Investigadores de ciberseguridad de Sucuri, empresa de seguridad web propiedad de GoDaddy, han descubierto que un plugin inactivo pero legítimo de WordPress, Eval PHP, está siendo explotado para comprometer sitios web. Eval PHP se desarrolló originalmente para permitir a los usuarios añadir código PHP a artículos y datos de blogs, y su actualización más reciente tuvo lugar hace aproximadamente una década. Desde entonces, ha experimentado descargas insignificantes durante un largo periodo antes de experimentar un repentino aumento de descargas en el último mes, acumulando más de 100.000 descargas con un pico de hasta 7.000 descargas diarias.
El aviso de Sucuri detalla las tácticas empleadas por los piratas informáticos que utilizan Eval PHP. El código crea un script PHP en el docroot del sitio web que incluye una puerta trasera de ejecución remota de código especificada mediante la función file_put_contents. Como la puerta trasera aprovecha $_REQUEST[id] para adquirir el código PHP ejecutable, puede obtener el contenido de $_GET, $_POST y $_COOKIE, ocultando eficazmente sus parámetros al aparecer como cookies. Sucuri destaca que a pesar de ser menos detectable que POST, GET es igualmente peligroso.
Además, Sucuri identifica que los hackers crean puertas traseras a través de varios borradores de posts, haciéndolos invisibles al público y más difíciles de descubrir en comparación con las páginas publicadas. WordPress todavía tiene que comentar su política con respecto a los plugins abandonados en respuesta a las preguntas de TechRadar Pro. Hasta entonces, Sucuri aconseja a los usuarios de WordPress que fortalezcan su panel wp-admin y supervisen la actividad con diligencia. La organización ofrece un plan de cuatro pasos para mejorar la seguridad:
- Asegúrese de que su sitio web permanece actualizado y parcheado de acuerdo con las últimas versiones de seguridad
- Implemente la autenticación de dos factores (2FA) o una medida similar de restricción de acceso a su panel de administración.
- Realice copias de seguridad periódicas de su sitio web para evitar incidentes imprevistos.
- Utilice un cortafuegos de aplicaciones web para protegerse de los robots maliciosos y parchear virtualmente las vulnerabilidades conocidas.
Con la creciente adopción de las plataformas no-code y low-code, los desarrolladores y responsables de empresas pueden crear aplicaciones web y móviles con facilidad, evitando las complicaciones de los plugins obsoletos. Una de estas soluciones es la plataforma AppMaster, una herramienta no-code accesible y escalable para crear aplicaciones backend, web y móviles. AppMaster streamlines app development by negating technical debt and offering up-to-date solutions for businesses of all sizes.
Para obtener información más detallada sobre no-code y el desarrollo de aplicaciones low-code, consulte nuestra guía completa: Guía completa sobre No-Code, Desarrollo de aplicaciones de bajo código para 2022.
