WPML tiene un montón de ridículos agujeros de seguridad que, a pesar de mis esfuerzos por mantenerlo todo al día, permitieron que los dos sitios más importantes de mis sitios web fueran pirateados.
Además de enviar masivamente spam a todos los usuarios y contactos de los plugins, el atacante también pirateó el sitio web para incluir “agujeros de seguridad” como una característica del producto en su página de compra.
En una entrada de blog del desarrollador de WPML, Amir Helzer, la compañía explica que el hacker y el spam resultante fueron enviados por un supuesto ex-empleado que dejó una puerta trasera en su sitio. Helzer continuó diciendo que han actualizado su sitio, reconstruido el código y asegurado el acceso a la cuenta de administrador con 2FA.
Estas son más precauciones que la respuesta real a la piratería. Nuestros datos muestran que el hacker usó información privilegiada (una contraseña SSH antigua) y un agujero que dejó para sí mismo mientras era nuestro empleado. Este hack no se hizo a través de un exploit en WordPress, WPML u otro plugin, sino usando esta información interna. En cualquier caso, el daño es grande y ya está hecho»
Amir Helzer
Mientras que Helzer declaró que el plugin WPML es seguro y no contiene ningún tipo de exploits y que la información de pago no fue comprometida, el intruso tiene la información de la cuenta del usuario. Debido a esto están sugiriendo que todos los usuarios restablezcan sus contraseñas.
