{"id":37478,"date":"2021-02-17T15:02:25","date_gmt":"2021-02-17T13:02:25","guid":{"rendered":"https:\/\/www.hostinet.com\/formacion\/?p=37478"},"modified":"2021-02-17T18:22:14","modified_gmt":"2021-02-17T16:22:14","slug":"plugin-ninja-forms-para-wordpress-4-problemas-de-seguridad-detectados","status":"publish","type":"post","link":"https:\/\/www.hostinet.com\/formacion\/wordpress\/plugin-ninja-forms-para-wordpress-4-problemas-de-seguridad-detectados\/","title":{"rendered":"Plugin Ninja Forms para WordPress – 4 Problemas de Seguridad Detectados"},"content":{"rendered":"
<\/div>

\"Plugin<\/h4>\n

El popular plugin de WordPress \u00abNinja Forms\u00bb es vulnerable en las versiones anteriores a la 3.5.0. Si lo tienes instalado, debes actualizarlo lo antes posible ya que puedes perder el control de tus sitios web.<\/h4>\n

Si usas formularios en WordPress, es muy posible que uses alg\u00fan plugin para crear formularios con un dise\u00f1o y uno de los plugins m\u00e1s usados para este es Ninja Forms<\/a><\/strong>.<\/p>\n

Recientemente se detectaron varios problemas de seguridad<\/strong> que un atacante pod\u00eda aprovechar para hacerse con el control de una instalaci\u00f3n de WordPress<\/strong>, entre otras muchas cosas.<\/p>\n

Desde el 8 de febrero, los desarrolladores del plugin lanzaron la versi\u00f3n 3.4.34.1<\/strong> que soluciona todos los problemas de seguridad que se detectaron, aunque en el momento de escribir esto ya est\u00e1 liberada la versi\u00f3n 3.5.0 del plugin<\/strong>.<\/p>\n

El plugin est\u00e1 instalado y activo en m\u00e1s de 1 mill\u00f3n de sitios WordPress, por lo que si eres uno de ellos, te recomendamos que compruebes que lo tienes actualizado a la \u00faltima versi\u00f3n<\/strong>.<\/p>\n

Por ahora no se ha detectado ning\u00fan ataque<\/strong> usando alguno de estos problemas de seguridad.<\/p>\n

Pero los atacantes saben<\/strong> que a muchos administradores de WordPress les cuesta actualizar los plugins<\/strong>, por lo que es posible que se detecte alg\u00fan ataque en las pr\u00f3ximas semanas<\/strong>.<\/p>\n

\n

\"Hosting<\/a><\/p>\n

\n

Qu\u00e9 Problemas Puedo Tener si no Actualizo el Plugin Ninja Forms<\/h2>\n

\"Qu\u00e9<\/p>\n

Se han detectado 4 problemas de seguridad en las versiones sin parchear del plugin Ninja Forms<\/strong>, cada una con un nivel de seguridad distinto y una forma distinta de ataque.<\/p>\n

En la primera de ellas se necesitaba recurrir a un servicio de terceros llamado SendWP<\/strong>.<\/p>\n

SendWP<\/strong> es un servicio para gestionar el correo electr\u00f3nico en WordPress y est\u00e1 creado por lo mismos desarrolladores que el plugin, as\u00ed que son totalmente compatibles.<\/p>\n

Un atacante con acceso de suscriptor al WordPress y con una cuenta propia de SendWP<\/strong> (es un servicio de pago), pod\u00eda llegar a monitorizar todos los correos electr\u00f3nicos enviados desde su WordPress<\/strong>, con toda la informaci\u00f3n delicada que pudiera haber en ellos.<\/p>\n

Tambi\u00e9n se podr\u00eda generar un proceso de restablecimiento de contrase\u00f1a para el admin del sitio, pero llegar\u00eda a la cuenta de SendWp de atacante<\/strong>, por lo que podr\u00eda acceder al sitio como admin y bueno, hacer lo que quisiera a partir de ah\u00ed.<\/p>\n

Otro problema detectado era por los plugins creados para NInjaForms<\/strong>. En los plugins muy populares suelen aparecer plugins para a\u00f1adir m\u00e1s funcionalidades a estos plugins tan populares.<\/p>\n

Ninja Forms<\/strong> puede gestionar estos plugins desde su propio sitios de forma remota, pero una mala configuraci\u00f3n y un ataque de ingenier\u00eda social<\/strong>, podr\u00eda enga\u00f1ar al admin del sitio para que hiciera click en un enlace que le facilitar\u00eda al atacante la posibilidad de a\u00f1adir cualquier otro plugin en Ninja Forms.<\/p>\n

Por supuesto, este plugin seria dise\u00f1ado por el atacante y no har\u00eda nada bueno<\/strong> en nuestro WordPress.<\/p>\n

El \u00faltimo problema de seguridad es referente a las redirecciones, ya que el propio plugin puede configurar que, una vez se finalice una acci\u00f3n, redireccionar al usuario hacia una p\u00e1gina en concreto<\/strong>.<\/p>\n

El problema ya te lo podr\u00e1s imagina, una fallo en la programaci\u00f3n pod\u00eda hacer que un atacante redirigiera al usuario hacia la URL que \u00e9l quisiera<\/strong>.<\/p>\n

Sitios con contenido para adultos, publicidad enga\u00f1osa, intentos de phishing… \u00a1lo mejor de cada casa!<\/strong><\/p>\n

El otro problema que queda no realizaba ning\u00fan da\u00f1o cr\u00edtico, pero si que pod\u00eda hacer que el admin del sitio no pudiera acceder al sitio o fuera desconectado al hacer click en un enlace malicioso.<\/p>\n

 <\/p>\n

No es el Primer Problema de Seguridad de Ninja Forms<\/h2>\n

\"No<\/p>\n

El plugin Ninja Forms<\/strong> es muy utilizado en el universo WordPress y tiene un equipo de desarrolladores muy competente que se encarga de actualizarlo y a\u00f1adir nuevas funcionalidades.<\/p>\n

Pero, por desgracia, no es la primera vez que alguna versi\u00f3n tiene alg\u00fan problema de seguridad.<\/p>\n

Si bien el equipo de desarrolladores solucionan los problemas de seguridad reportados de una manera r\u00e1pida y eficaz, ya han tenido al menos dos casos antes que este:<\/p>\n