El pasado pasado jueves 02 de junio se publicó una actualización para el plugin WP Mobile Detector que pondría fin a una puerta trasera que permitía a los atacantes subir de manera remota código malicioso a un servidor. Así los administradores de más de 10 mil sitios web comprometidos tendrían oportunidad de verificar si fueron afectados. Cabe mencionar que después de este descubrimiento el plugin fue removido de WordPress.
El plugin WP Mobile Detector, cuya tarea es detectar si el visitante usa un dispositivo móvil para cargar una plantilla del sitio web compatible, poseía el script resize.php que contenía la vulnerabilidad, que fue descubierta por el equipo de seguridad de WordPress.
Cuando los atacantes encontraban el script entre los archivos del plugin aprovechaban la vulnerabilidad para entablar conexiones mediante puertas traseras e inyectar código malicioso en páginas web.
Investigadores de la firma de seguridad Sucuri descubrieron intentos de explotación desde el pasado 27 de mayo, aunque podría haberse explotado tiempo antes de lo descubierto.
La mayoría de los sitios web afectados fueron infectados con puertas de spam porno, reconocidas por la ubicación del directorio gopni3g con sus respectivos archivos en el sitio raíz.