Si usas Ninja Forms en WordPress, ¡Actualiza! – Vulnerabilidad Descubierta

Categorias: Wordpress

Si Usas Ninja Forms en WordPress, ¡Actualiza! - Vulnerabilidad Descubierta


El plugin Ninja Forms es uno de los más usados en WordPress para crear formularios de contacto, aunque en realidad es uno de los plugins más usados en WordPress en general, con más de 1 millón de instalaciones activas.

Antes de que salten las alarmas, la vulnerabilidad detectada en el plugin Ninja Forms es de poco riesgo y se requiere una acción muy particular por parte del administrador de WordPress, pero debido a la popularidad de plugin, es recomendable prestarle atención para que ningún usuario se vea afectado.

Para los que no lo sepan, el plugin Ninja Forms se utiliza para crear todos los formularios que un sitio web pueda necesitar.

Un formulario de contacto, un formulario para registrarse, otro para suscribirse, etc… Cualquier tipo de formulario que WordPress pueda necesitar, puede crearse con Ninja Forms.

Su facilidad de uso y compatibilidad con la mayoría de empresas del sector, lo han convertido en la alternativa natural al popular Contact Form

Además, los formularios pueden personalizarse y añadirse en cualquier parte, así como exportarse e importarse.

Recalcamos los de exportar / importar, porque la vulnerabilidad llega en este punto.
 

La Vulnerabilidad del Plugin Ninja Forms

La Vulnerabilidad del Plugin Ninja Forms

Ninja Forms dispone de la posibilidad de exportar los formularios que se hayan creado en un formato propio llamado .nff.

Esta opción es muy útil en el caso de tener más de un sitio web, por ejemplo. En vez de crear los formularios a medida en todos los sitios web, se pueden crear en uno de ellos, exportar los formularios, para luego importarlos en el resto de instalaciones de WordPress.

Cualquier formulario importado será igual al original, con el ahorro de tiempo que esto supone.

Obviamente, si usamos Ninja Forms en una sola instalación de WordPress, es muy difícil que usemos esta opción.

No obstante, cabe la posibilidad de que un administrador de WordPress importe un formulario de Ninja Forms que no haya creado el o el archivo .nff haya sido manipulado de forma malintencionada por el atacante.

Al importar el formulario en la web con el código malicioso incluido, cualquier navegador que cargue el formulario, no es necesario usarlo, podría verse afectado.
 

Cómo Solucionar el Problema con Ninja Forms

Cómo Solucionar el Problema con Ninja Forms

La solución es muy sencilla y pasa por actualiza el plugin a su última versión, que ya está parcheada y soluciona estos problemas.

La versión correcta es la 3.3.14.1 o superior y se puede descargar desde aquí o actualizarla desde el propio gestor de plugins de nuestro WordPress.

Si se tienen dudas sobre si hay algún formulario infectado, sólo hay que ver los formularios que tengamos creados.

Si vemos alguno que no nos resulte familiar, directamente eliminarlo sin abrirlo, para no acabar infectados al revisarlo.

Ante la duda, es mejor eliminar y volver a crear el formulario, a que los visitantes o nosotros mismos, acabemos infectados.


La Seguridad en tu Hosting con Hostinet

En Hostinet, estamos escaneando en todo momento los alojamientos web en busca de cualquier tipo de malware o código malicioso que haya podido acaba instalado en cualquier hosting.

Si se detecta cualquier tipo de amenaza, el sistema de protección de Hostinet aísla los archivos infectados y avisa al cliente para que tome las medidas oportunas, indicándole los archivos infectados y el procedimiento a seguir.

En definitiva, se trata de una especie de antivirus en tu hosting que se encarga de detectar cualquier archivo malicioso que se haya podido colar en tu WordPress.

Esta ventaja y muchas más, están incluidas en todos los hosting WordPress SSD que ofrecemos en Hostinet:

  • Hosting especializado en WordPress con discos SSDWordPress 1desde4´38€ / mes
  • Hosting especializado en WordPress con discos SSDWordPress 2desde5´54€ / mes
  • Hosting especializado en WordPress con discos SSDWordPress 3desde8´34€ / mes
  • Hosting especializado en WordPress con discos SSDWordPress 1desde4´38€/mes
  • Hosting especializado en WordPress con discos SSDWordPress 2desde5´54€/mes
  • Hosting especializado en WordPress con discos SSDWordPress 3desde8´34€/mes
    • Almacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSD
    • El espacio en disco es la suma del espacio que ocupan los archivos que forman la web y el correo electrónico.
    • La transferencia de datos mensual es la cantidad total de información que se descargan los visitantes de nuestra web en cada acceso más nuestro uso a través de FTP y correo.
    • Ideado para sacar el máximo partido a tu WordPress
    • Tras evaluación de nuestro equipo de migraciones
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Elige la versión de PHP que necesites
    • Certificado SSL autofirmadoCertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUI
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM, .INFO, .NET, .ORG ó .EU.
    • Migramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a Hostinet
    • Ideado para sacar el máximo partido a tu WordPress
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Hosting específicamente preparado para sacar el máximo rendimiento a tu Wordpress
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM, .INFO, .NET, .ORG ó .EU.
    • Cada dominio alojado muestra un contenido único y diferente del resto
    • Aparcando un dominio secundario en el alojamiento de nuestro dominio principal conseguimos que ambos dominios resuelvan indistintamente con la misma página que tenemos colgada.
    • Cuentas de correo gestionables a través de POP, IMAP y servicio Webmail
    • Tus buzones de correo y mails limpios de virus y con un potente filtro antispam
    • Centro de datos en Madrid (España)
    • Opción de contratación de IP dedicadaPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUI
    • Opción de contratación de certificados SSL. Se requiere Ip dedicada.Puedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUI
    • Bases de datos MySQL disponibles para su uso en cada alojamiento web
    • ¿Quieres realizar desarrollos con Python? En Hostinet innovamos dia a dia en tu beneficio y por ello te presentamos como última novedad en todos nuestros servidores Web la posibilidad de desplegar tus aplicaciones con Python directamente desde el cPanel de tu Hosting.
    • ¿Quieres desarrollar tus aplicaciones con Ruby? En Hostinet te presentamos como última novedad en todos nuestros servicios de Hosting Web la posibilidad de desplegar tus aplicaciones con Ruby on Rails directamente desde el panel de control cPanel.
    • El fichero .htaccess permite modificar diferentes variables en la configuración de nuestra cuenta de alojamiento en el servidor.
    • El módulo mod_rewrite permite crear direcciones URL alternativas a las dinámicas generadas por la programación de nuestros sitio web (blog, foro, portal…), de tal modo que sean más legibles y fáciles de recordar
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web. Soporte en español por personal de Hostinet.
    • Completa recopilación de tutoriales sobre Hosting, Dominios y Wordpress
    • 30 dias para probar tu servicio de Hosting y si no te convence el servicio... te devolvemos el dinero!!
VN:F [1.9.22_1171]
Rating: 0.0/5 (Votos: 0)

¿NECESITAS AYUDA? Llama a nuestro soporte técnico 946 545 762

De Lunes a Viernes de 08:00 a 20:00 horas.


Contactar