{"id":7978,"date":"2026-04-14T11:26:53","date_gmt":"2026-04-14T09:26:53","guid":{"rendered":"https:\/\/www.hostingtg.com\/blog\/?p=7978"},"modified":"2026-04-14T11:26:55","modified_gmt":"2026-04-14T09:26:55","slug":"vulnerabilidades-en-ninja-forms","status":"publish","type":"post","link":"https:\/\/www.hostingtg.com\/blog\/vulnerabilidades-en-ninja-forms\/","title":{"rendered":"Vulnerabilidades en Ninja Forms de WordPress: an\u00e1lisis de CVE-2026-0740"},"content":{"rendered":"\n<h2 class=\"wp-block-heading\"><strong>Qu\u00e9 es la CVE-2026-0740<\/strong><\/h2>\n\n\n\n<p>La <strong>CVE-2026-0740<\/strong> es una vulnerabilidad cr\u00edtica en <strong>Ninja Forms &#8211; File Uploads<\/strong> para WordPress. El fallo permite que un atacante <strong>sin autenticaci\u00f3n<\/strong> suba archivos arbitrarios al servidor debido a una <strong>validaci\u00f3n insuficiente del tipo de fichero<\/strong> en la funci\u00f3n <code>NF_FU_AJAX_Controllers_Uploads::handle_upload<\/code>. Tanto INCIBE como NVD describen que ese escenario puede desembocar en <strong>ejecuci\u00f3n remota de c\u00f3digo (RCE)<\/strong>. La severidad publicada es <strong>CVSS 9.8<\/strong>, y la debilidad est\u00e1 clasificada como <strong>CWE-434<\/strong>, es decir, subida sin restricciones de archivos de tipos peligrosos.<\/p>\n\n\n\n<p>Dicho de forma simple: no estamos hablando de un bug menor ni de una rareza acad\u00e9mica. Estamos ante una v\u00eda de entrada muy seria para cualquier WordPress expuesto a Internet que use el componente vulnerable. Adem\u00e1s, la propia descripci\u00f3n oficial remarca algo especialmente delicado: <strong>no hacen falta credenciales v\u00e1lidas<\/strong> para explotar el fallo.<\/p>\n\n\n\n<p>En mi caso, como administrador de sistemas, este tipo de vulnerabilidad es de las que <strong>no dejo para \u201ccuando haya tiempo\u201d<\/strong>. Cuando una subida de archivos mal validada permite colocar contenido ejecutable en servidor, la distancia entre el fallo y el incidente real es demasiado corta. Ese es el punto que convierte a la <strong>CVE-2026-0740 en Ninja Forms<\/strong> en una prioridad operativa de verdad, no solo en una alerta m\u00e1s dentro del panel de seguridad.<\/p>\n\n\n\n<p>Tambi\u00e9n hay un matiz importante: el parche fue <strong>parcial<\/strong> en la versi\u00f3n <strong>3.3.25<\/strong> y la correcci\u00f3n <strong>completa<\/strong> lleg\u00f3 en la <strong>3.3.27<\/strong>. Por eso, asumir que \u201cya se actualiz\u00f3 hace semanas\u201d sin revisar la versi\u00f3n exacta puede dar una falsa sensaci\u00f3n de seguridad.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Versiones afectadas y alcance<\/strong><\/h2>\n\n\n\n<p>Seg\u00fan INCIBE, est\u00e1n afectadas las versiones <strong>3.3.26 y anteriores<\/strong>, y la recomendaci\u00f3n directa es <strong>actualizar a la 3.3.27<\/strong>. Esa misma informaci\u00f3n aparece reflejada tanto en la ficha del aviso como en la referencia CVE y en fuentes de seguridad que han seguido el caso.<\/p>\n\n\n\n<p>Adem\u00e1s, <a href=\"https:\/\/www.hostingtg.com\/blog\/wordfence-wordpress\/\">Wordfence<\/a> situ\u00f3 el alcance del add-on en torno a <strong>50.000 instalaciones activas estimadas<\/strong>, una cifra que ayuda a entender por qu\u00e9 esta vulnerabilidad resulta tan atractiva para campa\u00f1as automatizadas. No hace falta que un atacante vaya objetivo por objetivo: con una base de despliegue amplia y una explotaci\u00f3n sencilla, lo normal es que aparezcan bots rastreando Internet en busca de instancias vulnerables.<\/p>\n\n\n\n<p>Aqu\u00ed est\u00e1 una de las claves SEO y t\u00e9cnicas del tema: mucha gente buscar\u00e1 solo <strong>\u201cCVE-2026-0740\u201d<\/strong>, pero la consulta realmente \u00fatil para el usuario suele ser otra: <strong>\u201cqu\u00e9 versiones de Ninja Forms est\u00e1n afectadas y qu\u00e9 tengo que hacer\u201d<\/strong>. Y la respuesta corta es clara: si tu instalaci\u00f3n depende de <strong>Ninja Forms &#8211; File Uploads<\/strong> y sigue en <strong>3.3.26 o inferior<\/strong>, tu ventana de exposici\u00f3n es real.<\/p>\n\n\n\n<p>Desde una perspectiva pr\u00e1ctica, esto me preocupa todav\u00eda m\u00e1s en dos escenarios concretos. El primero es el cl\u00e1sico WordPress olvidado que lleva tiempo sin mantenimiento fino. El segundo es mucho peor: <strong>entornos compartidos o mal segmentados<\/strong>, donde comprometer una web puede ser solo el principio. He visto c\u00f3mo una sola debilidad de subida de archivos termina afectando m\u00e1s de una cuenta cuando el servidor no est\u00e1 bien aislado. Esa parte no siempre aparece desarrollada en las fichas t\u00e9cnicas, pero a nivel operativo marca una diferencia enorme.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>C\u00f3mo se explota la vulnerabilidad de Ninja Forms<\/strong><\/h2>\n\n\n\n<p>La mec\u00e1nica base del problema es bastante directa. El componente vulnerable no valida correctamente el tipo de archivo durante el proceso de subida, lo que permite a un atacante enviar ficheros arbitrarios al servidor del sitio afectado. Las descripciones p\u00fablicas de <a href=\"https:\/\/www.incibe.es\/incibe-cert\/alerta-temprana\/vulnerabilidades\/cve-2026-0740\" target=\"_blank\" rel=\"noopener\">INCIBE<\/a>, NVD y otros avisos coinciden en el n\u00facleo del fallo: <strong>subida arbitraria de archivos por parte de atacantes no autenticados<\/strong>, con posibilidad de <strong>RCE<\/strong>.<\/p>\n\n\n\n<p>En medios y avisos t\u00e9cnicos que han seguido el incidente tambi\u00e9n se menciona que la explotaci\u00f3n observada encaja con intentos automatizados y que el problema no se ha quedado en el plano te\u00f3rico. Hispasec, por ejemplo, habla de <strong>explotaci\u00f3n activa<\/strong>, miles de intentos en poco tiempo y riesgo de <strong>control total del sitio<\/strong> si se suben scripts maliciosos.<\/p>\n\n\n\n<p>Traducido a lenguaje de administraci\u00f3n: si un atacante consigue colocar un <strong>PHP malicioso<\/strong> en una ruta accesible y ejecutable, ya no est\u00e1 \u201cprobando un formulario\u201d, est\u00e1 buscando una puerta estable al servidor. Por eso, cuando leo una vulnerabilidad como esta, no pienso solo en el formulario comprometido. Pienso en lo que viene despu\u00e9s: <strong>webshell<\/strong>, comandos remotos, robo de credenciales, pivotaje y persistencia.<\/p>\n\n\n\n<p>Otro detalle relevante es que algunas fuentes se\u00f1alan que, adem\u00e1s de la validaci\u00f3n insuficiente del tipo de archivo, puede haber abuso del nombre o destino del fichero para facilitar escenarios peligrosos. Ese tipo de combinaci\u00f3n es justo la que convierte una mala validaci\u00f3n en un problema sist\u00e9mico y no en un error cosm\u00e9tico.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Impacto real: de una simple subida a una RCE completa<\/strong><\/h2>\n\n\n\n<p>Lo verdaderamente cr\u00edtico de la <strong>CVE-2026-0740 en WordPress<\/strong> no es solo que permita subir archivos. Es que esa subida puede transformarse en <strong>ejecuci\u00f3n remota de c\u00f3digo<\/strong>, y a partir de ah\u00ed el impacto deja de ser \u201cla web est\u00e1 en riesgo\u201d para convertirse en \u201cel servidor puede estar comprometido\u201d. INCIBE y NVD ya apuntan esa posibilidad de forma expl\u00edcita.<\/p>\n\n\n\n<p>En la pr\u00e1ctica, el atacante podr\u00eda:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Instalar una webshell<\/strong> para mantener acceso persistente.<\/li>\n\n\n\n<li><strong>Ejecutar comandos<\/strong> en el servidor.<\/li>\n\n\n\n<li>Intentar <strong>escalar privilegios<\/strong> si el sistema est\u00e1 mal endurecido.<\/li>\n\n\n\n<li>Aprovechar una mala segmentaci\u00f3n para <strong>moverse lateralmente<\/strong> hacia otros sitios, usuarios o servicios.<\/li>\n<\/ul>\n\n\n\n<p>Esa cadena no es una exageraci\u00f3n, sino la evoluci\u00f3n l\u00f3gica de una subida arbitraria bien aprovechada. Y aqu\u00ed es donde entra mi parte m\u00e1s pr\u00e1ctica: cuando un fallo as\u00ed afecta a un plugin de WordPress muy desplegado, lo peligroso no es solo el exploit en s\u00ed, sino la <strong>velocidad<\/strong> con la que puede industrializarse. Si hay <strong>miles de intentos de explotaci\u00f3n<\/strong> en un periodo corto y el add-on ronda las <strong>50.000 instalaciones activas estimadas<\/strong>, la presi\u00f3n sobre sitios desactualizados crece muy deprisa.<\/p>\n\n\n\n<p>En entornos de <strong>hosting compartido<\/strong> o infraestructuras sin un aislamiento serio, el da\u00f1o puede multiplicarse. Por eso, cuando prob\u00e9 situaciones parecidas en auditor\u00edas y revisiones de incidentes, la pregunta nunca fue solo \u201c\u00bfhan tocado esta web?\u201d, sino \u201c\u00bfqu\u00e9 m\u00e1s pod\u00edan tocar desde aqu\u00ed?\u201d. Ese cambio de enfoque es importante porque obliga a revisar no solo WordPress, sino tambi\u00e9n permisos, usuarios, rutas accesibles, tareas programadas y credenciales relacionadas.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>C\u00f3mo saber si tu WordPress puede estar afectado<\/strong><\/h2>\n\n\n\n<p>Lo primero es confirmar si utilizas el <strong>add-on Ninja Forms &#8211; File Uploads<\/strong> y qu\u00e9 versi\u00f3n exacta tienes instalada. Si est\u00e1s en <strong>3.3.26 o inferior<\/strong>, el sitio entra en el rango vulnerable descrito p\u00fablicamente. Si te quedaste en <strong>3.3.25<\/strong>, no dar\u00eda por cerrada la incidencia, porque la correcci\u00f3n completa se sit\u00faa en la <strong>3.3.27<\/strong>.<\/p>\n\n\n\n<p>Lo segundo es mirar con ojos de incidente, no solo de mantenimiento. Yo revisar\u00eda, como m\u00ednimo:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Archivos PHP inesperados<\/strong> en directorios de subida.<\/li>\n\n\n\n<li>Ficheros recientes en rutas web accesibles.<\/li>\n\n\n\n<li>Cambios an\u00f3malos en permisos o timestamps.<\/li>\n\n\n\n<li>Peticiones sospechosas relacionadas con formularios y carga de archivos.<\/li>\n\n\n\n<li>Nuevos usuarios, tareas o artefactos que no encajen con el funcionamiento normal del sitio.<\/li>\n<\/ul>\n\n\n\n<p>Hispasec recomienda precisamente revisar el servidor en busca de <strong>PHP inesperados<\/strong>, artefactos recientes y, si hay sospecha de intrusi\u00f3n, <strong>rotar credenciales y claves<\/strong> asociadas al sitio. Tambi\u00e9n menciona <a href=\"https:\/\/www.hostingtg.com\/blog\/imunify360-wordpress-waf\/\">reforzar el per\u00edmetro con reglas de <strong>WAF<\/strong><\/a> y bloquear patrones de subida no autorizada o <strong>path traversal<\/strong>.<\/p>\n\n\n\n<p>A m\u00ed me gusta resumirlo as\u00ed: <strong>actualizar es obligatorio, pero no siempre suficiente<\/strong>. Si el sitio ha estado expuesto mientras la vulnerabilidad era explotable, conviene asumir durante un rato una mentalidad de respuesta a incidente. Porque s\u00ed, aplicar el parche cierra la puerta, pero no elimina por s\u00ed solo lo que haya podido entrar antes.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>C\u00f3mo corregir y mitigar la CVE-2026-0740<\/strong><\/h2>\n\n\n\n<p>La medida principal es <strong>actualizar inmediatamente a Ninja Forms &#8211; File Uploads 3.3.27 o superior<\/strong>. Eso no admite mucha discusi\u00f3n: es la soluci\u00f3n directa recomendada por las fuentes oficiales y por los avisos t\u00e9cnicos que han seguido el caso.<\/p>\n\n\n\n<p>A partir de ah\u00ed, yo har\u00eda una respuesta en este orden:<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>1. Actualizar<\/strong><\/h3>\n\n\n\n<p>Comprueba la versi\u00f3n real del add-on y actualiza a <strong>3.3.27 o superior<\/strong>. Si dependes de flujos internos o despliegues manuales, valida que el cambio se haya aplicado de verdad y no solo \u201cen teor\u00eda\u201d.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>2. Revisar indicios de compromiso<\/strong><\/h3>\n\n\n\n<p>Busca <strong>scripts PHP sospechosos<\/strong>, revisa directorios de subida y confirma integridad de archivos. Si encuentras algo raro, cambia contrase\u00f1as, claves y tokens relacionados con WordPress, panel, base de datos y servicios asociados.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>3. Endurecer el servidor<\/strong><\/h3>\n\n\n\n<p>Siempre que puedas, <strong>impide la ejecuci\u00f3n de PHP en directorios de subida<\/strong> como <code>uploads<\/code>. Esta capa no sustituye el parche, pero recorta mucho el da\u00f1o potencial si vuelve a aparecer un fallo parecido.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>4. Reforzar el per\u00edmetro<\/strong><\/h3>\n\n\n\n<p>Aplica reglas de <strong>WAF\/Firewall<\/strong> que bloqueen cargas de ficheros peligrosos y patrones de <strong>path traversal<\/strong>. De nuevo: no reemplaza la actualizaci\u00f3n, pero reduce la exposici\u00f3n.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>5. Reducir superficie de ataque<\/strong><\/h3>\n\n\n\n<p>Si no necesitas la subida de archivos en formularios p\u00fablicos, lim\u00edtala o desact\u00edvala hasta tener todo verificado. En un WordPress expuesto a Internet, cualquier funcionalidad de carga es una superficie especialmente sensible.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Buenas pr\u00e1cticas para no volver a caer en un fallo parecido<\/strong><\/h2>\n\n\n\n<p>La <strong>CVE-2026-0740 de Ninja Forms<\/strong> encaja en una familia de errores muy conocida: confiar demasiado en la subida de archivos. Por eso, m\u00e1s all\u00e1 del parche puntual, hay varias medidas que merecen quedarse como norma.<\/p>\n\n\n\n<p>La primera es revisar con lupa cualquier plugin que permita <strong>adjuntar ficheros<\/strong>. No todos los riesgos vienen de plugins enormes o ex\u00f3ticos; a veces el problema est\u00e1 en una extensi\u00f3n concreta, muy \u00fatil, pero poco vigilada. La segunda es endurecer el servidor para que un fallo de aplicaci\u00f3n no se convierta tan r\u00e1pido en una <strong>RCE<\/strong> funcional. La tercera es asumir que los entornos mal segmentados son gasolina para este tipo de vulnerabilidades.<\/p>\n\n\n\n<p>En mi experiencia, el error m\u00e1s caro no suele ser \u201ctener un plugin vulnerable\u201d, sino combinarlo con <strong>mantenimiento irregular<\/strong>, <strong>permisos laxos<\/strong>, <strong>falta de visibilidad<\/strong> y una confianza excesiva en que el login bastar\u00e1 como frontera. Aqu\u00ed no bast\u00f3. Precisamente porque la explotaci\u00f3n se describe como <strong>no autenticada<\/strong>, cualquier web vulnerable publicada en Internet se vuelve un candidato claro para ataques automatizados.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Sobre Ninja Forms<\/strong><\/h2>\n\n\n\n<p>La <strong>CVE-2026-0740<\/strong> no es una vulnerabilidad m\u00e1s dentro del ruido habitual de WordPress. Es un fallo cr\u00edtico en <strong>Ninja Forms &#8211; File Uploads<\/strong> que permite <strong>subida arbitraria de archivos<\/strong>, afecta a versiones <strong>hasta la 3.3.26<\/strong>, tiene una severidad <strong>CVSS 9.8<\/strong> y puede terminar en <strong>ejecuci\u00f3n remota de c\u00f3digo<\/strong> por parte de atacantes <strong>sin autenticaci\u00f3n<\/strong>. La correcci\u00f3n completa est\u00e1 en la <strong>3.3.27<\/strong>.<\/p>\n\n\n\n<p>Mi lectura es clara: si administras WordPress, este es el tipo de incidente que exige actuar en dos frentes a la vez. Primero, <strong>parchar ya<\/strong>. Segundo, revisar si el sitio ha podido ser tocado antes del parche. Porque cuando una vulnerabilidad deja subir archivos maliciosos al servidor, el problema real no es el formulario: es todo lo que un atacante puede construir a partir de esa entrada.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Preguntas de la comunidad<\/strong><\/h2>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>\u00bfQu\u00e9 es exactamente la CVE-2026-0740?<\/strong><\/h3>\n\n\n\n<p>Es una vulnerabilidad cr\u00edtica en <strong>Ninja Forms &#8211; File Uploads<\/strong> para WordPress que permite a atacantes no autenticados subir archivos arbitrarios al servidor, con posibilidad de derivar en <strong>RCE<\/strong>.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>\u00bfQu\u00e9 versiones est\u00e1n afectadas?<\/strong><\/h3>\n\n\n\n<p>Las versiones <strong>3.3.26 y anteriores<\/strong>. La correcci\u00f3n completa se sit\u00faa en la <strong>3.3.27<\/strong>.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>\u00bfLa explotaci\u00f3n requiere credenciales?<\/strong><\/h3>\n\n\n\n<p>No. Las descripciones p\u00fablicas indican que puede ser explotada por <strong>atacantes no autenticados<\/strong>.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>\u00bfActualizar basta si mi web ha estado expuesta?<\/strong><\/h3>\n\n\n\n<p>No siempre. Actualizar cierra la vulnerabilidad, pero si hubo explotaci\u00f3n previa conviene revisar archivos, artefactos, logs y rotar credenciales relacionadas.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>\u00bfPor qu\u00e9 esta vulnerabilidad es tan peligrosa en hosting compartido?<\/strong><\/h3>\n\n\n\n<p>Porque una intrusi\u00f3n en una web puede facilitar acceso o impacto sobre otras cuentas y servicios si el aislamiento del servidor es deficiente. Esa parte depende del entorno, pero a nivel operativo eleva mucho el riesgo.<\/p>\n\n\n\n<p><strong>Opini\u00f3n Personal<\/strong><\/p>\n\n\n\n<p>La <strong>CVE-2026-0740 en Ninja Forms<\/strong> es un recordatorio bastante claro de un problema que se repite demasiado en el ecosistema WordPress: seguimos viendo vulnerabilidades cr\u00edticas en funcionalidades tan sensibles como la <strong>subida de archivos<\/strong>, y eso nunca deber\u00eda tomarse como algo menor.<\/p>\n\n\n\n<p>Lo que m\u00e1s me preocupa de este caso no es solo la gravedad t\u00e9cnica, sino la combinaci\u00f3n de factores que la hacen especialmente peligrosa: <strong>explotaci\u00f3n sin autenticaci\u00f3n<\/strong>, posibilidad de <strong>subir archivos maliciosos<\/strong> y un impacto que puede escalar r\u00e1pidamente hasta una <strong>ejecuci\u00f3n remota de c\u00f3digo<\/strong>. Cuando una vulnerabilidad re\u00fane todos esos elementos, deja de ser una simple alerta de seguridad para convertirse en una amenaza real para miles de sitios web.<\/p>\n\n\n\n<p>Adem\u00e1s, este tipo de fallos demuestra que muchas veces el mayor riesgo no est\u00e1 en un ataque sofisticado, sino en errores b\u00e1sicos que siguen apareciendo una y otra vez. Y ah\u00ed es donde, desde mi punto de vista, tanto administradores como propietarios de webs tienen una responsabilidad clara: <strong>mantener plugins actualizados, revisar configuraciones y no confiarse solo porque el sitio \u201cparece funcionar bien\u201d<\/strong>.<\/p>\n\n\n\n<p>Tambi\u00e9n creo que este incidente pone sobre la mesa algo importante: la seguridad en WordPress no puede depender \u00fanicamente de instalar plugins y olvidarse de ellos. Hace falta una mentalidad m\u00e1s proactiva, m\u00e1s cr\u00edtica y m\u00e1s orientada a la prevenci\u00f3n. Porque cuando una vulnerabilidad como esta entra en fase de explotaci\u00f3n activa, reaccionar tarde puede salir muy caro.<\/p>\n\n\n\n<p><strong>Y t\u00fa qu\u00e9 opinas sobre esta vulnerabilidad?<\/strong> \u00bfCrees que los administradores de WordPress siguen infravalorando este tipo de riesgos? <strong>Te leo en los comentarios.<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Qu\u00e9 es la CVE-2026-0740 La CVE-2026-0740 es una vulnerabilidad cr\u00edtica en Ninja Forms &#8211; File Uploads para WordPress. El fallo permite que un atacante sin autenticaci\u00f3n suba archivos arbitrarios al servidor debido a una validaci\u00f3n insuficiente del tipo de fichero en la funci\u00f3n NF_FU_AJAX_Controllers_Uploads::handle_upload. Tanto INCIBE como NVD describen que ese escenario puede desembocar en [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":7979,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"set","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[1],"tags":[1355,1354,1272,269,654,197],"class_list":["post-7978","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","tag-cve","tag-ninja-forms","tag-vulnerabilidad","tag-vulnerabilidades","tag-wordfence","tag-wordpress"],"_links":{"self":[{"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/posts\/7978","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/comments?post=7978"}],"version-history":[{"count":1,"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/posts\/7978\/revisions"}],"predecessor-version":[{"id":7980,"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/posts\/7978\/revisions\/7980"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/media\/7979"}],"wp:attachment":[{"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/media?parent=7978"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/categories?post=7978"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/tags?post=7978"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}