Los administradores de sitios en WordPress se han encontrado con una noticia que ha estremecido a la comunidad: uno de los plugins más populares, Gravity Forms, sufrió un ataque de malware que puso en jaque la seguridad de miles de páginas web.
Según informes recientes, varias versiones descargadas manualmente de Gravity Forms fueron comprometidas, permitiendo a los atacantes el control remoto de los sitios afectados y el robo de información confidencial.
Cómo se descubrió el ataque a Gravity Forms en WordPress
De acuerdo con la información publicada, la alerta surgió cuando empresas de ciberseguridad como Patchstack notaron actividad sospechosa en los archivos del conocido plugin. El ataque, identificado como uno de tipo cadena de suministro, consistió en inyectar malware en las versiones 2.9.11.1 y 2.9.12 que podían ser descargadas directamente desde la web oficial entre el 10 y el 11 de julio.
Estos archivos maliciosos enviaban información del sitio y del servidor a un dominio externo controlado por los atacantes. Además, la amenaza permitía ejecutar código remotamente, lo que abría la puerta a acciones como eliminar usuarios, ver archivos críticos como wp-config.php o instalar nuevas puertas traseras.
El método de distribución explotó la confianza en las descargas directas. Las versiones afectadas estaban disponibles solo por corta duración y, según la fuente oficial, las actualizaciones automáticas nunca estuvieron comprometidas, manteniendo a salvo a quienes confiaron en el sistema integrado de actualizaciones de WordPress.
Este caso resalta la importancia de utilizar siempre métodos oficiales y automáticos de actualización, reduciendo el riesgo de instalar paquetes modificados por terceros.
Consecuencias para los usuarios y riesgos asociados al malware
Según los expertos, el malware insertado en Gravity Forms era mucho más que una simple amenaza: permitía a los atacantes crear cuentas de administrador ocultas y otorgarse permisos totales dentro de la web infectada.
El código malicioso no solo posibilitaba la recopilación masiva de metadatos del sitio, sino que activaba conexiones sospechosas hacia el dominio gravityapi.org, registrado pocos días antes del ataque. Esta comunicación era el puente para la descarga e instalación de otras amenazas en los sitios afectados.
Entre las acciones que el malware podía ejecutar, destacan:
- Subida de archivos arbitrarios al servidor.
- Listado y eliminación de usuarios en WordPress.
- Acceso y exploración de carpetas y archivos, incluyendo información sensible.
- Bloqueo de intentos de actualización del plugin comprometido, dificultando su limpieza.
Para los administradores de páginas web, estas capacidades suponen un riesgo grave de robo de información, pérdida de control del sitio y posible daño a la reputación online.
Respuestas y recomendaciones tras el incidente
Frente al incidente, la empresa responsable, RocketGenius, actuó con celeridad. Según su comunicado oficial, el ataque fue contenido el mismo día que se detectó y se publicaron actualizaciones limpias (versión 2.9.13) recomendando su instalación inmediata.
Las fuentes recomiendan que todos aquellos que descargaron versiones afectadas entre el 9 y el 11 de julio deberían eliminar el plugin, reinstalarlo con una versión limpia y revisar si existen cuentas de administrador desconocidas.
Otras sugerencias de las compañías de seguridad incluyen:
- Realizar una auditoría de usuarios y plugins instalados.
- Comprobar los archivos modificados recientemente en el servidor.
- Restaurar una copia de seguridad anterior al 9 de julio, si hay sospechas de infección.
- Actualizar todas las contraseñas y credenciales de acceso.
- Bloquear el dominio gravityapi.org y cualquier dirección IP sospechosa detectada.
Para verificar si un sitio está infectado, algunas fuentes sugieren visitar URLs específicas en la instalación de WordPress. Si aparece un mensaje de advertencia o error, podría ser un indicio de que el plugin fue comprometido.
Impacto en la comunidad WordPress y cómo mejorar la seguridad
El ataque a Gravity Forms ha encendido las alarmas entre la comunidad de administradores y desarrolladores de WordPress. Si bien la mayoría de los usuarios que utilizan las actualizaciones automáticas y servicios oficiales no se ha visto afectada, la situación demuestra lo esencial que es actuar rápidamente ante incidencias de seguridad.
Este incidente también pone en valor la necesidad de mantener una política activa de copias de seguridad y revisiones periódicas de los plugins instalados, además de vigilar cualquier actividad inusual en los sitios web.
Para más información sobre cómo proteger tu WordPress y recibir alertas sobre vulnerabilidades de plugins, puedes consultar nuestra sección de seguridad en WordPress o visitar portales de referencia como Search Engine Journal.
Actualizar, auditar y actuar ante la mínima sospecha sigue siendo el mantra para quienes desean mantener a salvo sus webs.
Fuente: https://www.searchenginejournal.com/malware-discovered-in-gravity-forms-wordpress-plugin/550997/