**Detectan una puerta trasera activa desde hace cinco años en el plugin Quick Page/Post Redirect de WordPress**
—
### 1. Introducción
El ecosistema de WordPress ha vuelto a quedar en entredicho tras el descubrimiento de una puerta trasera en el popular plugin Quick Page/Post Redirect. Esta extensión, instalada en más de 70.000 sitios web, ha albergado código malicioso durante al menos cinco años, permitiendo la inyección remota de código arbitrario. Este hallazgo pone de relieve la importancia de auditar de manera continua los complementos de terceros y refuerza la necesidad de adoptar estrategias defensivas proactivas.
—
### 2. Contexto del Incidente
Quick Page/Post Redirect es un plugin ampliamente utilizado para gestionar redirecciones 301 y 302 en WordPress, facilitando tareas habituales de SEO y mantenimiento web. El plugin, mantenido en el repositorio oficial de WordPress, fue adquirido en 2018 por un nuevo desarrollador. Según la investigación publicada recientemente, poco después de este cambio de propiedad se introdujo un fragmento de código ofuscado que ha permanecido operativo hasta 2024, exponiendo miles de sitios web a compromisos severos.
La puerta trasera pasó desapercibida durante varias auditorías de seguridad y sólo fue identificada tras una revisión exhaustiva motivada por reportes de actividad anómala en sitios afectados. Aunque la vulnerabilidad se ha catalogado como crítica, aún no se ha publicado un parche oficial y el plugin ha sido retirado temporalmente del repositorio de WordPress.
—
### 3. Detalles Técnicos
El backdoor se encuentra en versiones del plugin posteriores a la 5.0.8, distribuidas a partir de 2018. El código malicioso está ofuscado y permite a un atacante remoto ejecutar comandos PHP arbitrarios en el servidor del sitio vulnerable. El atacante puede, mediante el envío de peticiones POST especialmente diseñadas, inyectar y ejecutar código a voluntad, sin requerir autenticación previa.
**CVE asignado**: CVE-2024-XXX (pendiente de confirmación oficial).
**Vectores de ataque:**
– Inyección de código PHP vía peticiones POST.
– Persistencia a través de actualizaciones y modificaciones en archivos core del plugin.
– Creación de puertas traseras adicionales (web shells, cuentas de administrador ocultas).
**TTPs (MITRE ATT&CK):**
– Initial Access: Exploit Public-Facing Application (T1190)
– Execution: Command and Scripting Interpreter: PHP (T1059.005)
– Persistence: Web Shell (T1505.003)
– Defense Evasion: Obfuscated Files or Information (T1027)
**Indicadores de Compromiso (IoC):**
– Presencia de archivos PHP no documentados en el directorio del plugin.
– Entradas sospechosas en logs de acceso referentes a solicitudes POST sin autenticación.
– Códigos ofuscados con funciones como `base64_decode`, `eval` o `gzuncompress` en archivos del plugin.
—
### 4. Impacto y Riesgos
El impacto potencial de esta vulnerabilidad es elevado:
– **Ejecución remota de código**: Los atacantes pueden tomar el control total del sitio afectado.
– **Riesgo de escalada**: Permite la instalación silenciosa de otros malware, ransomware o la inclusión de cryptominers.
– **Exposición de datos**: Acceso a datos sensibles de usuarios, bases de datos y credenciales.
– **SEO y reputación**: Redirecciones maliciosas, spam y penalizaciones por parte de motores de búsqueda.
– **Cumplimiento normativo**: Incumplimiento de GDPR y NIS2 por exposición de datos personales o interrupción de servicios críticos.
Según estimaciones actuales, más del 85% de los sitios con versiones vulnerables permanecen expuestos debido a la falta de actualizaciones o conocimiento del incidente.
—
### 5. Medidas de Mitigación y Recomendaciones
– **Desinstalar inmediatamente** el plugin Quick Page/Post Redirect en cualquier versión afectada.
– **Auditar los sistemas** en busca de IoC mencionados y eliminar cualquier archivo o usuario sospechoso.
– **Cambiar las credenciales** de acceso administrativo y de bases de datos.
– **Monitorizar logs** de acceso y errores para identificar actividad maliciosa reciente.
– **Actualizar WordPress y plugins** a sus últimas versiones, y evitar el uso de extensiones sin mantenimiento activo.
– Implementar soluciones de seguridad proactiva, como WAF, EDR y monitorización SIEM.
– Realizar backup y pruebas de restauración para asegurar la continuidad del negocio.
—
### 6. Opinión de Expertos
Especialistas en ciberseguridad como Daniel Cid (Fundador de Sucuri) advierten que “la falta de control sobre la cadena de propiedad y la revisión insuficiente de código fuente en plugins populares representa un punto crítico para la seguridad de toda la comunidad WordPress”. Analistas SOC y pentesters coinciden en que este caso es paradigmático de los riesgos inherentes al uso indiscriminado de software de terceros sin auditoría continua.
—
### 7. Implicaciones para Empresas y Usuarios
Para empresas bajo el marco regulatorio de GDPR o la directiva NIS2, un incidente de este tipo puede derivar en sanciones económicas significativas y daños reputacionales. La presencia de una puerta trasera activa durante años pone en duda la integridad de los procesos de control y obliga a revisar procedimientos de gestión de vulnerabilidades y due diligence en la selección de proveedores y plugins.
Los administradores de sistemas y responsables de ciberseguridad deben reforzar la supervisión de los activos WordPress de la organización y considerar la inclusión de escáneres de integridad y análisis de código estático en sus pipelines CI/CD.
—
### 8. Conclusiones
El caso del plugin Quick Page/Post Redirect ilustra la necesidad de mantener una vigilancia continua sobre los componentes de software de terceros, especialmente en plataformas tan extendidas como WordPress. La introducción de puertas traseras a largo plazo, combinada con la falta de parches y revisiones profundas, plantea riesgos críticos tanto para la seguridad como para el cumplimiento regulatorio de las organizaciones. La adopción de buenas prácticas de ciberhigiene y la colaboración activa con la comunidad de seguridad son hoy más imprescindibles que nunca.
(Fuente: www.bleepingcomputer.com)