¿Alguna vez te has puesto a pensar sobre el motivo por el cual existen plugins con código malicioso? Ese será el objetivo del artículo que detallaremos el día de hoy, en donde además de intentar descifrar la razón por la cual existen este tipo de elementos maliciosos, también sugeriremos la forma de evitar su presencia en nuestro blog de WordPress principalmente.

Si bien es cierto que un código malicioso puede presentarse en cualquier entorno web (un sitio, un blog de WordPress, una tienda online de Prestashop entre otros cuantos mas), por esta ocasión nos dedicaremos de forma específica, a los plugins que podrían estar afectando a la plataforma de WordPress y por tanto, a nuestro personal o comercial.

Basándonos en un viejo adagio que sugiere que «usted obtiene lo que paga», podría llegar a decirse que el origen de un ranking en nuestro blog de WordPress está vinculado de forma específica con este pensamiento. Dicho de otra manera, cuando adquirimos un plugin gratuito y con algún tipo de restricciones, generalmente lo descargaremos desde el repositorio de la plataforma, situación que en cambio es diferente, cuando el autor de este plugin sugiere un pago determinado por una versión premium o profesional, ello para tener mejores beneficios que harán de nuestro blog, un entorno eficiente.

plugin de pago en WordPress

Cuando llega a ocurrir este último aspecto, la mayoría de personas suelen dirigirse hacia sitios ilegales (como por ejemplo, a torrent) para tratar de encontrar al mismo plugin pero en una versión profesional o de pago, de forma gratuita e ilegal; ¿es realmente peligroso si realizamos este tipo de actividades? Casi podríamos asegurar que «si», algo que está muy bien fundamentado y que se ha llegado a investigar por parte de expertos, quienes han descubierto la forma de actuar de quienes proponen a plugins que en su interior, existe un código malicioso. Para ello mencionaremos a 2 sencillos ejemplos que puedes tomar como una ligera reflexión antes de realizar este tipo de actividades.

Plantilla de WordPress de pago conseguido gratis y legalmente. A alguien se le ocurrió la magnífica idea de empezar a buscar temas de WordPress que se acoplen a su blog de WordPress; para ello se dirigió hacia aquellos sitios en donde los desarrolladores de estas plantillas proponen a muchos de estos temas, los cuales llegaron a tener un precio considerablemente alto (aproximadamente unos 100 dólares). Luego de haber encontrado el tema que ha sido de su interés, con el nombre del mismo y del desarrollador se dirigía hacia un sitio web ilegal, en donde lograba encontrar fácilmente lo que necesitaba, pero sin tener que pagar a aquellos 100 dólares en la versión premium.

¿Cual fue el problema con esta opción?

Resulta que este bloguero llegó a tener una gran cantidad de artículos, mismos que en un proceso normal hubiesen generado un tráfico de calidad excepcional en su plataforma de WordPress. Lastimosamente la situación no era así, pues a pesar de que en Google Analytics se reflejaba una gran cantidad de visitantes, absolutamente nada aparecía en Google AdSense, pues en este último servicio los ingresos eran nulos. Luego de un buen tiempo, este bloguero decidió analizar cada rincón del código del tema que había conseguido, logrando notar que en el mismo tenía de forma predeterminada la configuración de anuncios de Adsense de un usuario diferente, a quien le estaban llegando todos los ingresos que originalmente, le competían a él. Claro que este problema puede ser solucionado variando a dicho código, aunque éste ha sido un ligero ejemplo de lo que podríamos estar encontrando con este tipo de actividades.

Pero hemos mencionado que vamos a sugerir 2 ejemplos, siendo el segundo el siguiente. A un experto bloguero en un momento determinado se le pidió analizar una página web (lastimosamente no podemos mencionar el nombre de dicho personaje), quien luego de haber realizado su trabajo por cada uno de los rincones de dichos blogs, encontró que los mismos estaban infectados por un código malicioso. Por increíble que parezca, ello estaba presente en un plugin (con el nombre de SEOPresor), mismo que es considerado como uno de los más prestigiosos del momento y que tiene un valor bastante alto.

¿Qué es lo que ocurrió en este caso?

Pues simplemente, este plugin al parecer fue conseguido de forma ilegal para ser instalado en dicho blog (es por dicho motivo que nos hemos dado detalles ni del blog ni del investigador en mención), el cual tenía en su interior a un código malicioso que llegaba a generar determinados parámetros para conseguir toda la información que se iba generando en el sitio en donde el mismo se haya alojado.

¿Por qué se llegan a crear estos plugins con código malicioso?

De manera general, el código malicioso que llega a insertarse dentro de un plugin para un blog de WordPress cualquiera, intentará captar toda la atención que se vaya generando en este entorno. Visitas, comentarios, correos electrónicos y muchos otros aspectos más será lo que vaya recolectando este plugin adulterado, estando también la posibilidad de poder redireccionar el tráfico hacia otros blogs de WordPress, los cuales generalmente pudiesen ser administrados por el hacker que manipuló el código del plugin que se ha conseguido de forma ilegal.

¿Cómo se infectan los plugins?

Esta es una situación muy interesante para analizar y que vino a ser el motivo por el cual decidimos redactar el presente artículo. Según unas cuantas investigaciones hechas por parte de blogueros profesionales, quien actúa como hacker podría llegar a adquirir bajo cualquier modalidad (generalmente comprando por primera vez un plugin) a estos elementos, mismo que posteriormente lo llegará a modificar según sea su conveniencia, ello para que actúe según lo que sugerimos anteriormente.

plugin adulterado

Lo mejor de todo (para el hacker) es que estos plugins adulterados no tienen prácticamente ninguna diferencia con los que son «sanos», lo cual quiere decir que podrían tener el mismo peso, las mismas características en cuanto a funciones de trabajo, similares opciones para configurar al plugin, formato comprimido en Zip entre otros aspectos más. La diferencia (que generalmente nadie lo llega a notar) se encuentra en el código malicioso que está presente dentro de este plugin.

¿Cómo prevenirnos de plugins infectados?

Debido a la importancia de este tema tratado, a continuación sugeriremos con unos cuantos consejos, lo que un redactor, bloguero o administrador de WordPress tendría que realizar para tratar de evitar inconvenientes en su blog al utilizar plugins desde páginas ilegales.

1. Utilizar plugins gratuitos únicamente desde WordPress

Quizá ya lo estaba presintiendo, aunque vale la pena mencionarlo por si no has tomado en cuenta a esta alternativa. Si queremos utilizar un plugin gratuito para nuestro blog de WordPress, no deberíamos tomar en cuenta el limitante que pueden llegar a ofrecer sus autores en algunos de ellos sino más bien, la seguridad que vamos a sentir al instalarlos en nuestro sitio web. Para ello, solamente tienes que ir hacia el repositorio de los plugin de WordPress y no, a sitios fuera del mismo.

¿Por que realizar esto? Simplemente porque los plugins que se encuentran presentes en el repositorio tienen que pasar por determinadas normas estrictas, pues caso contrario, no serán aceptados en este entorno.

2. Utilizar sitios web oficiales del desarrollador del plugin

Bajo ningún pretexto se debería de descargar plugins en versión premium desde cualquier sitio web al azar sino más bien, desde aquel que pertenece al desarrollador del mismo. Tampoco hay que dirigirse a los distintos foros en donde se habla de este plugin específico, pues allí generalmente se podrían llegar a sugerir una dirección URL ilegal. Si no conoces el sitio en donde está el plugin oficial, sólo tendrías que colocar el nombre en el motor de búsqueda de Google y nada más, acción que te facilitara como resultado, a la web oficial de quien lo ha desarrollado.

Si lo antes sugerido es uno de los aspectos más importante para tomar en cuenta, más aún lo que sugeriremos en este momento. No llegues a comprar un plugin en un sitio ilegal, ello a pesar de que allí se ofrezca un precio relativamente bajo o un descuento en comparación a que ofrece el desarrollador en su sitio web, pues ello involucra a motivar el robo y la estafa.

3. Investigar al autor del plugin

Si hemos colocado algún término específico que se vincule con un plugin dentro de motor de búsqueda interno de nuestro blog, no deberíamos de elegir al primero de ellos sino más bien, debemos hacer una pequeña investigación sobre aquel que pudiese tener una buena calificación en cuanto al número de estrellas.

Anteriormente habíamos sugerido una serie de capítulos en donde proponíamos la forma idónea, de poder elegir perfectamente bien al plugin con el que vamos a trabajar, algo que involucra (de manera general) al prestigio del autor, el número de descargas, si ha sido actualizado frecuentemente entre otros cuantos aspectos más.

4. Nunca robar los plugins

Si colaboramos con aquellos hackers que pudieron haber colocado un plugin en un repositorio diferente al de WordPress, ello involucra una actividad sospechosa, más aún si el plugin es gratuito en la misma plataforma. Ahora bien, si nos hemos interesado en la versión profesional o premium de este mismo plugin, por  principio deberíamos de tratar de comprar al mismo desde el sitio oficial del desarrollador, algo que no se encuentra dentro del repositorio, pues el pago se lo tendrá que realizar desde una página web diferente pero, que sea la oficial.

Al haber sugerido que no tendremos que robar a los plugins también estaríamos haciendo referencia de forma implícita, al hecho de que nosotros solicitemos a algún amigo que nos regale, el plugin que ha adquirido anteriormente. No sabemos si nuestro «amigo» lo ha conseguido legalmente aunque, si lo llegó a comprar desde el sitio oficial, tampoco es buena idea que se nos obsequie al mismo, pues con ello simplemente estaríamos perjudicando al autor de este plugin.

Conclusiones

Hemos sugerido únicamente a 4 aspectos que para nosotros, son los más importantes a la hora de aconsejar comprar un plugin desde la web oficial del desarrollador, aunque si no tenemos dinero para adquirirlo bajo esta modalidad, entonces tendremos que conformarnos con la versión gratuita que generalmente se encuentra en el repositorio de WordPress. Con ello debemos aceptar las condiciones de uso de licencia que ha propuesto su desarrollador, lo cual quiere decir, que los limitantes estarán presentes dentro de cada uno de estos plugins.

Ahora bien, si un plugin de pago es demasiado costoso para que lo adquiramos de forma legal entonces deberíamos de buscar a alguna otra alternativa que cumpla con la mayoría de sus funciones; existen muchos plugins que también están colocados en el repositorio y que podrían competir eficazmente con aquellos de pago o premium, en donde los desarrolladores suelen requerir una pequeña donación que generalmente, no va más allá de unos 10 o 20 dólares. En el mejor de los casos (para nosotros), quien ha propuesto este plugin también suele sugerir que se haga una «cobertura» (review) de este plugin como forma de pago al mismo, existiendo también la posibilidad de publicar en las redes sociales (Facebook o Twitter) de forma pública, que nosotros nos hemos inclinado por utilizar esta propuesta para el crecimiento de nuestro blog.

Si quieres que tu blog de WordPress funcione perfectamente bien y con el soporte respectivo ofrecido por el desarrollador de estos plugins, entonces te sugerimos que realices la compra de aquel en el que te has interesado, aunque siempre midiendo los alcances hacia donde necesitamos llegar. Esto último lo hemos sugerido debido al ejemplo que colocamos al inicio, pues el plugin llamado SEOpresor suele ser demasiado costoso para cualquier bolsillo, ya que son 500 dólares los que tendrías que pagar si necesitas utilizar a este plugin de por vida según lo informa la web oficial. Si estas iniciándote con un blog de WordPress, con seguridad que no desearás ni siquiera revisar las bondades que te ofrece su desarrollador en su propuesta, pues si aún no has llegado a monetizar ampliamente a tu blog de WordPress, sería una mala idea arriesgarse con algo que posiblemente no nos llegue a funcionar perfectamente bien en el sitio web.