Las herramientas de creación y gestión de contenidos, y de páginas web, han posibilitado que esta gestión sea mucho más accesible a millones de personas. WordPress es uno de los CMS, o sistemas de gestión de contenidos más usados de todo el mundo. Mediante él se pueden crear páginas web, desde cero o a través de miles de diseños y temas disponibles, que se pueden personalizar casi hasta el infinito. Precisamente esta es una de las causas de su éxito. Esta personalización se basa en extensiones y plugins (complementos), desarrollados por terceros. Muchos de estos plugins son gratuitos, y otros son de pago, pero todos ellos permiten a los creadores de la web realizar múltiples cambios sin necesidad de tener profundos conocimientos de programación.
El problema es que estos complementos, como decíamos, están desarrollados por terceros, y algunos de estos complementos han sido detectados como fraudulentos. La compañía de ciberseguridad G DATA ha advertido de trampas colocadas por ciberdelincuentes en algunos complementos para WordPress.
La mayoría de los plugins que se pueden instalar en las webs de WordPress están disponibles a través de la propia plataforma de gestión de contenidos. Como si de un marketplace se tratara, tan solo hay que buscarlo, seleccionarlo y descargarlo, para posteriormente instalarlo en nuestro WordPress.
Sin embargo, algunos de estos complementos se encuentran en webs externas, y hay que descargarlos en el propio equipo del usuario e instalarlos desde el ordenador al WordPress de nuestra web. G DATA ha localizado una de estas webs de complementos que ofertaba miles de plugins modificados con código malicioso. Los complementos estaban disponibles de forma gratuita, y además la web está muy bien posicionada en Google, por lo que llegar hasta ella era muy fácil para los usuarios y potenciales víctimas.
Una vez que se instalaban en WordPress, estos plugins maliciosos podían mostrar anuncios no deseados e incluso crear una backdoor o puerta trasera, a través de la que los ciberdelincuentes podían acceder y plagar el sitio web de malware. Los investigadores han realizado un informe sobre este caso que se puede consultar aquí.
Como consejos, siempre se deben contrastar las fuentes desde las que nos descargamos temas y plugins para WordPress o cualquier otro CMS, asegurándonos de que provienen de fuentes oficiales y desarrolladores fiables.