Una nueva vulnerabilidad crítica ha sacudido el ecosistema WordPress: según informes recientes, el popular plugin Forminator expone a más de 400.000 sitios web a posibles ataques de toma de control. Si gestionas una web con este plugin, es momento de prestar atención y tomar medidas urgentes para proteger tu proyecto digital.
¿Qué es Forminator y por qué es tan utilizado en WordPress?
Forminator es uno de los plugins más populares para crear formularios en WordPress, con más de 600.000 instalaciones activas. Permite a los usuarios diseñar formularios de contacto, encuestas, pagos y mucho más, todo con un sistema visual y sencillo de arrastrar y soltar.
Según la fuente, esta herramienta es esencial para quienes buscan interactuar con sus visitantes y recopilar información de manera eficiente, lo que la convierte en un objetivo atractivo para los ciberdelincuentes.
La versatilidad de Forminator ha hecho que esté presente en todo tipo de sitios: desde blogs personales hasta portales de empresas y tiendas online.
Si quieres conocer otras alternativas seguras para formularios, puedes consultar nuestra lista de plugins recomendados.
La vulnerabilidad CVE-2025-6463: cómo funciona el ataque
Según informes de seguridad, el fallo identificado como CVE-2025-6463 permite a un atacante no autenticado eliminar archivos arbitrarios del servidor simplemente enviando datos manipulados a través de un formulario creado con Forminator.
El problema reside en la falta de validación y saneamiento de los campos del formulario. Esto hace posible que un atacante inserte rutas de archivos críticos, como el wp-config.php, y consiga que el plugin los elimine cuando se borra un formulario o una entrada.
La eliminación de este archivo clave fuerza al sitio WordPress a entrar en modo de configuración, permitiendo que el atacante lo conecte a una base de datos bajo su control y tome el control total del sitio.
Para más detalles técnicos, puedes leer el informe completo en BleepingComputer.
¿A cuántos sitios afecta y cuál es el riesgo real?
Según datos de WordPress.org, más de 600.000 sitios usan Forminator, pero se estima que al menos 400.000 webs siguen vulnerables porque no han actualizado el plugin tras la publicación del parche de seguridad.
La gravedad del fallo ha sido calificada con un CVSS de 8.8 sobre 10, lo que lo sitúa entre las amenazas más serias del año para WordPress.
Aunque hasta el momento no se han reportado ataques masivos, los expertos advierten que la divulgación pública de los detalles técnicos podría disparar los intentos de explotación en los próximos días.
Si gestionas una web WordPress, puedes comprobar si tu sitio está en riesgo revisando la versión instalada de Forminator desde el panel de administración.
Cómo proteger tu web: pasos recomendados por los expertos
Según los informes, la solución pasa por actualizar Forminator a la versión 1.44.3 o superior, que ya incluye las correcciones necesarias para bloquear este vector de ataque.
Los desarrolladores han implementado un sistema de validación que solo permite eliminar archivos subidos a través de campos específicos y ubicados en la carpeta de uploads de WordPress, cerrando así la puerta a la explotación del fallo.
Si no puedes actualizar de inmediato, los expertos recomiendan desactivar el plugin hasta poder instalar la versión segura. Además, es fundamental realizar copias de seguridad periódicas y mantener todos los plugins y temas actualizados.
- Actualiza Forminator a la última versión disponible.
- Desactiva y elimina plugins no utilizados para reducir la superficie de ataque.
- Revisa los registros de actividad en busca de acciones sospechosas.
- Haz copias de seguridad antes de cualquier cambio importante.
Para más consejos sobre seguridad en WordPress, visita nuestra sección especializada.
Lecciones para el futuro: la importancia de la seguridad en plugins
Este incidente subraya la importancia de mantener actualizados todos los componentes de tu web y elegir solo plugins de desarrolladores confiables. Según los expertos, la mayoría de los ataques a WordPress se producen por vulnerabilidades en plugins y temas desactualizados.
Además, se recomienda suscribirse a boletines de seguridad y seguir las alertas de plataformas como Wordfence o el blog oficial de WordPress para estar al día de los últimos riesgos y parches.
La seguridad web es un proceso continuo: prevenir es siempre mejor que curar. Si tienes dudas, consulta a un profesional o utiliza herramientas de análisis de vulnerabilidades para proteger tu sitio.
Para estar al tanto de las últimas novedades en ciberseguridad, no dudes en explorar nuestros artículos sobre seguridad digital y mantenerte informado sobre las mejores prácticas para proteger tu presencia online.
Fuente: https://www.bleepingcomputer.com/news/security/forminator-plugin-flaw-exposes-wordpress-sites-to-takeover-attacks