El crimen perfecto en el mundo de WordPress: un plugin popular mantuvo engañados a sus usuarios durante cinco años.
Los propietarios de 70.000 instalaciones ni siquiera sabían que habían dejado el acceso abierto a desconocidos.
Un popular plugin para WordPress pudo pasar durante años como una puerta inadvertida hacia sitios ajenos. No se trata de una extensión poco conocida de origen dudoso, sino de Quick Page/Post Redirect, que fue utilizado por más de 70 000 recursos para redirecciones habituales de páginas y entradas.
El problema lo descubrió Austin Ginder, fundador del proveedor de hosting Anchor. El aviso se produjo por una alerta del sistema de seguridad que se activó simultáneamente en 12 sitios infectados de la infraestructura de la empresa. La verificación mostró que en Quick Page/Post Redirect hace ya varios años se añadió un mecanismo oculto que permitía cargar código arbitrario eludiendo el control de WordPress.org.
Según Ginder, la lógica maliciosa estuvo presente en las versiones oficiales 5.2.1 y 5.2.2, publicadas en 2020–2021. Dentro de la extensión había un mecanismo de actualización propio que contactaba con el dominio externo anadnet[.]com. A través de él, el operador podía sustituir el código del plugin sin la intervención del catálogo WordPress.org y sin la revisión habitual por parte del equipo de la plataforma.
En febrero de 2021 se eliminó el mecanismo sospechoso de las versiones posteriores, pero el código no llegó a someterse a un análisis completo. Ya en marzo, los sitios con Quick Page/Post Redirect 5.2.1 y 5.2.2, según Ginder, recibieron de forma imperceptible una compilación modificada 5.2.3 desde el servidor externo w.anadnet[.]com. Dicha compilación tenía un hash distinto al de la versión 5.2.3 disponible a través de WordPress.org y contenía una puerta trasera pasiva.
La función oculta se activaba solo para usuarios que no habían iniciado sesión en el panel de administración. Ese enfoque ayudaba a ocultar la actividad a los propietarios de los sitios. El código se conectaba al contenido de las páginas y obtenía datos del servidor anadnet. Ginder asocia el esquema con SEO parasitario, por el cual sitios ajenos podían utilizarse para promocionar páginas externas en los resultados de búsqueda.
WordPress.org eliminó temporalmente Quick Page/Post Redirect del catálogo mientras se realizaba la comprobación. Aún no está claro si la puerta trasera fue añadida por el propio autor del complemento o si su cuenta o su infraestructura fueron comprometidas por terceros.
El principal riesgo no está solo en la función oculta ya encontrada, sino en el propio mecanismo de actualización externa. Actualmente el subdominio de control malicioso no responde, pero el dominio principal sigue activo, y en aproximadamente 70 000 instalaciones aún puede mantenerse la comprobación de actualizaciones a través de anadnet. Se aconseja a los propietarios de los sitios afectados que eliminen la extensión y la reemplacen por la versión limpia 5.2.4 desde WordPress.org, cuando vuelva a aparecer en el catálogo.