Contact Form 7 – Posible Vulnerabilidad que Puede Afectar a más de 5 Millones de Sitios WordPress

Categorias: Wordpress

Contact Form 7 - Posible Vulnerabilidad que Puede Afectar a más de 5 Millones de Sitios WordPress

Contact Form 7 quizás sea el plugin de WordPress más utilizado del mundo y si existe la posibilidad de un problema de seguridad pueden verse afectados millones de usuarios, por lo que hay que prestar atención ante cualquier problema que se anuncie.

Si administras algún sitio WordPress, es muy probable que conozcas el plugin Contact Form 7 y que seas uno de los más de 5 millones de usuarios que lo utilizan en su instalación de WordPress.

Es tremendamente popular por la sencilla razón de que funciona muy bien, es compatible con todos o la mayoría de servicios importantes de terceras partes, es gratuito, traducido a todos los idiomas y mucho más.

Es un plugin que muchos consideran indispensable y por eso, si se encuentra algún problema de seguridad o vulnerabilidad en este plugin, saltan todas las alarmas, como es el caso que tenemos hoy.


Tenemos diferentes tipos de hosting, selecciona uno:


Posible Vulnerabilidad en Versiones Anteriores a la 5.3.1 de Contact Form 7

El pasado 16 de diciembre de 2020, la empresa de seguridad Astra Security descubrió un problema de seguridad en el plugin Contact Form 7 muy grave.

El problema de seguridad afecta a las versión 5.3.1 del plugin y todas las anteriores y como hemos comentado se trata de un problema muy grave.

Un atacante puede aprovechar la vulnerabilidad en el plugin Contact Form 7 para cargar cualquier tipo de archivo en el WordPress.

post de Astra Security Contac Form 7

Esto es muy peligroso y el plugin se puede configurar para restringir los tipos de archivos que se pueden o no subir desde el formulario, pero el atacante puede saltarse esta restricción y subir cualquier tipo de archivo.

Inyectar código malicioso, redirecciones o scripts para escalar permisos es lo que llegaría a continuación, nada bueno para tu sitio web y la salud digital de tus usuarios.

Como verás se trata de una vulnerabilidad muy grave así que debes actualizar o antes posible a la versión 5.3.2 o superior.

Si utilizas el plugin Contact Form 7, actualiza a la versión 5.3.2 o superior cuanto antes.

Si quieres ver el artículo original de Astra informando sobre el caso, puedes hacerlo desde aquí, pero está todo en perfecto inglés.

 

Sin Ataques Detectados… por Ahora

Hay algo de polémica con esto. Los expertos en seguridad que han detectado el problema, Astra Security , parece que son los únicos que han detectado el problema.

Ningún otro auditor de seguridad ha encontrado ningún fallo de seguridad en la versión 5.3.1 del plugin Contact Form o al menos no han sido capaces de encontrar y reproducir el error tan importante del que Astra han informado.

El otras ocasiones, los auditores de seguridad ofrecen lo que se llama una prueba de concepto.

Esto es documentar la vulnerabilidad y cómo un atacante podría explotarla, de esta forma, si se puede revisar los fallos en la aplicación y crear reglas firewall para evitar que se pueda explotar el problema.

Desde Astra han indicado que, según podemos ver en las estadísticas del plugin, muchos usuarios siguen sin actualizar el plugin, por lo que son vulnerables al problema.

actualiza wordpress plugins y themes

No obstantes, si ofrecen la prueba de concepto al resto del mundo, les estarían indicando con el dedo el camino a seguir a los atacantes y por este motivo prefieren mantener en secreto el descubrimiento del error de seguridad.

Indica, eso si, que no han detectado ningún ataque que aproveche esta vulnerabilidad, tal vez porque sea muy compleja o tengan que tener en cuenta varios factores que deben ejecutarse al mismo tiempo para poder ser explotada.

En cualquier caso, el desarrollador lanzó una nueva versión de su plugin, por lo que parece ser que el problema existía, aunque faltaría saber qué situaciones deben producirse al mismo tiempo para que el problema pueda ser explotado por un atacante.

También hay que tener en cuenta que Astra Security es una empresa que vende su productos de seguridad y están en su derecho de no compartir esta información con el resto de investigadores y auditores… al menos mientras la amenaza no esté siendo explotada en la vida real.

Pero si tienes instalado el plugin no dudes en actualizarlo cuanto antes. Si creemos lo que indica Astra, se trata de un problema muy grave, del cual podemos protegernos con una simple actualización.

 

Hosting WordPress SSD con LiteSpeed y con IP Española

  • Hosting especializado en WordPress con discos SSDWordPress 509´99 / mes
  • Hosting especializado en WordPress con discos SSDWordPress 257´99 / mes
  • Hosting especializado en WordPress con discos SSDWordPress 53´99 / mes
  • Hosting especializado en WordPress con discos SSDWordPress 509´99/mes
  • Hosting especializado en WordPress con discos SSDWordPress 257´99/mes
  • Hosting especializado en WordPress con discos SSDWordPress 53´99/mes
    • Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.
    • Almacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSD
    • El espacio en disco es la suma del espacio que ocupan los archivos que forman la web y el correo electrónico.
    • La transferencia de datos mensual es la cantidad total de información que se descargan los visitantes de nuestra web en cada acceso más nuestro uso a través de FTP y correo.
    • Ideado para sacar el máximo partido a tu WordPress
    • Aumenta la velocidad de tu web + Info
    • Tras evaluación de nuestro equipo de migraciones
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Elige la versión de PHP que necesites
    • Certificado SSL autofirmadoCertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUI
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.
    • Migramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a Hostinet
    • Ideado para sacar el máximo partido a tu WordPress
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Hosting específicamente preparado para sacar el máximo rendimiento a tu Wordpress
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.
    • Cada dominio alojado muestra un contenido único y diferente del resto
    • Aparcando un dominio secundario en el alojamiento de nuestro dominio principal conseguimos que ambos dominios resuelvan indistintamente con la misma página que tenemos colgada.
    • Cuentas de correo gestionables a través de POP, IMAP y servicio Webmail
    • Tus buzones de correo y mails limpios de virus y con un potente filtro antispam
    • Centro de datos en Madrid (España)
    • Opción de contratación de IP dedicadaPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUI
    • Opción de contratación de certificados SSL. Se requiere Ip dedicada.Puedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUI
    • Bases de datos MySQL disponibles para su uso en cada alojamiento web
    • ¿Quieres realizar desarrollos con Python? En Hostinet innovamos dia a dia en tu beneficio y por ello te presentamos como última novedad en todos nuestros servidores Web la posibilidad de desplegar tus aplicaciones con Python directamente desde el cPanel de tu Hosting.
    • ¿Quieres desarrollar tus aplicaciones con Ruby? En Hostinet te presentamos como última novedad en todos nuestros servicios de Hosting Web la posibilidad de desplegar tus aplicaciones con Ruby on Rails directamente desde el panel de control cPanel.
    • El fichero .htaccess permite modificar diferentes variables en la configuración de nuestra cuenta de alojamiento en el servidor.
    • El módulo mod_rewrite permite crear direcciones URL alternativas a las dinámicas generadas por la programación de nuestros sitio web (blog, foro, portal…), de tal modo que sean más legibles y fáciles de recordar
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web. Soporte en español por personal de Hostinet.
    • Completa recopilación de tutoriales sobre Hosting, Dominios y Wordpress
    • 30 dias para probar tu servicio de Hosting y si no te convence el servicio... te devolvemos el dinero!!
    • Copia diaria incremental realizada por HostinetCopia diaria incremental realizada por HostinetCopia diaria incremental realizada por HostinetCopia diaria incremental realizada por Hostinet
    • Podrás hacer tus copias de seguridad desde tu panel de alojamiento webPodrás hacer tus copias de seguridad desde tu panel de alojamiento webPodrás hacer tus copias de seguridad desde tu panel de alojamiento webPodrás hacer tus copias de seguridad desde tu panel de alojamiento web
    • Precio para nuevas altas. Contratación anual.