El ecosistema de WordPress, que impulsa más del 40 % de los sitios web a nivel mundial, ha vuelto a ser blanco de ciberataques masivos. En esta ocasión, los investigadores han detectado una explotación activa del plugin Eval PHP, un complemento obsoleto y sin mantenimiento desde hace más de 11 años, que está siendo utilizado por atacantes para insertar backdoors en miles de sitios web comprometidos.

Esta campaña maliciosa ha sido detallada por expertos en ciberseguridad como Sucuri y CERT-PY, quienes advierten sobre el creciente número de sitios infectados y la sofisticación de los métodos utilizados para ocultar estas puertas traseras dentro del código de WordPress.

El plugin Eval PHP: una puerta trasera para los ciberdelincuentes

Eval PHP es un plugin que permite a los administradores insertar y ejecutar código PHP directamente en las publicaciones y páginas de WordPress. En teoría, esta funcionalidad estaba destinada a desarrolladores y usuarios avanzados que querían ejecutar scripts dentro del CMS sin acceder a los archivos del servidor.

Sin embargo, su potencial para ser explotado con fines maliciosos lo ha convertido en un punto débil crítico. A pesar de que WordPress finalmente eliminó el plugin del repositorio oficial el 26 de abril de 2023, el daño ya estaba hecho.

Entre septiembre de 2022 y abril de 2023, el número de descargas del plugin pasó de apenas 1 o 2 por día a más de 7.000 en marzo de 2023, alcanzando un total de más de 100.000 descargas en pocos meses. Este aumento repentino fue una clara señal de que los atacantes estaban instalando el plugin en sitios vulnerables para explotarlo.

Cómo operan los atacantes con Eval PHP

Los investigadores de Sucuri han identificado una serie de pasos y patrones que los ciberdelincuentes utilizan para tomar control de los sitios web mediante Eval PHP:

1. Acceso inicial: Los atacantes ingresan a WordPress utilizando credenciales robadas o explotando otras vulnerabilidades en el sitio.
2. Instalación del plugin: Una vez dentro, instalan Eval PHP y lo utilizan para insertar código malicioso en páginas y publicaciones.
3. Inyección de código en la base de datos: El código PHP malicioso se almacena en la tabla wp_posts de la base de datos del sitio.
4. Ejecución silenciosa: Cada vez que un usuario o el propio atacante visita una página infectada, el código se ejecuta en segundo plano sin levantar sospechas.
5. Reinfección constante: Incluso si el administrador elimina el plugin, los atacantes han insertado backdoors persistentes que permiten reactivar la infección cuando lo deseen.

Los registros analizados por Sucuri muestran que más de 6.000 sitios han sido comprometidos con este método en los últimos seis meses.

El impacto de esta vulnerabilidad en los sitios afectados

La explotación de Eval PHP no solo compromete la seguridad de los sitios web, sino que tiene consecuencias graves para administradores, empresas y visitantes:

• Pérdida de control total del sitio: Los atacantes pueden modificar archivos, crear usuarios administradores falsos y cambiar configuraciones clave.
• Uso del servidor como botnet: Sitios infectados pueden ser utilizados para lanzar ataques DDoS o enviar correos electrónicos de spam.
• Caída del SEO y reputación del sitio: Los buscadores como Google penalizan sitios web que contienen malware, reduciendo su visibilidad en los resultados de búsqueda.
• Posible robo de datos sensibles: En sitios de comercio electrónico o membresías, los atacantes pueden robar datos personales y financieros de los usuarios.

Recomendaciones para proteger su sitio de WordPress

Ante esta creciente amenaza, expertos en seguridad recomiendan tomar medidas inmediatas para prevenir la explotación de esta vulnerabilidad y mejorar la seguridad del sitio:

1. Eliminar Eval PHP de inmediato
   • Si el plugin aún está instalado en su WordPress, elimínelo de inmediato y verifique que no haya restos de código malicioso en su base de datos.
2. Monitorear actividad sospechosa en la base de datos
   • Revise la tabla wp_posts para identificar y eliminar cualquier código sospechoso que utilice las etiquetas [evalphp].
3. Actualizar constantemente WordPress, plugins y temas
   • Mantener todos los elementos del CMS actualizados minimiza la exposición a vulnerabilidades conocidas.
4. Implementar autenticación en dos pasos (2FA)
   • Limitar el acceso de administradores con un sistema de autenticación en dos pasos reducirá el riesgo de accesos no autorizados.
5. Usar un firewall y protección contra malware
   • Soluciones como Wordfence, Sucuri o Cloudflare pueden detectar y bloquear intentos de acceso sospechosos.
6. Revisar usuarios y roles administrativos
   • Eliminar cuentas desconocidas con privilegios de administrador que puedan haber sido creadas por atacantes.
7. Realizar copias de seguridad periódicas
   • Contar con copias de seguridad recientes permite restaurar un sitio limpio en caso de compromiso.

Conclusión: la importancia de la vigilancia constante

El caso del plugin Eval PHP pone de manifiesto cómo los atacantes pueden aprovechar software abandonado para comprometer miles de sitios web. La falta de mantenimiento y supervisión por parte de los administradores es un factor determinante en la propagación de estos ataques.

Si bien WordPress ha eliminado Eval PHP de su repositorio, muchos otros plugins en situaciones similares aún siguen activos y representan un riesgo. La mejor defensa contra estas amenazas es la prevención, mediante la actualización constante, la adopción de buenas prácticas de seguridad y la implementación de herramientas de monitoreo que alerten sobre actividad sospechosa.

Las empresas y administradores de WordPress deben adoptar una postura proactiva en ciberseguridad, asegurándose de que sus sitios web sean seguros, actualizados y libres de vulnerabilidades que puedan ser explotadas en el futuro.