Alerta WordPress – Plugin “Display Widgets” Infectado

Categorias: Plugins, Wordpress

Alerta WordPress - Plugin Display Widgets Infectado

Si algún usuario tiene instalado el plugin Display Widgets en WordPress, debe desinstalarlo de inmediato y revisar su instalación, ya que contiene una puerta trasera que permite al autor del plugin insertar cualquier tipo de contenido en su sitio web.

Display Widgets ya no está disponible en el repositorio de plugins de WordPress, pero ha estado activo en 200 mil sitios WordPress y lo que es peor, es que las últimas tres versiones del plugin han estado infectadas.

El plugin Display Widgets se usaba para cambiar la apariencia del sidebar dependiendo del idioma o región del visitante del sitio web, pero además de añadir esta función, también incluía un código malicioso que permitía al autor publicar lo que quisiera en el sitio web o modificar los enlaces externos.

Desde el 21 de junio, que se detectó por primera vez un problema con el plugin, hasta el 8 de septiembre, el plugin Display Widgets ha sido eliminado de WordPress.org 4 veces, esta última ya parece definitiva.

Las 3 veces anteriores en el que el plugin fue eliminado del repositorio por distintos problemas, los autores del plugin hicieron ver que solucionaros dichos problemas, cuando en realidad lo único que hacían era intentar ocultar más el código malicioso.

El plugin fue vendido por sus creadores a otra compañía y así lo anunciaron en su página web. La nueva compañía fue la responsable de manipular el código y la cadena de problemas a partir de entonces.

Además, los nuevos propietarios del plugin, llamados displaywidget, afirmaron que ellos no habían comprado dicho plugin, intentando así confundir a los usuarios, algo que no tiene micho sentido ya que ellos eran los responsables del plugin en WordPress.org

display plugins propietarios en wordpress.org

Toda la cronología de esta turbia historia se puede seguir en el blog de Wordfence (click aquí, en ingles), los cuales siguen con la investigación.


Tenía Instalado Display Widgets en WordPress, ¿Qué Hago?

Si se tenía instalada cualquiera delas versiones del plugin Display Widgets, lo primero que habría que hacer sería eliminar dicho plugin inmediatamente.

Después de esto, habría que revisar si se ha incluido cualquier tipo de contenido extraño que no nos suene haber incluido para eliminarlo o modificarlo.

También es buena idea comprobar los enlaces externos por si hubiesen sido modificados. Para esto podemos ayudarnos de aplicaciones de terceros o el siempre efectivo Google Search Console.

Y por último, aunque no hay constancia de que el plugin haya inyectado código malicioso en más archivos de WordPress, sería interesante revisar el sitio en alguna página especializada. Una búsqueda en Google y similares ofrecerá varios resultados para escanear WordPress online.


Hosting WordPress con Garantías de Seguridad

Si eres cliente de Hostinet, nuestro sistema de seguridad revisa todos los alojamientos web en busca de código malicioso, avisando al usuario inmediatamente en el caso de encontrar algún problema y ayudándole en todo lo posible para resolver el problema lo antes posible.

El sistema de seguridad de Hostinet, trasladará los archivos infectados que haya detectado a un directorio llamado cuarentena y le indicará al usuario cuáles son para que pueda revisarlos sustituirlos en caso necesario.

También se protege el sitio web con contraseña para que ningún usuario más pueda acabar afectado por el código malicioso inyectado en el sitio web.

Una vez solucionado el problema y comprobado que la web ya no representa ningún peligro, el cliente puede retirar la contraseña de seguridad y volver a la normalidad.

Así que, si eres cliente de Hostinet y tenías instalado el plugin Display Widgets, sólo deberás comprobar el que el contenido y los enlaces no han sido modificados.


Algunos Consejos de Seguridad para WordPress

actualiza wordpress plugins y themes

En Hostinet insistimos mucho en que la seguridad y se han publicado varias guías sobre la seguridad en WordPress y cualquier otra web en general.

Algunos de los consejos más a tener en cuenta son los siguientes:

Mantener WordPress Actualizado

Muchos de los problemas de seguridad vienen por no mantener las actualizaciones al día.

Son muy pocos los casos de plugins cómo Display Widgets, el cual tenía problemas y aun se ha podido descargar la última versión desde WordPress.org.

Por lo general, los responsables de seguridad del repositorio de plugins de WordPress, muchas veces voluntarios, hacen un trabajo increíble al controlar los miles y miles de plugins disponibles en la plataforma y aunque en este caso en particular hayan cometido un error, también son los responsables de que WordPress sea una plataforma muy segura en general.

El problema del usuario es cuando no actualiza los plugins por pereza, por miedo a que su sitio web tenga problemas de compatibilidad al actualizar o simplemente porque no entran nunca al administrador de WordPress.

Si no se actualizan los plugin, themes o el propio core de WordPress cuando se lanzan las actualizaciones, se consiguen muchos puntos para acabar hackeado.

Existen soluciones como ManageWP para ayudarnos a gestionar las actualizaciones de WordPress desde un mismo sitio, aunque tengamos muchos sitios WordPress.

No Usar Plugins o Themes Piratas

Esto también es un clásico. Muchos de los themes o plugins de WordPress son gratuitos, pero algunos son de pago y es muy tentador descargar desde algún foro o sitio web de dudosa reputación, una versión libre del plugin o theme que se está buscando.

En la gran mayoría de los casos se acabará infectado. Esto es un hecho y aunque se instala todo parezca ir bien, posiblemente los problemas aparecerán tarde o temprano.

No usar plugins o themes piratas en WordPress.

En caso de no querer o poder pagar, usar una alternativa gratuita. Este punto es importante.


Hosting WordPress – Además de Seguridad…

Como hemos comentado antes, en Hostinet nos tomamos muy en serio la seguridad, pero también somos conscientes de que, además de la seguridad, un buen hosting WordPress tiene que tener más características.

Por eso en Hostinet hemos creado una planes de alojamiento web WordPress con discos SSD, panel de control cPanel, soporte técnico avanzado, atención telefónica, certificados SSL gratuitos y muchas cosas más…

Aquí podéis ver algunas de las opciones de Hosting WordPress que podéis encontrar en Hostinet:

  • Hosting especializado en WordPress con discos SSDWordPress 1desde4´38€ / mes
  • Hosting especializado en WordPress con discos SSDWordPress 2desde5´54€ / mes
  • Hosting especializado en WordPress con discos SSDWordPress 3desde8´34€ / mes
  • Hosting especializado en WordPress con discos SSDWordPress 1desde4´38€/mes
  • Hosting especializado en WordPress con discos SSDWordPress 2desde5´54€/mes
  • Hosting especializado en WordPress con discos SSDWordPress 3desde8´34€/mes
    • Almacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSD
    • El espacio en disco es la suma del espacio que ocupan los archivos que forman la web y el correo electrónico.
    • La transferencia de datos mensual es la cantidad total de información que se descargan los visitantes de nuestra web en cada acceso más nuestro uso a través de FTP y correo.
    • Ideado para sacar el máximo partido a tu WordPress
    • Aumenta la velocidad de tu web + Info
    • Tras evaluación de nuestro equipo de migraciones
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Elige la versión de PHP que necesites
    • Certificado SSL autofirmadoCertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUI
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM, .INFO, .NET, .ORG ó .EU.
    • Migramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a Hostinet
    • Ideado para sacar el máximo partido a tu WordPress
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Hosting específicamente preparado para sacar el máximo rendimiento a tu Wordpress
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM, .INFO, .NET, .ORG ó .EU.
    • Cada dominio alojado muestra un contenido único y diferente del resto
    • Aparcando un dominio secundario en el alojamiento de nuestro dominio principal conseguimos que ambos dominios resuelvan indistintamente con la misma página que tenemos colgada.
    • Cuentas de correo gestionables a través de POP, IMAP y servicio Webmail
    • Tus buzones de correo y mails limpios de virus y con un potente filtro antispam
    • Centro de datos en Madrid (España)
    • Opción de contratación de IP dedicadaPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUI
    • Opción de contratación de certificados SSL. Se requiere Ip dedicada.Puedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUI
    • Bases de datos MySQL disponibles para su uso en cada alojamiento web
    • ¿Quieres realizar desarrollos con Python? En Hostinet innovamos dia a dia en tu beneficio y por ello te presentamos como última novedad en todos nuestros servidores Web la posibilidad de desplegar tus aplicaciones con Python directamente desde el cPanel de tu Hosting.
    • ¿Quieres desarrollar tus aplicaciones con Ruby? En Hostinet te presentamos como última novedad en todos nuestros servicios de Hosting Web la posibilidad de desplegar tus aplicaciones con Ruby on Rails directamente desde el panel de control cPanel.
    • El fichero .htaccess permite modificar diferentes variables en la configuración de nuestra cuenta de alojamiento en el servidor.
    • El módulo mod_rewrite permite crear direcciones URL alternativas a las dinámicas generadas por la programación de nuestros sitio web (blog, foro, portal…), de tal modo que sean más legibles y fáciles de recordar
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web. Soporte en español por personal de Hostinet.
    • Completa recopilación de tutoriales sobre Hosting, Dominios y Wordpress
    • 30 dias para probar tu servicio de Hosting y si no te convence el servicio... te devolvemos el dinero!!

¿Quieres Ganar Dinero con Hostinet?

programa de afiliados de Hostinet

¡Puedes hacerlo! Desde el programa de Afiliados de Hostinet puedes conseguir comisiones de por vida si nos traes a nuevos clientes a Hostinet.

Hasta un 30% de comisión por cada alojamiento web ¡¡incluidas las renovaciones!!

Entra en el programa de Afiliados de Hostinet y date de alta totalmente gratis.

programa de afiliados de Hostinet