Investigadores de seguridad han descubierto malware sofisticado dirigido a sitios web de WordPress, aprovechando puertas traseras ocultas para permitir la ejecución remota de código (RCE).
Estos ataques explotan vulnerabilidades en las funciones y complementos principales de WordPress, lo que permite a los piratas informáticos obtener acceso no autorizado, ejecutar código arbitrario y mantener el control sobre los sitios comprometidos.
Los hallazgos resaltan la necesidad crítica de medidas de seguridad sólidas en los entornos de WordPress.
Explotación de las vulnerabilidades de WordPress para acceso persistente
Un caso notable involucró a atacantes que incorporaron scripts maliciosos dentro del directorio Must-Use Plugins (mu-plugins), una carpeta especial de WordPress que carga automáticamente complementos en cada carga de página sin necesidad de activación.
Al colocar código PHP ofuscado en este directorio, los atacantes aseguraron la persistencia mientras evadían la detección.
El código malicioso recuperó y ejecutó cargas útiles adicionales almacenadas en archivos externos, lo que permitió a los piratas informáticos ejecutar comandos de forma remota y comprometer aún más el sitio web.
El malware emplea técnicas avanzadas de ofuscación, como codificación base64 y cifrado AES, para ocultar sus cargas útiles y evitar la detección.
Una vez ejecutado, se comunica con servidores externos para recuperar scripts maliciosos adicionales o enviar datos confidenciales.
Los atacantes también utilizan funciones como eval() para ejecutar dinámicamente código PHP, lo que complica aún más los esfuerzos de detección.
En un caso, el malware aprovechó el directorio /wp-content/uploads/ para almacenar cargas útiles ofuscadas.
Estas cargas útiles fueron decodificadas y ejecutadas en el servidor, otorgando a los atacantes control total sobre el sitio.
Además, algunas variantes manipularon archivos críticos como robots.txt para redirigir el tráfico o mejorar sus campañas de spam de optimización de motores de búsqueda (SEO).
Las posibles consecuencias de tales ataques son graves:
- Toma de control completa del sitio: los piratas informáticos pueden modificar el contenido, inyectar scripts maliciosos o desfigurar sitios web.
- Robo de datos: se puede extraer información confidencial del usuario, incluidas las credenciales de inicio de sesión y los datos financieros.
- Distribución de malware: los sitios comprometidos pueden usarse para difundir malware o campañas de phishing.
- Daño a la reputación: redirigir a los visitantes o inyectar contenido spam daña la credibilidad y la clasificación SEO de un sitio web.
El aumento de las vulnerabilidades RCE en WordPress pone de relieve problemas sistémicos relacionados con prácticas de codificación inseguras y software obsoleto.
Los informes de Sucuri revelaron vulnerabilidades similares en complementos populares como “Bit File Manager” y “Security & Malware Scan by CleanTalk”, exponiendo a decenas de miles de sitios web a la explotación.
Los atacantes aprovecharon fallas en los mecanismos de carga de archivos o una desinfección insuficiente de las entradas para inyectar código malicioso.
Recomendaciones
Estas medidas son esenciales para reducir la superficie de ataque y proteger contra la evolución de las ciberamenazas dirigidas a los ecosistemas de WordPress:
- Actualice periódicamente el núcleo, los complementos y los temas de WordPress.
- Implemente firewalls para bloquear el tráfico malicioso.
- Deshabilite la ejecución de PHP en directorios como /uploads/.
- Utilice herramientas de seguridad como Sucuri o MalCare para escanear y monitorear malware.
- Realice auditorías periódicas de los complementos instalados y elimine los no utilizados o desactualizados.
