Plugin Ninja Forms para WordPress – 4 Problemas de Seguridad Detectados

Categorias: Wordpress

Plugin Ninja Forms para WordPress - 4 Problemas de Seguridad Detectados

El popular plugin de WordPress «Ninja Forms» es vulnerable en las versiones anteriores a la 3.5.0. Si lo tienes instalado, debes actualizarlo lo antes posible ya que puedes perder el control de tus sitios web.

Si usas formularios en WordPress, es muy posible que uses algún plugin para crear formularios con un diseño y uno de los plugins más usados para este es Ninja Forms.

Recientemente se detectaron varios problemas de seguridad que un atacante podía aprovechar para hacerse con el control de una instalación de WordPress, entre otras muchas cosas.

Desde el 8 de febrero, los desarrolladores del plugin lanzaron la versión 3.4.34.1 que soluciona todos los problemas de seguridad que se detectaron, aunque en el momento de escribir esto ya está liberada la versión 3.5.0 del plugin.

El plugin está instalado y activo en más de 1 millón de sitios WordPress, por lo que si eres uno de ellos, te recomendamos que compruebes que lo tienes actualizado a la última versión.

Por ahora no se ha detectado ningún ataque usando alguno de estos problemas de seguridad.

Pero los atacantes saben que a muchos administradores de WordPress les cuesta actualizar los plugins, por lo que es posible que se detecte algún ataque en las próximas semanas.


Tenemos diferentes tipos de hosting, selecciona uno:


Qué Problemas Puedo Tener si no Actualizo el Plugin Ninja Forms

Qué Problemas Puedo Tener si no Actualizo el Plugin Ninja Forms

Se han detectado 4 problemas de seguridad en las versiones sin parchear del plugin Ninja Forms, cada una con un nivel de seguridad distinto y una forma distinta de ataque.

En la primera de ellas se necesitaba recurrir a un servicio de terceros llamado SendWP.

SendWP es un servicio para gestionar el correo electrónico en WordPress y está creado por lo mismos desarrolladores que el plugin, así que son totalmente compatibles.

Un atacante con acceso de suscriptor al WordPress y con una cuenta propia de SendWP (es un servicio de pago), podía llegar a monitorizar todos los correos electrónicos enviados desde su WordPress, con toda la información delicada que pudiera haber en ellos.

También se podría generar un proceso de restablecimiento de contraseña para el admin del sitio, pero llegaría a la cuenta de SendWp de atacante, por lo que podría acceder al sitio como admin y bueno, hacer lo que quisiera a partir de ahí.

Otro problema detectado era por los plugins creados para NInjaForms. En los plugins muy populares suelen aparecer plugins para añadir más funcionalidades a estos plugins tan populares.

Ninja Forms puede gestionar estos plugins desde su propio sitios de forma remota, pero una mala configuración y un ataque de ingeniería social, podría engañar al admin del sitio para que hiciera click en un enlace que le facilitaría al atacante la posibilidad de añadir cualquier otro plugin en Ninja Forms.

Por supuesto, este plugin seria diseñado por el atacante y no haría nada bueno en nuestro WordPress.

El último problema de seguridad es referente a las redirecciones, ya que el propio plugin puede configurar que, una vez se finalice una acción, redireccionar al usuario hacia una página en concreto.

El problema ya te lo podrás imagina, una fallo en la programación podía hacer que un atacante redirigiera al usuario hacia la URL que él quisiera.

Sitios con contenido para adultos, publicidad engañosa, intentos de phishing… ¡lo mejor de cada casa!

El otro problema que queda no realizaba ningún daño crítico, pero si que podía hacer que el admin del sitio no pudiera acceder al sitio o fuera desconectado al hacer click en un enlace malicioso.

 

No es el Primer Problema de Seguridad de Ninja Forms

No es el Primer Problema de Seguridad de Ninja Forms

El plugin Ninja Forms es muy utilizado en el universo WordPress y tiene un equipo de desarrolladores muy competente que se encarga de actualizarlo y añadir nuevas funcionalidades.

Pero, por desgracia, no es la primera vez que alguna versión tiene algún problema de seguridad.

Si bien el equipo de desarrolladores solucionan los problemas de seguridad reportados de una manera rápida y eficaz, ya han tenido al menos dos casos antes que este:

¿Significa esto que debes de dejar de utilizarlo? No, para nada, todo lo contrario.

Problemas de seguridad y fallos de código puede tener cualquier software, de hecho algunos dicen que todo software creado tiene algún problema, pero lo importante es que el software tenga detrás un equipo que lo solucione de una manera rápida y eficaz, como los desarrolladores de Ninja Forms.

En caso es importante mantener actualizados los plugins de nuestro WordPress para evitar este tipo de problemas.

Hace poco hablamos sobre si usar o no las actualizaciones automáticas en WordPress, quizás activarlas en los plugins sea una opción que puedas considerar.

 

Hosting WordPress con Antivirus

Cuando contratas un hosting WordPress en Hostinet, te damos acceso a un panel de control cPanel para que gestiones el hosting.

cPanel es el panel de control del hosting más utilizado en el mundo del hosting web.

Hay usuario que no quieren saber nada de un servicio de hosting si este no trae cPanel y es prácticamente un estándar.

Una de las funciones que tiene cPanel en Hostinet es un antivirus.

De la misma forma que puedes tener un antivirus en tu ordenador, tienes un antivirus en tu hosting que puedes pasar a tus archivos para comprobar que no hay ningún malware en ninguno de los archivos de tu WordPress

Además, Hostinet también realiza revisiones de los archivos del hosting en busca de cualquier malware que un atacante haya podido inyectar en tu sitio.

Si detectamos algo, podremos los archivos en cuarentena y protegeremos el sitio y te avisaremos para que puedas solucionarlo lo antes posible.

Esto está incluido en todos los planes de alojamiento web WordPress, incluso en os más baratos:

  • Hosting especializado en WordPress con discos SSDWordPress 1desde4´43€ / mes
  • Hosting especializado en WordPress con discos SSDWordPress 2desde5´60€ / mes
  • Hosting especializado en WordPress con discos SSDWordPress 3desde8´52€ / mes
  • Hosting especializado en WordPress con discos SSDWordPress 1desde4´43€/mes
  • Hosting especializado en WordPress con discos SSDWordPress 2desde5´60€/mes
  • Hosting especializado en WordPress con discos SSDWordPress 3desde8´52€/mes
    • Almacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSD
    • El espacio en disco es la suma del espacio que ocupan los archivos que forman la web y el correo electrónico.
    • La transferencia de datos mensual es la cantidad total de información que se descargan los visitantes de nuestra web en cada acceso más nuestro uso a través de FTP y correo.
    • Ideado para sacar el máximo partido a tu WordPress
    • Aumenta la velocidad de tu web + Info
    • Tras evaluación de nuestro equipo de migraciones
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Elige la versión de PHP que necesites
    • Certificado SSL autofirmadoCertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUI
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM, .INFO, .NET, .ORG ó .EU.
    • Migramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a Hostinet
    • Ideado para sacar el máximo partido a tu WordPress
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Hosting específicamente preparado para sacar el máximo rendimiento a tu Wordpress
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM, .INFO, .NET, .ORG ó .EU.
    • Cada dominio alojado muestra un contenido único y diferente del resto
    • Aparcando un dominio secundario en el alojamiento de nuestro dominio principal conseguimos que ambos dominios resuelvan indistintamente con la misma página que tenemos colgada.
    • Cuentas de correo gestionables a través de POP, IMAP y servicio Webmail
    • Tus buzones de correo y mails limpios de virus y con un potente filtro antispam
    • Centro de datos en Madrid (España)
    • Opción de contratación de IP dedicadaPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUI
    • Opción de contratación de certificados SSL. Se requiere Ip dedicada.Puedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUI
    • Bases de datos MySQL disponibles para su uso en cada alojamiento web
    • ¿Quieres realizar desarrollos con Python? En Hostinet innovamos dia a dia en tu beneficio y por ello te presentamos como última novedad en todos nuestros servidores Web la posibilidad de desplegar tus aplicaciones con Python directamente desde el cPanel de tu Hosting.
    • ¿Quieres desarrollar tus aplicaciones con Ruby? En Hostinet te presentamos como última novedad en todos nuestros servicios de Hosting Web la posibilidad de desplegar tus aplicaciones con Ruby on Rails directamente desde el panel de control cPanel.
    • El fichero .htaccess permite modificar diferentes variables en la configuración de nuestra cuenta de alojamiento en el servidor.
    • El módulo mod_rewrite permite crear direcciones URL alternativas a las dinámicas generadas por la programación de nuestros sitio web (blog, foro, portal…), de tal modo que sean más legibles y fáciles de recordar
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web. Soporte en español por personal de Hostinet.
    • Completa recopilación de tutoriales sobre Hosting, Dominios y Wordpress
    • 30 dias para probar tu servicio de Hosting y si no te convence el servicio... te devolvemos el dinero!!