Portada Wordpress Ninja Forms para WordPress con Problemas de Seguridad
Los formularios de contacto son algo que podemos encontrar en cualquier sitio web, a diario y no dejamos de usarlos.
Ya sea para poder acceder como usuarios, para contactar con los administradores o para registrarse en un sitio web, se utiliza un formulario de contacto.
En WordPress, se pueden utilizar muchos tipos de formularios de contacto, siendo uno de los más usados, los de Ninja Forms.
NInja Forms se puede añadir a WordPress en forma de plugin y su uso es gratuito, al menos en su versión más básica, ya que tiene opciones de pago con más funcionalidades.
Pero su versión gratuita, suele ser suficiente para la mayoría de usuarios y puedes descargarlo desde la web de WordPress haciendo click aquí.
El problema de seguridad que se ha detectado es bastante serio y un atacante puede hacerse con el control de WordPress.
Es importante que se actualice lo antes posible a la versión parcheada, que es la 3.4.24.2 o posteriores.
En versiones anteriores, un error relacionado con la importación de formularios creados con la versión 2.9.x del plugin, permitía importar formularios con contenido HTML personalizado.
Este error permitía a un atacante diseñar un enlace con la intención de «engañar» al administrador del WordPress y utilizar sus credenciales administrativas para crear otros usuarios administradores o importar un formulario con un JavaScript malicioso.
Otra acción que puede realizar el atacante es la de reemplazar cualquier formulario ya publicado en el sitio, con otro formulario de contacto , esta vez diseñado por el atacante.
Hay que pensar en la información que se añade en un formulario web, nombres de usuario, contraseñas, nº de tarjetas, etc… par darse cuenta de lo peligroso que puede ser esto.
Si el formulario se ejecutaba en el navegador de un visitante, se usaría para enviarlo a otro sitio web de manera automática, posiblemente con contenido malicioso o de mal gusto.
Pero si se ejecutaba desde el navegador de un administrador, podría llegar a perderse el control total de la administración de WordPress, ya que podrían crear un usuario administrativo y eliminar o cambiar de role de usuario al administrador actual.
La solución pasa por siempre por actualizar el plugin Ninja Forms a la versión 3.4.24.2 o posteriores lo antes posible.
En caso de estar ya hackeado, habría que revisar todos los formularios, las cuentas de administradores, actualizar todo y cambiar contraseñas.
O utilizar alguna copia de seguridad para restaurar WordPress a un punto anterior al hackeo y luego no olvidarse de actualizar el plugin para que no le vuelva a pasar.
La seguridad total es imposible, siempre pueden llegar problemas como lo que hemos visto en el plugin Ninja Forms.
Los desarrolladores del plugin reaccionaron muy rápido y en muy pocas horas lanzaron una actualización para parchearlo, pero si el usuario no actualiza el plugin, de poco sirve.
Hay que intentar mantener todo actualizado, en medida de lo posible y también es muy importante contar con copias de seguridad actualizadas.
Teniendo una copia de seguridad, solucionar un problema de hackeo rápido.
Simplemente hay que restaurar WordPress a un punto anterior al problema y seguidamente actualizar todos los plugins, themes y el propio WordPress, para evitar esto u otros problemas de seguridad.
Si no quieres preocuparte de mantener las copias de seguridad al día, puedes contratar nuestro seguro de backups, para poder restaurar, a nivel de archivo, tu WordPress en cualquier momento.