Se ha detectado una vulnerabilidad en Contact Form 7. ¡Actualiza ya!

Hace muy pocos días os avisábamos de una vulnerabilidad en Easy SMTP de WordPress y hoy no traemos noticias mucho mejores. Se ha reportado una vulnerabilidad crítica en el plugin Contact Form 7 que podría poner en riesgo la seguridad de tu web, pero también la de tus clientes.

Ten en cuenta que Contact Form 7 es uno de los plugins más utilizados de WordPress, con más de 5 millones de instalaciones activas, por lo que la dimensión de este error de seguridad es muy significativa.

¿En qué consiste esta vulnerabilidad?

El pasado miércoles Astra Security Research reportó un error en la subida de archivos sin restricciones que afectaba a la versión 5.3.1 de Contact Form 7 y anteriores.

Este agujero de seguridad en uno de los plugins de contacto más utilizados de WordPress permite a un usuario no autenticado evitar cualquier restricción en la subida de archivos a través del formulario de Contact Form 7 y subir un fichero binario ejecutable en cualquier página que utilice la versión 5.3.1 o anterior de este plugin.

Una vez ejecutado el archivo, el hacker puede realizar cualquier acción en la página web; desde subir código malicioso hasta eliminar por completo el sitio, incluso crear una redirección a otra página con el objetivo de obtener información personal o de pago de tus usuarios.

Actualiza urgentemente

Si has desactivado las actualizaciones automáticas en WordPress, accede a tu panel de control y actualiza el plugin de forma manual. Tienes dos formas de hacerlo:

• En el menú de WordPress, ve a «Escritorio» y verás un aviso de actualizaciones como el que te muestro a continuación. Selecciona el complemento que deseas actualizar y pulsa en el botón de la parte superior «Actualizar plugins».
• Accede a la sección «Plugins». Ahí podrás consultar todos los plugins instalados y revisar si alguno hay actualizaciones pendientes. En el caso de Contact Form 7 verás un aviso como el que te muestro a continuación.

Mi web ha sido hackeada, ¿ahora qué hago?

Si tu web ha sido hackeada, lo mejor es que restaures una copia de seguridad lo antes posible. Siempre hacemos hincapié en lo importante que es tener una copia reciente de tu sitio por si algo sale mal, y hoy es uno de esos días…

Eso sí, una vez restaurada la copia, la versión del plugin que tenías instalado seguirá siendo vulnerable, por lo que tienes que actualizarlo de inmediato. Si no lo necesitas, también puedes desinstalar el plugin de WordPress por completo.

Si tienes tu Hosting WordPress con nosotros o cualquier otro plan de alojamiento web, recuerda que desde tu área de cliente tienes acceso a Premium Backup. Una herramienta que realiza dos copias de seguridad al día de todo el contenido de tu web y que te permite realizar cualquier restauración (aplicación, cuentas de correo, base de datos, etc.) en solo unos clics. Así, siempre estás a salvo.

En conclusión

Esta vez le ha tocado a Contact Form 7. Una vulnerabilidad crítica detectada en la versión 5.3.1 y anteriores permite que un usuario malintencionado pueda tomar el control total de tu web. Esto implica que puede subir cualquier tipo de contenido, eliminarlo o incluso robar información y datos sensibles de tus clientes. Por tanto, accede al backend de tu web y actualiza el complemento lo antes posible. ¡Tu web y tus clientes están en riesgo!

Si tienes cualquier duda o pregunta, ya sabes que la sección de comentarios es justo para eso 🙂 .