Se ha detectado código maliciosos, o backdoor code, en el famoso plugin de WordPress Display Widgets, con el cual podíamos personalizar en qué paginas se mostraban los widgets de nuestro sitio.
Con más de 200.000 instalaciones en los últimos dos meses y medio, el código malicioso ha sido localizado en las versiones 2.6.1 del 30 de junio, y la 2.6.3 del 2 de septiembre. El equipo de WordPress ha eliminado el plugin de los repositorios oficiales.
Este código malicioso contenido en el plugin lo que hace es recolectar información sobre el tráfico de nuestro sitio y enviarlo a un tercero. Entre los datos que se recogían podemos destacar la IP del visitante, navegador utilizado, páginas vistas, etc.
Aunque dicho plugin ya no se encuentra en los repositorios, en el caso de que lo tengamos instalado, WordPress nos informará de las actualizaciones disponibles del mismo. En todo caso, y hasta nueva información, se recomienda su desinstalación y borrado del servidor ya que este problema de seguridad es recurrente en este plugin.