Especialista en servidores y Hosting VPS
¡Actualiza ya tu Ninja Forms!
Hoy tenia pensado hablar sobre los VPS administrado y lo que tenemos detrás con empresas de hosting compartido ofreciéndote VPS “sin complicaciones” pero estoy leyendo la noticia sobre la vulnerabilidad en Ninja Forms y me parece que es más urgente que estemos enterados todos de esto.
- ¡No esperas más! Pone pausa a este episodio y anda ¡ya! A actualizar tu Ninja Forms
- Y a revisar en el log de tu plugin de SMTP para estar 100% seguros que no has caído
- ¿No tenés plugins de SMTP? ¿Tu servidor se encarga de eso?
- Buenoooooo en ese caso podrías consultar en tu panel (el que sea) o al soporte de tu Hosting solo para confirmar
- ¿Qué ha pasado?
- El equipo de Wordfense inició un proceso de divulgación responsable
- De dos vulnerabilidades que descubrieron en Ninja Forms
- Este plugin tiene al día de hoy más de un millón de instalaciones activas
- Estas vulnerabilidades hacen posible que un atacante exporte información confidencial
- Y desde tu WordPress enviara mails con fines criminales (phishing, spam, etc)
- ¡Ambas cosas muy graves!
- Al recibir el reporte
- El equipo de Ninja Forms se pusieron a trabajar a toda prisa
- Y solucionaron estas vulnerabilidades en la versión 3.5.8 que lanzaron el 7 de septiembre
- El día de hoy se lanzó la actualización 3.5.8.2
- Ninja Forms
- Es uno de los plugins de cabecera para crear formularios en nuestros WordPress
- Es gratis y tiene extensiones de pago
- Entre sus funciones tiene la opción de exportar todos los formularios y enviarlos por correo
- Pero esto del todo no se hizo bien
- Y dejó abierta una peligrosa vulnerabilidad
- Dependiendo de los formularios y del contenido del mismo
- Se hubiera extraído todo lo que contenían sea el tipo de información que sea
- Y además el atacante podía aprovechar tu WordPress, tu SMTP, y la reputación de tu dominio para atacar a usuarios en general o a tus propios clientes
- Imagine con todos los datos exportados de tus clientes
- Le envía “una super oferta” en la que se le ofrece “un mega hyper ultra super descuento” que deben de aprovechar porque no se repetirá y deben de pagar con su tarjeta ¡en este momento!
- Tu cliente al recibir un correo de tu sitio web, envía desde tu WordPress, con tu dominio…
- ¿Se le haría raro?
- Quizás si, quizás no…
- Pero muchos se quedarían con la promoción
- Darían clic en el enlace del correo
- Y pondrían los datos de su tarjeta o sus accesos a PayPal
- El atacante se queda con todos esos datos y los ocupa para clonar tarjeta y gastarse el saldo de la tarjeta y de la cuenta de PayPal
- Cuando el cliente se da cuenta de todo esto ya es demasiado tarde y lo ha perdido todo
- Y vos le estarás debiendo “el producto en promoción”
- Esto es solo un ejemplo
- Pero también el atacante podría enviar correos para “restablecer la contraseña”
- O aprovechar todos los datos que ha sacado de tu WordPress para ingeniería social y aprovecharse de vos, de tus usuarios y de tus clientes
- 👉 ¿Qué debemos hacer?
- Como te decía al inicio lo primero: Actualizar
- Luego hacer un repaso en busca de procesos sospechosos:
- En el log de SMTP verificar que correos han salido
- Verificar usuarios y permisos
- Buscar contenido extraño
- Revisar si en la configuración de algún plugin hay cambios en las notificaciones de correos
- ¿Y con Ninja Forms? ¿Lo cambio?
- No, Ninja Forms sigue siendo bueno
- Un error no hace que se descarte
- Otra cosa fuera, que le hubieran reportado y no lo hubieran solucionado
- Esto nos debe recordar que es importante estar actualizados…
- Por las vulnerabilidades que ya sabemos y por lo que no nos hemos enterado
Muchos implementadores “esperan” actualizar para “evitar problemas” y esto en mi humilde opinión esta mal… Porque WordPress no debe dar error al actualizar, los plugins no deben de dar error al actualizar… Los errores vienen por la combinación de algún plugin con otro, por versiones obsoletas de plugins, por usar plugins “modificados”, o por hacer modificaciones y personalizaciones sin conocimientos profesionales.
Por todo esto si que puede explotar un WordPress… Y si ese es tu caso, lo ideal es corregir esos puntos de peligro y tener todo funcionando para poder dar clic en actualizar y no esperar que algo malo paso.