Escáner de vulnerabilidades de WordPress
Contenidos
Vayamos directamente al punto importante: se recomienda a quienes utilicen el plugin Contact Form 7 que actualicen a 5.8 o 5.9 (consulte la última versión de actualización de seguridad de wordpress) lo antes posible para mayor seguridad.
Los informes sobre vulnerabilidades en plugins de WordPress se han convertido en algo cotidiano y, aunque la mayoría de estos fallos se detectan a tiempo, este no es el único factor clave para evitar su explotación que podría llevar al hackeo de sitios wordpress.
La versión parcheada ha sido liberada a primera hora de hoy, miércoles 17 de diciembre de 2020. Si su sitio es uno de los muchos que utilizan Contact Form 7, le recomendamos encarecidamente que actualice a la versión 5.3.2 lo antes posible.
Una empresa de ciberseguridad ha informado del hallazgo de un nuevo fallo en Contact Form 7, un popular plugin para crear múltiples formularios. Si se explota, esta vulnerabilidad permitiría a los actores de amenazas escalar privilegios en el sitio vulnerable.
Un hacker que explotara con éxito la vulnerabilidad podría realizar diversas actividades maliciosas, como modificar el contenido, redirigir a los visitantes a sitios desconocidos, robar información, e incluso podría tomar el control total del sitio objetivo y bloquear el acceso al administrador legítimo.
¿Qué es la vulnerabilidad en Contact Form 7?
WordPress Plugin Contact Form 7 es propenso a una vulnerabilidad que permite a los atacantes cargar archivos arbitrarios porque la aplicación no sanea correctamente la entrada proporcionada por el usuario. Un atacante puede aprovechar esta vulnerabilidad para cargar código arbitrario y ejecutarlo en el contexto del proceso del servidor web.
¿Es seguro Contact Form 7?
El plugin de WordPress Contact Form 7 es propenso a una vulnerabilidad de desviación de seguridad. La explotación de este problema puede permitir a los atacantes realizar acciones restringidas y, posteriormente, predecir los próximos valores del contenido de CAPTCHA.
Vulnerabilidad de los plugins de WordPress
Una vulnerabilidad de carga de archivos sin restricciones en un plugin de WordPress se produce cuando el plugin permite a un atacante cargar un shell web (script malicioso) que puede utilizarse para tomar el control de un sitio, manipular una base de datos, etc.
Un web shell es un script malicioso que puede escribirse en cualquier lenguaje web y que se carga en un sitio vulnerable, se procesa automáticamente y se utiliza para obtener acceso, ejecutar comandos, manipular la base de datos, etc.
La captura de pantalla anterior es de la descripción “más información” del plugin Contact Form 7 que se muestra al actualizar el plugin desde una instalación de WordPress. El texto coincide con el publicado en el repositorio oficial de WordPress para el plugin.
Filename sanitization es una referencia a una función relacionada con los scripts que procesan las subidas. Las funciones de desinfección de nombres de archivo están diseñadas para controlar qué tipo de archivos (nombres de archivo) se suben restringiendo ciertos tipos de archivos. La desinfección de nombres de archivo también puede controlar las rutas de los archivos.
Formulario de contacto 7
Algunas de estas traducciones no están completas. Estamos constantemente añadiendo nuevas características que deben ser traducidas. Si desea crear su propio paquete de idiomas o actualizar el existente, puede enviar el texto de los archivos PO y MO a BestWebSoft y lo añadiremos al plugin. Puede descargar la última versión del programa para trabajar con archivos PO y MO Poedit.
Se ha creado una sesión PHP mediante una llamada a la función session_start(). Esto interfiere con la API REST y las peticiones loopback. La sesión debería cerrarse mediante session_write_close() antes de realizar cualquier petición HTTP.
Necesité soporte de hosting para instalar el formulario de contacto porque se requerían algunos ajustes por FTP. Además, la actualización a contact form pro y multi no fue bien. El soporte de WEBSOFT fue rápido y eficaz, sin mayores problemas. El soporte técnico de Websoft ha sido impresionante. ¡Muchas gracias! Recomiendo Websoft contact form.
Formulario de contacto-7 exploit github
En WordPress, los plugins populares suelen ser los más explotados. Hay una razón para ello: cuanto más popular es un plugin, más sitios tiene instalados y, por lo tanto, las recompensas de una vulnerabilidad en un plugin popular son enormes para un hacker.
Con el fin de proteger su sitio web, es importante ser consciente de los plugins vulnerables en WordPress y las vulnerabilidades comunes que pueden estar presentes en ellos. Por suerte, hemos recopilado una lista esencial de plugins vulnerables de WordPress que cubre toda esta información para usted.
TL;DR: Si utiliza plugins en su sitio web de WordPress, debe saber si están haciendo que su sitio web sea vulnerable a hackeos. Aunque cualquier plugin puede tener vulnerabilidades, es importante que entiendas la naturaleza de las vulnerabilidades y protejas tu sitio web de forma proactiva con una solución de seguridad como MalCare.
Aquí hay una lista de los 10 plugins de WordPress más vulnerables que han tenido vulnerabilidades o a menudo identifican vulnerabilidades y hacks debido a que son inmensamente populares. Los desarrolladores suelen parchear estas vulnerabilidades inmediatamente después de que se identifiquen, así que si por casualidad tienes estos plugins, actualízalos inmediatamente.