Errores detectados en el complemento Ninja Forms, 1 millón de sitios afectados

Las vulnerabilidades detectadas en el complemento Ninja Forms para WordPress, instalado en más de un millón de sitios, pueden conducir a una adquisición completa del sitio si no se reparan.

Wordfence detectó un total de cuatro vulnerabilidades en el complemento de WordPress Ninja Forms que podrían permitir a los atacantes:

  • Redirigir a los administradores del sitio a ubicaciones aleatorias.
  • Instale un complemento que pueda usarse para interceptar todo el tráfico de correo.
  • Recupere la clave de conexión de Ninja Form OAuth utilizada para establecer una conexión con el panel de administración central de Ninja Forms.
  • Engañar a los administradores de un sitio para que realicen una acción que podría desconectar la conexión OAuth de un sitio.

Esas vulnerabilidades podrían llevar a que los atacantes tomen el control de un sitio y realicen cualquier cantidad de acciones maliciosas.

Debido a la gravedad de las vulnerabilidades, se recomienda una actualización inmediata del complemento. A partir del 8 de febrero, todas las vulnerabilidades están parcheadas en la versión 3.4.34.1 del complemento Ninja Forms.

Ninja Forms es un complemento popular que permite a los propietarios de sitios crear formularios de contacto utilizando una sencilla interfaz de arrastrar y soltar.

Actualmente cuenta con más de 1 millón de instalaciones activas. Si tiene un formulario de contacto en su sitio y no está seguro de con qué complemento está construido, vale la pena verificar si está utilizando Ninja Forms.

Una actualización rápida del complemento protegerá su sitio de todas las vulnerabilidades mencionadas anteriormente.

La velocidad a la que se corrigieron estas vulnerabilidades muestra cuán comprometidos están los desarrolladores del complemento para mantenerlo seguro.

Wordfence informa que informó a los desarrolladores de Ninja Forms de las vulnerabilidades el 20 de enero, y todas fueron parcheadas el 8 de febrero.

Exploits de vulnerabilidad: la tercera mayor amenaza para los sitios de WordPress

Los exploits de vulnerabilidad son una amenaza significativa para los sitios de WordPress. Es importante actualizar sus complementos con regularidad para tener los últimos parches de seguridad.

Anuncio publicitario

Continuar leyendo a continuación

Un informe publicado el mes pasado enumera las vulnerabilidades como el tercero entre las 3 principales amenazas para los sitios de WordPress.

En total, hubo 4,3 mil millones de intentos de explotar vulnerabilidades de más de 9,7 millones de direcciones IP únicas en 2020.

Es un ataque tan común que de 4 millones de sitios analizados en el informe, cada uno de ellos experimentó al menos un intento de explotación de vulnerabilidades el año pasado.

Agregar un firewall a su sitio de WordPress es otra forma de mantenerlo seguro, ya que puede evitar que los atacantes abusen de las vulnerabilidades de los complementos, incluso si aún no han sido parcheados.

Anuncio publicitario

Continuar leyendo a continuación

Al agregar un nuevo complemento a su sitio, es una buena práctica verificar cuándo se actualizó por última vez. Es una buena señal que los complementos se hayan actualizado en las últimas semanas o meses.

Los complementos abandonados son una amenaza mayor para los sitios porque pueden contener vulnerabilidades sin parchear.

Para obtener más consejos sobre cómo mantener su sitio seguro, consulte: Cómo proteger un sitio de WordPress de los piratas informáticos.

Evite los complementos pirateados

Evite el uso de versiones pirateadas de complementos pagos a toda costa, ya que son la fuente de la amenaza más generalizada para la seguridad de WordPress.

El malware de temas y complementos pirateados es la amenaza número uno para los sitios de WordPress. Más del 17% de todos los sitios infectados en 2020 tenían malware de un complemento o tema pirateado.

Hasta hace poco, era posible descargar complementos pirateados de los repositorios oficiales de WordPress, pero a partir de esta semana se han eliminado.

Anuncio publicitario

Continuar leyendo a continuación

Fuente: Wordfence