WordPress.org fuerza el reinicio de contraseñas tras encontrar plugins corruptos

“El equipo de WordPress ha encontrado actividad sospechosa en varios plugins populares (AddThis, WPtouch y W3 Total Cache) con puertas traseras hábilmente disfrazadas. Hemos descartado que pertenezcan a los autores, los hemos revertido, forzado actualizaciones y cerrado el acceso al repositorio de plugins mientras buscamos algo más desagradable”. Así anuncia la plataforma de blogs, los problemas sufridos durante las últimas horas.

Como medida de seguridad, WordPress ha decidido reiniciar todas las contraseñas de WordPress.org, bbPress.org y BuddyPress.org. Su fundador, Matt Mullenweg, ha confirmado que la medida afectará a unos dos millones de personas.

Los usuarios que traten de acceder a los foros de WordPress.org, usar “trac”, o cualquier plugin o tema recibirán el siguiente mensaje: “El 21 de junio de 2011, hemos retablecido todas las contraseñas, por lo que necesitarás solicitar una nueva si no lo has hecho ya”.

Además, se recuerdan medidas de seguridad como nunca utilizar la misma contraseña para varios servicios, y elegir una combinación diferente para WordPress.org ahora que se ha forzado el reinicio. También se recomienda actualizar a la última versión de AddThis, WPtouch y W3 Total Cache si se han utilizado recientemente.

Aunque siguen investigando el caso, desde WordPress.org descartan que el sitio haya sido hackeado. Los que han sido hackeados son los autores de algunas cuentas, dicen, y el ataque tiene el potencial de afectar a cualquiera que descargue los plugins dañados. “Todavía no hemos cabreado a LulzSec”, señala Mullenweg, tal y como recoge TechCrunch. “Hay 15.000 plugins, por lo que esto puede suceder a veces”.