Fin del culebrón. Al fin he dado con el plugin que activaba el código malicioso. Aviso a navegantes en pateras de WordPress, el plugin no era otro que Comment QuickTags, el hack que habilita una barra de edición de etiquetas en los comentarios (poner negritas, cursivas, enlaces…). Me ha costado lo mío, pero creo que ya está todo solucionado. He vuelto a activar el wp-head y todos los plugins corren a la perfección. el antivirus no me canta nada y la inspección de javascripts me dice que ya no habita entre nosotros el inline script que redirigía a us-counter.com (¡no visites esta dirección, salvo que asumas la responsabilidad!), desde donde se intentaba descargar el troyano.
Muchas gracias a todos los que reportaron el problema y especialmente a Maty que llevó a cabo una excepcional tarea de investigación. Habrá que dar parte al creador del plugin y al equipo de WordPress por si se trata de un agujero de seguridad del CMS.
Como ya digo, el bug sólo afectaba a los usuarios de Internet Explorer con JavaScript habilitado y sin antivirus en su sistema, pero creo que ni siquiera ellos se merecían tan desagradable y peligrosa actividad. Espero que esto pueda ayudar a alguien que se encuentre en la misma situación que yo me encontraba hasta hace unos minutos.
Como es preceptivo en estos casos, si detectas algo extraño, no dudes en avisar. Gracias.
Actualización (10 may-11.33 h): Owen Winkler, el autor del plugin, me contesta al correo que le he enviado diciendo que ha revisado a conciencia el código del plugin y no ha encontrado nada raro.
Si te ha gustado el post, puedes compartirlo en tu red preferida:
Y seguirnos en... 
También te puede interesar...
Comentarios, mensajes, tuits, RT, pingbacks, trackbacks...
(Al darle a '¡Opina!', aceptas nuestras Condiciones de Participación)
{ 3 comentarios }
como? hay que desabilitar Comment QuickTags? o salio una version con parche
no me ha quedado muy claro
gracias
A mi tampoco me ha quedado muy claro. Es la primera vez que leo algo asi sobre este plugin y al buscar en google no me ha salido nada parecido. Voy a deshabilitarlo en mi web temporalmente, hasta que me entere un poco mejor
No, vamos a ver. Es muy probable que el plugin en sí no tenga nada que ver, sino quizá la copia que yo tenía. Cada uno tendrá que chequear en su web, con el plugin activado, si hay redirección a esa página o no.
Tienen que hacerlo desde Internet Explorer con JavaScript habilitado y comprobar en el proceso de cargo (el texto que sale en la esquina izquierda inferior de la ventana) si en algún momento redirige a us-counter.
w
También se puede comprobar en Firefox si tienes la extensión Web Developer o cualquier otra que te permita ver los scripts que se cargan en tu página.
Pero si no hay problema, no hay por qué deshabilitar el plugin.
Un saludo.
Los comentarios están cerrados.
{ 2 trackbacks }