0

El plugin Display Widgets ha sido retirado del repositorio oficial de WordPress

Display WidgetsWordPress es un software de código abierto respaldado por miles y miles de personas que forman la Comunidad WordPress. Gracias a ellos, esta aplicación está en continuo desarrollo; nuevos plugins, actualizaciones, corrección de errores, parches de seguridad, nuevas funcionalidades o, por ejemplo, mejoras en el rendimiento que hacen que los usuarios de este CMS podamos tener una web más moderna y segura.

 

Gracias a la dedicación y al trabajo de todos los que colaboran con esta comunidad, se ha podido detectar que Display Widgets, un plugin con más de 200,000 instalaciones, permitía insertar código malicioso oculto (fundamentalmente spam) en los sitios web gestionados con WordPress.

¿Qué ha ocurrido exactamente con Display Widgets?

Durante los últimos tres meses, este plugin ha sido eliminado del repositorio oficial de WordPress un total de 4 veces. A continuación, te resumo de manera cronológica qué ha sucedido con Display Widgets, tal y como se recoge en el blog oficial de Wordfence:

  • 21 de junio: El plugin Display Widgets fue vendido al usuario conocido en los foros de WordPress.org como “displaywidget”. Una vez adquirido, el nuevo propietario del plugin lanza la versión 2.6.0.
  • 22 de junio: David Law, consultor SEO, informa al equipo de revisión de plugins de WordPress de que Display Widgets estaba insertando código adicional desde servidores externos y recopilando datos de visitantes sin permiso.
  • 23 de junio: Como este comportamiento no está permitido para plugins de WordPress.org y se retira del repositorio.
  • 30 de junio: Una semana después, el desarrollador libera la versión 2.6.1 de Display Widgets. Esta actualización incluía un archivo denominado geolocation.php que permitía publicar contenidos en cualquier página web que trabajase con este plugin y eliminar o publicar nuevo contenido sin que fuese visible por cualquier usuario logueado, impidiendo así que el propietario del sitio lo detectase.
  • 1 de julio: Al día siguiente, el plugin vuelve a ser eliminado de WordPress.org.
  • 6 de julio: El propietario lanza una nueva versión: Display Widgets 2.6.2. David Law vuelve a advertir sobre la presencia de código malicioso, pero esta vez no fue suficiente para llegar a un acuerdo sobre su retirada.
  • 23 de julio: Calvin Ngan abrió un Ticket en WordPress.org alertando que se estaban creando páginas que no se podían detectar con enlaces de spam.
  • 24 de julio: Por tercera vez, el plugin es eliminado del repositorio oficial de WordPress.
  • 2 de septiembre: El propietario del plugin no se rinde y lanza la versión 2.6.3, mejorando el malware oculto en las versiones anteriores. Su intención estaba clara, ¿verdad?
  • 7 de septiembre: Otro usuario de WordPress daba la voz de alarma y reporta que se ha inyectado spam en su sitio a través de este plugin.
  • 8 de septiembre: Por cuarta vez, el plugin es eliminado de WordPress.

¿Y ahora?

Solo hay una solución. Si utilizabas este plugin en alguno de tus proyectos web y no quieres poner en riesgo tu aplicación, tienes que eliminarlo de WordPress inmediatamente. Y no basta con darle al botón Desactivar, sabemos que es mucho más cómodo, pero no es suficiente si quieres eliminar los archivos de tu aplicación por completo.

 

Probablemente, si has estado trabajando con las versiones 2.6.0. a 2.6.3, tu sitio se encuentre infectado. Si es este tu caso, te recomiendo que realices una nueva instalación de la última versión WordPress en tu plan de alojamiento. Una vez instalado, revisa que la base de datos se encuentre libre de malware y la carpeta uploads por si detectas algún archivo sospechoso. Una vez que confirmes que está libre de malware, súbelos a WordPress. Para mayor seguridad, recuerda modificar el usuario de la base de datos y contraseña.

 

Si tienes tu página web alojada con nosotros y nunca has realizado estas tareas en tu sitio, ¡no te preocupes! Nuestro equipo técnico podrá ayudarte y orientarte para dejar tu sitio funcionando correctamente y libre de malware.

 

María Acibeiro

María Acibeiro

María trabaja en Host Europe desde 2015. Tras su paso por el equipo de Customer Care decidió dar el salto a marketing y ahora supervisa y gestiona redes sociales, afiliados, PPC y se encarga de que nuestros usuarios se sientan como en casa.

More Posts

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *