Un plugin de captcha con “backdoors” en WordPress afecta a 300.000 páginas web

Un plugin ampliamente utilizado que implementa el sistema de verificación “captcha” para sitios web con WordPress, es el responsable de que cerca de 300.000 webs sean vulnerables con una puerta trasera implementada en el mismo, algo que un atacante podría utilizar para acceder con permisos de administración sin necesidad de autenticación.

El complemento que se descargaba desde el repositorio oficial no es el que estaba afectado por esta puerta trasera, si no que una vez descargado se actualizaba automáticamente con una versión no oficial descargada desde otra dirección web y que sí que estaba afectado.

El motivo por el que esta puerta trasera esta implementada en el plugin es desconocido, sin embargo sigue siendo investigado.