{"id":4323,"date":"2020-12-18T15:51:54","date_gmt":"2020-12-18T14:51:54","guid":{"rendered":"https:\/\/www.lucushost.com\/blog\/?p=4323"},"modified":"2025-10-24T11:32:30","modified_gmt":"2025-10-24T10:32:30","slug":"vulnerabilidad-contact-form-7","status":"publish","type":"post","link":"https:\/\/www.lucushost.com\/blog\/vulnerabilidad-contact-form-7\/","title":{"rendered":"Se ha detectado una vulnerabilidad en Contact Form 7. \u00a1Actualiza ya!"},"content":{"rendered":"<p>Hace muy pocos d\u00edas os avis\u00e1bamos de una <strong><a href=\"https:\/\/www.lucushost.com\/blog\/vulnerabilidad-easy-smtp-wordpress\/\">vulnerabilidad en Easy SMTP de WordPress<\/a><\/strong> y hoy no traemos noticias mucho mejores. Se ha reportado una <strong>vulnerabilidad cr\u00edtica en el plugin Contact Form 7 <\/strong>que podr\u00eda poner en riesgo la seguridad de tu web, pero tambi\u00e9n la de tus clientes.<\/p>\n<p><!--more--><\/p>\n<p>Ten en cuenta que Contact Form 7 es uno de los plugins m\u00e1s utilizados de WordPress, con m\u00e1s de 5 millones de instalaciones activas, por lo que la dimensi\u00f3n de este error de seguridad es muy significativa.<\/p>\n<h2>\u00bfEn qu\u00e9 consiste esta vulnerabilidad?<\/h2>\n<p>El pasado mi\u00e9rcoles <span class=\"VIiyi\" lang=\"es\"><span class=\"JLqJ4b ChMk0b\" data-language-for-alternatives=\"es\" data-language-to-translate-into=\"en\" data-phrase-index=\"8\"><em>Astra Security Research<\/em> report\u00f3 un error en la subida de archivos sin restricciones que <strong>afectaba a la versi\u00f3n 5.3.1 de Contact Form 7 y anteriores<\/strong>. <\/span><\/span><\/p>\n<p>Este agujero de seguridad en uno de los plugins de contacto m\u00e1s utilizados de WordPress permite a un usuario no autenticado evitar cualquier restricci\u00f3n en la subida de archivos a trav\u00e9s del formulario de Contact Form 7 y subir un fichero binario ejecutable en cualquier p\u00e1gina que utilice la versi\u00f3n 5.3.1 o anterior de este plugin.<\/p>\n<p>Una vez ejecutado el archivo, el hacker puede realizar cualquier acci\u00f3n en la p\u00e1gina web; desde subir c\u00f3digo malicioso hasta eliminar por completo el sitio, incluso crear una <a href=\"https:\/\/www.lucushost.com\/blog\/redireccion-301\/\">redirecci\u00f3n<\/a> a otra p\u00e1gina con el objetivo de obtener informaci\u00f3n personal o de pago de tus usuarios.<\/p>\n<h2>Actualiza urgentemente<\/h2>\n<p>Si no tienes activadas las actualizaciones autom\u00e1ticas, accede al <a href=\"https:\/\/www.lucushost.com\/blog\/frontend-backend\/\">backend<\/a> de tu web y actualiza el plugin de forma manual. Tienes dos formas de hacerlo:<\/p>\n<ul>\n<li>En el men\u00fa de WordPress, ve a \u00abEscritorio\u00bb y ver\u00e1s un aviso de actualizaciones como el que te muestro a continuaci\u00f3n. Selecciona el complemento que deseas actualizar y pulsa en el bot\u00f3n de la parte superior \u00abActualizar plugins\u00bb. <img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-full wp-image-4329\" src=\"https:\/\/www.lucushost.com\/blog\/wp-content\/uploads\/2020\/12\/contact-form-7-actualizar.png\" alt=\"Actualizar Contact Form en WordPress\" width=\"586\" height=\"102\" title=\"\" srcset=\"https:\/\/www.lucushost.com\/blog\/wp-content\/uploads\/2020\/12\/contact-form-7-actualizar.png 586w, https:\/\/www.lucushost.com\/blog\/wp-content\/uploads\/2020\/12\/contact-form-7-actualizar-300x52.png 300w\" sizes=\"(max-width: 586px) 100vw, 586px\" \/><\/li>\n<li>Accede a la secci\u00f3n \u00abPlugins\u00bb. Ah\u00ed podr\u00e1s consultar todos los plugins instalados y revisar si alguno hay actualizaciones pendientes. En el caso de Contact Form 7 ver\u00e1s un aviso como el que te muestro a continuaci\u00f3n. <img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-full wp-image-4328\" src=\"https:\/\/www.lucushost.com\/blog\/wp-content\/uploads\/2020\/12\/contact-form-7-actualizar-2.png\" alt=\"Actualizar Contact Form en WordPress\" width=\"787\" height=\"124\" title=\"\" srcset=\"https:\/\/www.lucushost.com\/blog\/wp-content\/uploads\/2020\/12\/contact-form-7-actualizar-2.png 787w, https:\/\/www.lucushost.com\/blog\/wp-content\/uploads\/2020\/12\/contact-form-7-actualizar-2-300x47.png 300w, https:\/\/www.lucushost.com\/blog\/wp-content\/uploads\/2020\/12\/contact-form-7-actualizar-2-768x121.png 768w, https:\/\/www.lucushost.com\/blog\/wp-content\/uploads\/2020\/12\/contact-form-7-actualizar-2-700x110.png 700w\" sizes=\"(max-width: 787px) 100vw, 787px\" \/><\/li>\n<\/ul>\n<h2>Mi web ha sido hackeada, \u00bfahora qu\u00e9 hago?<\/h2>\n<p>Si tu web ha sido hackeada, lo m\u00e1s r\u00e1pido y f\u00e1cil es que restaures una <strong><a href=\"https:\/\/www.lucushost.com\/blog\/que-es-un-backup-y-como-hacer-una-copia-de-seguridad-de-tu-web\/\">copia de seguridad web<\/a><\/strong>. Siempre hacemos hincapi\u00e9 en lo importante que es tener una copia reciente de tu sitio, por si algo sale mal, y hoy es uno de esos d\u00edas&#8230;<\/p>\n<p>Si tienes tu <a href=\"\/hosting-wordpress\"><strong>Hosting WordPress<\/strong><\/a> con nosotros o cualquier otro plan de alojamiento web, recuerda que desde tu \u00e1rea de cliente tienes acceso a <strong>Premium Backup<\/strong>. Una herramienta que realiza dos copias de seguridad web al d\u00eda de todo el contenido de tu web y que te permite realizar cualquier restauraci\u00f3n (aplicaci\u00f3n, cuentas de correo, base de datos, etc.) en solo unos clics. As\u00ed, siempre est\u00e1s a salvo.<\/p>\n<p>Una vez restaurada la copia, la versi\u00f3n del plugin que ten\u00edas instalado seguir\u00e1 siendo vulnerable, por lo que tienes que actualizarlo de inmediato. Si no lo necesitas, tambi\u00e9n puedes <a href=\"https:\/\/www.lucushost.com\/blog\/desinstalar-plugin-wordpress\/\"><strong>desinstalar el plugin de WordPress<\/strong><\/a> por completo.<\/p>\n<h2><span class=\"VIiyi\" lang=\"es\"><span class=\"JLqJ4b ChMk0b\" data-language-for-alternatives=\"es\" data-language-to-translate-into=\"en\" data-phrase-index=\"0\">En conclusi\u00f3n<br \/>\n<\/span><\/span><\/h2>\n<p>Esta vez le ha tocado a <strong>Contact Form 7<\/strong>. Una vulnerabilidad cr\u00edtica detectada en la <strong>versi\u00f3n <span class=\"VIiyi\" lang=\"es\"><span class=\"JLqJ4b ChMk0b\" data-language-for-alternatives=\"es\" data-language-to-translate-into=\"en\" data-phrase-index=\"8\">5.3.1 y anteriores<\/span><\/span> <\/strong>permite que un usuario malintencionado pueda tomar el control total de tu web. Esto implica que puede subir cualquier tipo de contenido, eliminarlo o incluso robar informaci\u00f3n y datos sensibles de tus clientes. Por tanto, accede al backend de tu web y actualiza el complemento lo antes posible. \u00a1Tu web y tus clientes est\u00e1n en riesgo!<\/p>\n<p>Si tienes cualquier duda o pregunta, ya sabes que la secci\u00f3n de comentarios es justo para eso \ud83d\ude42 .<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Hace muy pocos d\u00edas os avis\u00e1bamos de una vulnerabilidad en Easy SMTP de WordPress y hoy no traemos noticias mucho mejores. Se ha reportado una vulnerabilidad cr\u00edtica en el plugin Contact Form 7 que podr\u00eda poner en riesgo la seguridad de tu web, pero tambi\u00e9n la de tus clientes.<\/p>\n","protected":false},"author":3,"featured_media":4327,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[45,43,42],"tags":[56,91,52],"_links":{"self":[{"href":"https:\/\/www.lucushost.com\/blog\/wp-json\/wp\/v2\/posts\/4323"}],"collection":[{"href":"https:\/\/www.lucushost.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.lucushost.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.lucushost.com\/blog\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.lucushost.com\/blog\/wp-json\/wp\/v2\/comments?post=4323"}],"version-history":[{"count":15,"href":"https:\/\/www.lucushost.com\/blog\/wp-json\/wp\/v2\/posts\/4323\/revisions"}],"predecessor-version":[{"id":13644,"href":"https:\/\/www.lucushost.com\/blog\/wp-json\/wp\/v2\/posts\/4323\/revisions\/13644"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.lucushost.com\/blog\/wp-json\/wp\/v2\/media\/4327"}],"wp:attachment":[{"href":"https:\/\/www.lucushost.com\/blog\/wp-json\/wp\/v2\/media?parent=4323"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.lucushost.com\/blog\/wp-json\/wp\/v2\/categories?post=4323"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.lucushost.com\/blog\/wp-json\/wp\/v2\/tags?post=4323"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}