Portada Wordpress Plugin Ninja Forms para WordPress – 4 Problemas de Seguridad Detectados
Si usas formularios en WordPress, es muy posible que uses algún plugin para crear formularios con un diseño y uno de los plugins más usados para este es Ninja Forms.
Recientemente se detectaron varios problemas de seguridad que un atacante podía aprovechar para hacerse con el control de una instalación de WordPress, entre otras muchas cosas.
Desde el 8 de febrero, los desarrolladores del plugin lanzaron la versión 3.4.34.1 que soluciona todos los problemas de seguridad que se detectaron, aunque en el momento de escribir esto ya está liberada la versión 3.5.0 del plugin.
El plugin está instalado y activo en más de 1 millón de sitios WordPress, por lo que si eres uno de ellos, te recomendamos que compruebes que lo tienes actualizado a la última versión.
Por ahora no se ha detectado ningún ataque usando alguno de estos problemas de seguridad.
Pero los atacantes saben que a muchos administradores de WordPress les cuesta actualizar los plugins, por lo que es posible que se detecte algún ataque en las próximas semanas.
Se han detectado 4 problemas de seguridad en las versiones sin parchear del plugin Ninja Forms, cada una con un nivel de seguridad distinto y una forma distinta de ataque.
En la primera de ellas se necesitaba recurrir a un servicio de terceros llamado SendWP.
SendWP es un servicio para gestionar el correo electrónico en WordPress y está creado por lo mismos desarrolladores que el plugin, así que son totalmente compatibles.
Un atacante con acceso de suscriptor al WordPress y con una cuenta propia de SendWP (es un servicio de pago), podía llegar a monitorizar todos los correos electrónicos enviados desde su WordPress, con toda la información delicada que pudiera haber en ellos.
También se podría generar un proceso de restablecimiento de contraseña para el admin del sitio, pero llegaría a la cuenta de SendWp de atacante, por lo que podría acceder al sitio como admin y bueno, hacer lo que quisiera a partir de ahí.
Otro problema detectado era por los plugins creados para NInjaForms. En los plugins muy populares suelen aparecer plugins para añadir más funcionalidades a estos plugins tan populares.
Ninja Forms puede gestionar estos plugins desde su propio sitios de forma remota, pero una mala configuración y un ataque de ingeniería social, podría engañar al admin del sitio para que hiciera click en un enlace que le facilitaría al atacante la posibilidad de añadir cualquier otro plugin en Ninja Forms.
Por supuesto, este plugin seria diseñado por el atacante y no haría nada bueno en nuestro WordPress.
El último problema de seguridad es referente a las redirecciones, ya que el propio plugin puede configurar que, una vez se finalice una acción, redireccionar al usuario hacia una página en concreto.
El problema ya te lo podrás imagina, una fallo en la programación podía hacer que un atacante redirigiera al usuario hacia la URL que él quisiera.
Sitios con contenido para adultos, publicidad engañosa, intentos de phishing… ¡lo mejor de cada casa!
El otro problema que queda no realizaba ningún daño crítico, pero si que podía hacer que el admin del sitio no pudiera acceder al sitio o fuera desconectado al hacer click en un enlace malicioso.
El plugin Ninja Forms es muy utilizado en el universo WordPress y tiene un equipo de desarrolladores muy competente que se encarga de actualizarlo y añadir nuevas funcionalidades.
Pero, por desgracia, no es la primera vez que alguna versión tiene algún problema de seguridad.
Si bien el equipo de desarrolladores solucionan los problemas de seguridad reportados de una manera rápida y eficaz, ya han tenido al menos dos casos antes que este:
¿Significa esto que debes de dejar de utilizarlo? No, para nada, todo lo contrario.
Problemas de seguridad y fallos de código puede tener cualquier software, de hecho algunos dicen que todo software creado tiene algún problema, pero lo importante es que el software tenga detrás un equipo que lo solucione de una manera rápida y eficaz, como los desarrolladores de Ninja Forms.
En caso es importante mantener actualizados los plugins de nuestro WordPress para evitar este tipo de problemas.
Hace poco hablamos sobre si usar o no las actualizaciones automáticas en WordPress, quizás activarlas en los plugins sea una opción que puedas considerar.
Cuando contratas un hosting WordPress en Hostinet, te damos acceso a un panel de control cPanel para que gestiones el hosting.
cPanel es el panel de control del hosting más utilizado en el mundo del hosting web.
Hay usuario que no quieren saber nada de un servicio de hosting si este no trae cPanel y es prácticamente un estándar.
Una de las funciones que tiene cPanel en Hostinet es un antivirus.
De la misma forma que puedes tener un antivirus en tu ordenador, tienes un antivirus en tu hosting que puedes pasar a tus archivos para comprobar que no hay ningún malware en ninguno de los archivos de tu WordPress
Además, Hostinet también realiza revisiones de los archivos del hosting en busca de cualquier malware que un atacante haya podido inyectar en tu sitio.
Si detectamos algo, podremos los archivos en cuarentena y protegeremos el sitio y te avisaremos para que puedas solucionarlo lo antes posible.
Esto está incluido en todos los planes de alojamiento web WordPress, incluso en os más baratos: