{"id":129100,"date":"2025-07-08T13:25:39","date_gmt":"2025-07-08T11:25:39","guid":{"rendered":"https:\/\/quondos.com\/mag\/?p=129100"},"modified":"2025-07-08T13:25:41","modified_gmt":"2025-07-08T11:25:41","slug":"alerta-de-seguridad-una-vulnerabilidad-en-forminator-pone-en-jaque-a-miles-de-webs-wordpress","status":"publish","type":"post","link":"https:\/\/quondos.com\/mag\/alerta-de-seguridad-una-vulnerabilidad-en-forminator-pone-en-jaque-a-miles-de-webs-wordpress\/","title":{"rendered":"Alerta de seguridad: una vulnerabilidad en Forminator pone en jaque a miles de webs WordPress"},"content":{"rendered":"\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"800\" height=\"400\" src=\"https:\/\/quondos.com\/mag\/wp-content\/uploads\/2023\/05\/wordpress-6.2.1-la-lia-shortcodes.jpg\" alt=\"wordpress 6.2.1 la lia shortcodes\" class=\"wp-image-124496\" title=\"\" srcset=\"https:\/\/quondos.com\/mag\/wp-content\/uploads\/2023\/05\/wordpress-6.2.1-la-lia-shortcodes.jpg 800w, https:\/\/quondos.com\/mag\/wp-content\/uploads\/2023\/05\/wordpress-6.2.1-la-lia-shortcodes-300x150.jpg 300w, https:\/\/quondos.com\/mag\/wp-content\/uploads\/2023\/05\/wordpress-6.2.1-la-lia-shortcodes-768x384.jpg 768w\" sizes=\"auto, (max-width: 800px) 100vw, 800px\" \/><\/figure>\n\n\n\n<body> <p> <strong>Una nueva vulnerabilidad cr\u00edtica<\/strong> ha sacudido el ecosistema WordPress: seg\u00fan informes recientes, el popular plugin <strong>Forminator<\/strong> expone a m\u00e1s de 400.000 sitios web a posibles ataques de toma de control. Si gestionas una web con este plugin, es momento de prestar atenci\u00f3n y tomar medidas urgentes para proteger tu proyecto digital. <\/p> <div id=\"ez-toc-container\" class=\"ez-toc-v2_0_76 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">\u00cdndice de contenidos<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Alternar tabla de contenidos\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/quondos.com\/mag\/alerta-de-seguridad-una-vulnerabilidad-en-forminator-pone-en-jaque-a-miles-de-webs-wordpress\/#%C2%BFQue_es_Forminator_y_por_que_es_tan_utilizado_en_WordPress\" >\u00bfQu\u00e9 es Forminator y por qu\u00e9 es tan utilizado en WordPress?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/quondos.com\/mag\/alerta-de-seguridad-una-vulnerabilidad-en-forminator-pone-en-jaque-a-miles-de-webs-wordpress\/#La_vulnerabilidad_CVE-2025-6463_como_funciona_el_ataque\" >La vulnerabilidad CVE-2025-6463: c\u00f3mo funciona el ataque<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/quondos.com\/mag\/alerta-de-seguridad-una-vulnerabilidad-en-forminator-pone-en-jaque-a-miles-de-webs-wordpress\/#%C2%BFA_cuantos_sitios_afecta_y_cual_es_el_riesgo_real\" >\u00bfA cu\u00e1ntos sitios afecta y cu\u00e1l es el riesgo real?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/quondos.com\/mag\/alerta-de-seguridad-una-vulnerabilidad-en-forminator-pone-en-jaque-a-miles-de-webs-wordpress\/#Como_proteger_tu_web_pasos_recomendados_por_los_expertos\" >C\u00f3mo proteger tu web: pasos recomendados por los expertos<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/quondos.com\/mag\/alerta-de-seguridad-una-vulnerabilidad-en-forminator-pone-en-jaque-a-miles-de-webs-wordpress\/#Lecciones_para_el_futuro_la_importancia_de_la_seguridad_en_plugins\" >Lecciones para el futuro: la importancia de la seguridad en plugins<\/a><\/li><\/ul><\/nav><\/div>\n<h2><span class=\"ez-toc-section\" id=\"%C2%BFQue_es_Forminator_y_por_que_es_tan_utilizado_en_WordPress\"><\/span>\u00bfQu\u00e9 es Forminator y por qu\u00e9 es tan utilizado en WordPress?<span class=\"ez-toc-section-end\"><\/span><\/h2> <p> Forminator es uno de los <strong>plugins m\u00e1s populares para crear formularios<\/strong> en WordPress, con m\u00e1s de 600.000 instalaciones activas. Permite a los usuarios dise\u00f1ar formularios de contacto, encuestas, pagos y mucho m\u00e1s, todo con un sistema visual y sencillo de arrastrar y soltar. <\/p> <p> Seg\u00fan la fuente, esta herramienta es esencial para quienes buscan <strong>interactuar con sus visitantes<\/strong> y recopilar informaci\u00f3n de manera eficiente, lo que la convierte en un objetivo atractivo para los ciberdelincuentes. <\/p> <p> La versatilidad de Forminator ha hecho que est\u00e9 presente en todo tipo de sitios: desde blogs personales hasta portales de empresas y tiendas online. <\/p> <p> Si quieres conocer otras alternativas seguras para formularios, puedes consultar nuestra <a href=\"\/plugins-wordpress-seguros\">lista de plugins recomendados<\/a>. <\/p> <h2><span class=\"ez-toc-section\" id=\"La_vulnerabilidad_CVE-2025-6463_como_funciona_el_ataque\"><\/span>La vulnerabilidad CVE-2025-6463: c\u00f3mo funciona el ataque<span class=\"ez-toc-section-end\"><\/span><\/h2> <p> Seg\u00fan informes de seguridad, el fallo identificado como <strong>CVE-2025-6463<\/strong> permite a un atacante no autenticado <strong>eliminar archivos arbitrarios del servidor<\/strong> simplemente enviando datos manipulados a trav\u00e9s de un formulario creado con Forminator. <\/p> <p> El problema reside en la <strong>falta de validaci\u00f3n y saneamiento de los campos<\/strong> del formulario. Esto hace posible que un atacante inserte rutas de archivos cr\u00edticos, como el <strong>wp-config.php<\/strong>, y consiga que el plugin los elimine cuando se borra un formulario o una entrada. <\/p> <p> La eliminaci\u00f3n de este archivo clave fuerza al sitio WordPress a entrar en modo de configuraci\u00f3n, permitiendo que el atacante lo conecte a una base de datos bajo su control y tome el control total del sitio. <\/p> <p> Para m\u00e1s detalles t\u00e9cnicos, puedes leer el <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/forminator-plugin-flaw-exposes-wordpress-sites-to-takeover-attacks\/\" rel=\"noopener\" target=\"_blank\">informe completo en BleepingComputer<\/a>. <\/p> <h2><span class=\"ez-toc-section\" id=\"%C2%BFA_cuantos_sitios_afecta_y_cual_es_el_riesgo_real\"><\/span>\u00bfA cu\u00e1ntos sitios afecta y cu\u00e1l es el riesgo real?<span class=\"ez-toc-section-end\"><\/span><\/h2> <p> Seg\u00fan datos de WordPress.org, <strong>m\u00e1s de 600.000 sitios usan Forminator<\/strong>, pero se estima que <strong>al menos 400.000 webs siguen vulnerables<\/strong> porque no han actualizado el plugin tras la publicaci\u00f3n del parche de seguridad. <\/p> <p> La gravedad del fallo ha sido calificada con un <strong>CVSS de 8.8<\/strong> sobre 10, lo que lo sit\u00faa entre las amenazas m\u00e1s serias del a\u00f1o para WordPress. <\/p> <p> Aunque hasta el momento no se han reportado ataques masivos, los expertos advierten que la <strong>divulgaci\u00f3n p\u00fablica de los detalles t\u00e9cnicos<\/strong> podr\u00eda disparar los intentos de explotaci\u00f3n en los pr\u00f3ximos d\u00edas. <\/p> <p> Si gestionas una web WordPress, puedes comprobar si tu sitio est\u00e1 en riesgo revisando la versi\u00f3n instalada de Forminator desde el panel de administraci\u00f3n. <\/p> <h2><span class=\"ez-toc-section\" id=\"Como_proteger_tu_web_pasos_recomendados_por_los_expertos\"><\/span>C\u00f3mo proteger tu web: pasos recomendados por los expertos<span class=\"ez-toc-section-end\"><\/span><\/h2> <p> Seg\u00fan los informes, la soluci\u00f3n pasa por <strong>actualizar Forminator a la versi\u00f3n 1.44.3 o superior<\/strong>, que ya incluye las correcciones necesarias para bloquear este vector de ataque. <\/p> <p> Los desarrolladores han implementado un sistema de validaci\u00f3n que solo permite eliminar archivos subidos a trav\u00e9s de campos espec\u00edficos y ubicados en la carpeta de uploads de WordPress, cerrando as\u00ed la puerta a la explotaci\u00f3n del fallo. <\/p> <p> Si no puedes actualizar de inmediato, los expertos recomiendan <strong>desactivar el plugin<\/strong> hasta poder instalar la versi\u00f3n segura. Adem\u00e1s, es fundamental realizar copias de seguridad peri\u00f3dicas y mantener todos los plugins y temas actualizados. <\/p> <ul> <li><strong>Actualiza Forminator<\/strong> a la \u00faltima versi\u00f3n disponible.<\/li> <li><strong>Desactiva y elimina plugins no utilizados<\/strong> para reducir la superficie de ataque.<\/li> <li><strong>Revisa los registros de actividad<\/strong> en busca de acciones sospechosas.<\/li> <li><strong>Haz copias de seguridad<\/strong> antes de cualquier cambio importante.<\/li> <\/ul> <p> Para m\u00e1s consejos sobre seguridad en WordPress, visita nuestra <a href=\"\/seguridad-wordpress\">secci\u00f3n especializada<\/a>. <\/p> <h2><span class=\"ez-toc-section\" id=\"Lecciones_para_el_futuro_la_importancia_de_la_seguridad_en_plugins\"><\/span>Lecciones para el futuro: la importancia de la seguridad en plugins<span class=\"ez-toc-section-end\"><\/span><\/h2> <p> Este incidente subraya la importancia de <strong>mantener actualizados todos los componentes de tu web<\/strong> y elegir solo plugins de desarrolladores confiables. Seg\u00fan los expertos, la mayor\u00eda de los ataques a WordPress se producen por vulnerabilidades en plugins y temas desactualizados. <\/p> <p> Adem\u00e1s, se recomienda suscribirse a boletines de seguridad y seguir las alertas de plataformas como Wordfence o el blog oficial de WordPress para estar al d\u00eda de los \u00faltimos riesgos y parches. <\/p> <p> La seguridad web es un proceso continuo: <strong>prevenir es siempre mejor que curar<\/strong>. Si tienes dudas, consulta a un profesional o utiliza herramientas de an\u00e1lisis de vulnerabilidades para proteger tu sitio. <\/p> <p> Para estar al tanto de las \u00faltimas novedades en ciberseguridad, no dudes en explorar nuestros <a href=\"\/articulos-seguridad\">art\u00edculos sobre seguridad digital<\/a> y mantenerte informado sobre las mejores pr\u00e1cticas para proteger tu presencia online. <\/p> <\/body> \n\n\n\n<p>Fuente: https:\/\/www.bleepingcomputer.com\/news\/security\/forminator-plugin-flaw-exposes-wordpress-sites-to-takeover-attacks<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Una nueva vulnerabilidad cr\u00edtica ha sacudido el ecosistema WordPress: seg\u00fan informes recientes, el popular plugin Forminator expone a m\u00e1s de &#8230; <\/p>\n<p class=\"read-more-container\"><a title=\"Alerta de seguridad: una vulnerabilidad en Forminator pone en jaque a miles de webs WordPress\" class=\"read-more button\" href=\"https:\/\/quondos.com\/mag\/alerta-de-seguridad-una-vulnerabilidad-en-forminator-pone-en-jaque-a-miles-de-webs-wordpress\/#more-129100\" aria-label=\"Leer m\u00e1s sobre Alerta de seguridad: una vulnerabilidad en Forminator pone en jaque a miles de webs WordPress\">Leer m\u00e1s<\/a><\/p>\n","protected":false},"author":850,"featured_media":124496,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[163],"tags":[],"class_list":["post-129100","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-diseno-web","generate-columns","tablet-grid-50","mobile-grid-100","grid-parent","grid-50","no-featured-image-padding"],"_links":{"self":[{"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/posts\/129100","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/users\/850"}],"replies":[{"embeddable":true,"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/comments?post=129100"}],"version-history":[{"count":1,"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/posts\/129100\/revisions"}],"predecessor-version":[{"id":129101,"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/posts\/129100\/revisions\/129101"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/media\/124496"}],"wp:attachment":[{"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/media?parent=129100"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/categories?post=129100"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/quondos.com\/mag\/wp-json\/wp\/v2\/tags?post=129100"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}