Plugin Change Detection
ID de alerta: plugin_changes
MITRE ATT&CK: T1072 – Software Deployment Tools · T1505 – Server Software Component
Severidad / Criticidad
Sección titulada «Severidad / Criticidad»| Nivel | Condición |
|---|---|
| Baja | Actualización o desactivación de un plugin |
| Media | Activación de un plugin existente |
| Alta | Instalación o eliminación de un plugin |
¿Por qué se considera maliciosa?
Sección titulada «¿Por qué se considera maliciosa?»- Plugins maliciosos: principal vector de ataque en WordPress.
- Supply chain attacks: plugins comprometidos en repositorios oficiales o de terceros.
- Backdoors ocultos: extensiones con nombres legítimos pero código malicioso.
- Escalada de privilegios: plugins vulnerables que otorgan acceso administrativo.
- Robo de datos: plugins diseñados para extraer información sensible del sitio o de los usuarios.
¿Cuándo salta la alerta?
Sección titulada «¿Cuándo salta la alerta?»- Activación: hook
activated_plugin. - Desactivación: hook
deactivated_plugin. - Instalación:
upgrader_process_completeconaction=install. - Actualización:
upgrader_process_completeconaction=update. - Eliminación: hook
deleted_plugin.
Indicadores Técnicos (IOCs)
Sección titulada «Indicadores Técnicos (IOCs)»| Tipo | Patrón / Ejemplo | Descripción |
|---|---|---|
file_pattern | wp-striplple, wp-vcd, initiator | Plugins maliciosos conocidos |
file_pattern | eval-php, wp-filemanager | Plugins peligrosos o vulnerables |
behavior | *backup*, *clone*, *migrate* | Nombres genéricos sospechosos |
behavior | Plugins fuera de wp-content/plugins | Ubicación anómala |
behavior | Permisos 777 | Riesgo de ejecución no controlada |
Falsos positivos comunes
Sección titulada «Falsos positivos comunes»- Actualizaciones automáticas legítimas.
- Instalaciones o eliminaciones por administradores autorizados.
- Entornos de desarrollo o staging con pruebas temporales.
- Mantenimiento planificado o despliegues controlados.
Pasos de investigación
Sección titulada «Pasos de investigación»-
Verificar origen del plugin:
Ventana de terminal wp plugin verify [plugin-name] -
Comparar versión e integridad con el repositorio oficial:
Ventana de terminal wp plugin check-update [plugin-name] -
Buscar código malicioso:
Ventana de terminal grep -r "eval\|base64\|exec" wp-content/plugins/[plugin-name] -
Comprobar reputación y fuente: repositorio, descargas activas y valoraciones.
Mitigaciones recomendadas
Sección titulada «Mitigaciones recomendadas»=== “Inmediatas”
!!! danger "" - Desactivar inmediatamente cualquier plugin sospechoso. - Verificar integridad usando checksums oficiales. - Escanear con herramientas como **WPScan** o similares. - Revisar cambios recientes en archivos y configuración.=== “Preventivas”
!!! tip "" - Implementar política de aprobación previa para nuevas instalaciones. - Usar únicamente plugins del repositorio oficial de WordPress. - Probar actualizaciones primero en un entorno de staging. - Monitorizar vulnerabilidades activas mediante **WPVulnDB**. - Restringir la capacidad `install_plugins` a cuentas de confianza.Referencias
Sección titulada «Referencias»- WordPress Plugin Security
- WPScan Vulnerability Database