Se ha detectado una vulnerabilidad en Contact Form 7 Style

En LucusHost queremos mantenerte siempre al tanto de todas las novedades de WordPress, así que hoy nos toca informar de una nueva vulnerabilidad detectada en un plugin muy popular del repositorio oficial: Contact Form 7 Style.

Contact Form 7 Style es un plugin adicional a Contact Form 7, uno de los plugins más utilizados para crear formularios de contactos. Esta extensión permite personalizar al máximo la apariencia de los formularios de tu página a través de código CSS.

Según los datos del repositorio oficial de WordPress, se estima que esta extensión está activa en más de 50.000 instalaciones de WordPress.

¿En qué consiste esta vulnerabilidad?

El equipo de Wordfence detectó una vulnerabilidad en Contact Form 7 Style de tipo CSRF (Cross Site Request Forgery), mediante el cual se podría realizar un ataque XSS (Cross Site Scripting) almacenado. Esta vulnerabilidad afecta a todas la versión 3.1.9 y anteriores.

¿Qué quiere decir esto?

Un usuario malintencionado puede engañar al administrador de una web para que haga clic en un enlace o archivo adjunto que contiene código malicioso con el objetivo de hacerse con los datos de sesión de una aplicación, en este caso WordPress. De esta forma, el atacante puede loguearse, hacer cambios o inyectar malware en el sitio web.

Eso sí, ten en cuenta que esto solamente puede ocurrir si el administrador está logueado en WordPress cuando hace clic o abre el archivo infectado. Es por ello que muchas veces, si es un enlace desconocido o un sitio poco fiable, siempre se abra en una ventana de incógnito.

Aunque esta vulnerabilidad ya fue reportada el pasado 9 de diciembre de 2020, tras no recibir respuesta por parte de los desarrolladores de esta extensión, el equipo de plugins de WordPress decidió retirarlo del repositorio oficial esta misma semana:

¿Y ahora qué tengo que hacer?

Lo primero de todo, revisa que no tengas instalada esta extensión en tu WordPress. Y, si la tienes, ya sea activada o desactivada, desinstala el plugin de tu aplicación.

Normalmente, cuando se detecta alguna vulnerabilidad, ya está disponible una nueva versión con un parche de seguridad. En este caso, el plugin ha sido retirado temporalmente, por lo que no hay otra opción.

Eso sí, ten en cuenta que esta vulnerabilidad afecta únicamente al plugin Contact Form 7 Style que es independiente al plugin Contact Form 7. Así que, si únicamente haces uso de este último, no tienes nada que preocuparte.

Otras vulnerabilidades detectadas en WordPress

Este tipo de vulnerabilidades no son un caso aislado.

El equipo de seguridad de WordPress ya advirtió en otras ocasiones de fallos de seguridad que pueden poner tu web en peligro. Algunas de las más sonadas son:

• Vulnerabilidad en InfiniteWP Client, que permitía acceder al escritorio de WordPress sin contraseña.
• Vulnerabilidad en Easy SMTP de WordPress, mediante la cual cualquier usuario podía tomar el control de la web.
• Vulnerabilidad en ThemeGrill Demo Importer, que dejaba acceder a WordPress como administrador.
• Vulnerabilidad en wpDiscuz, que dejaba ejecutar código de forma remota.

Como ves, no es ninguna tontería. Un fallo de seguridad en cualquier plugin que utilices pueden echar por la borda todo tu trabajo. De ahí a que siempre hagamos hincapié en tres cosas:

• Disponer de un backup reciente de su sitio. En LucusHost hacemos dos copias de seguridad web de forma automática de todo tu contenido y están disponibles desde tu área de cliente, en la herramienta Premium Backup. Desde ahí, podrás descargarlas o realizar cualquier restauración en solo unos clics.
• Utilizar un buen software de seguridad web. En nuestro caso, optamos por Imunify360, uno de los más avanzados en materia de seguridad web. Realiza escaneos diarios en búsqueda de código malicioso, permite eliminar malware, dispone de un sistema de CAPTCHA, KernelCare… En definitiva, una suite completa de seguridad :-).
• Todo siempre al día. Las nuevas versiones del core, plugins o plantillas de WordPress no solo incluyen mejoras, sino también que corrigen posibles fallos de seguridad que podrían ponérselo más fácil a los ciberdelincuentes.

Ahora dime, ¿has desinstalado el plugin y quieres que le echemos un ojo a tu web? Si tienes tu Hosting WordPress con nosotros y no sabes como hacerlo o  quieres asegurarte de que todo está en orden, no dudes en abrir un ticket con soporte o llamarnos y lo revisamos. Estaremos encantados de echarte una mano 🙂