600,000+ WordPress Sitios en riesgo: Vulnerabilidad crítica de eliminación de archivos encontrada en el complemento Forminator

Divulgación: Contenido en el HostScore.net La sección de noticias puede incluir presentaciones de relaciones públicas pagadas de terceros. Las opiniones expresadas son únicamente las de las respectivas empresas. Obtenga más información sobre nuestras presentaciones de relaciones públicas aquí.

Se ha descubierto una grave vulnerabilidad de seguridad en el ampliamente utilizado WordPress Plugin Forminator, que cuenta con más de 600,000 usuarios activos WordPress sitios en riesgo. La falla, Revelado por investigadores de seguridad en Wordfence el 2 de julio de 2025, permite a atacantes autenticados eliminar archivos arbitrarios en el servidor.

¿Qué es la vulnerabilidad del complemento Forminator?

La vulnerabilidad afecta a las versiones de Forminator anteriores a la 1.29.3. Forminator es un plugin popular que se utiliza para crear formularios de contacto, encuestas, cuestionarios y sondeos en WordPress Sitios. Debido a la falta de una validación de entrada adecuada en la función de carga de archivos, los atacantes con acceso de suscriptor o superior pueden manipular las solicitudes e indicar al complemento que elimine cualquier archivo del servidor al que el usuario del servidor web tenga acceso.

Esto significa que es crítico WordPress Se podrían eliminar archivos principales, temas o complementos, lo que provocaría un sitio roto o la eliminación total del mismo.

¿Cómo funciona el ataque?

Un atacante primero debe obtener acceso a cualquier cuenta de usuario válida en una red vulnerable. WordPress sitio. Una vez autenticados, pueden crear solicitudes maliciosas aprovechando el mecanismo inseguro de eliminación de archivos en el punto final de carga de Forminator. Dado que muchos WordPress Los sitios permiten el registro de usuarios (piense en membresías, LMS o sitios comunitarios), incluso una cuenta de suscriptor es suficiente para lanzar un ataque.

¿A quiénes afecta?

Año WordPress El sitio que ejecuta versiones de Forminator anteriores a 1.29.3 es vulnerable.

De acuerdo con WordPress.org, Forminator tiene más de 600,000 instalaciones activas, lo que significa que una cantidad significativa de sitios web permanecen expuestos si no se han actualizado.

Los sitios web que permiten el registro de usuarios corren un riesgo particular porque los atacantes pueden simplemente crear una cuenta y explotar la vulnerabilidad sin necesidad de privilegios de administrador.

El complemento Forminator Forms, con más de 600,000 instalaciones activas según WordPress.org, se actualizó hace apenas unos días al momento de escribir este artículo.

Wordfence otorga un programa de recompensas por errores que bate récords

En reconocimiento de la gravedad de esta falla, Wordfence otorgó su mayor recompensa hasta la fecha: 8,100 dólares. Esta recompensa se pagó al investigador que divulgó responsablemente la vulnerabilidad a través del Programa de Recompensas por Errores de Wordfence. Según Wordfence, esta es la mayor recompensa otorgada en la historia del programa.

El pago sin precedentes subraya la naturaleza crítica de la vulnerabilidad y destaca la importancia de los programas de divulgación responsable para mantener la WordPress ecosistema seguro.

¿Qué deben hacer los propietarios de sitios?

Wordfence recomienda que todos WordPress Los propietarios de sitios que usan Forminator deben actualizar inmediatamente a la versión parcheada 1.29.3 o posterior. La actualización incluye una corrección para la vulnerabilidad e impide que los atacantes la exploten.

Además de la actualización, los propietarios del sitio deben:

  • Opiniones cuentas de usuario: Audite todos los registros de usuarios para detectar cuentas sospechosas o inesperadas.
  • Endurecer WordPress seguridad: Deshabilite el registro de usuarios innecesarios o limítelo con herramientas como CAPTCHA o verificación de correo electrónico.
  • Utilice un complemento de seguridad: Implemente un firewall como Wordfence o soluciones similares para bloquear el tráfico malicioso de forma proactiva.

¿Se ha explotado la vulnerabilidad?

En el momento del informe de Wordfence, no existían pruebas públicas de una explotación generalizada. Sin embargo, dada la simplicidad del ataque y la facilidad para obtener acceso a nivel de suscriptor, las explotaciones activas podrían comenzar en cualquier momento.

Conclusión

Esta vulnerabilidad en Forminator sirve como un duro recordatorio de la importancia del mantenimiento y la seguridad proactivos del sitio web. WordPress Los plugins pueden añadir una funcionalidad increíble a tu sitio web, pero también pueden suponer graves riesgos si no se mantienen actualizados. Un solo plugin desactualizado puede dar a los atacantes una vía de acceso para comprometer todo tu sitio web, dañar tu reputación o incluso borrar tus datos.

At HostScore.netLe recomendamos encarecidamente que no solo actualice sus complementos con regularidad, sino que también invierta tiempo en comprender qué funciones y protecciones ofrece su proveedor de alojamiento para mantener su sitio web seguro. el Curso Advanced DDoS Protección a escaneo de malwareLos planes de alojamiento modernos a menudo vienen con características de seguridad que pueden marcar una diferencia crítica cuando surgen vulnerabilidades como esta.

¿Quieres saber cómo proteger mejor tu sitio? Consulta nuestra guía detallada. Cómo proteger sus sitios: características de seguridad esenciales de alojamiento web que necesita conocerCubre las herramientas y prácticas de seguridad clave que todo propietario de un sitio web debe tener implementadas para mantenerse a la vanguardia de las amenazas potenciales.

/ 600,000+ WordPress Sitios en riesgo: Vulnerabilidad crítica de eliminación de archivos encontrada en el complemento Forminator

Mas de HostScore

Envíe las noticias de su empresa

Buscando oportunidades de publicidad en HostScore.net?

Comparta los últimos logros, anuncios de productos e hitos de su empresa con nuestros lectores. Utilice este formulario de envío de autoservicio y pasarela de pago para comenzar al instante.

Enviar Noticias (Autoservicio)

Explora nuestro sitio web

HostScore Se creó para ofrecer a quienes buscan soluciones de alojamiento web la oportunidad de aprender todo lo que necesitan saber sobre los proveedores de alojamiento, antes de gastar un centavo en ellos.

Guía de Alojamiento Web

Comparación de hosts

Cupones de descuento

Nuestras mejores selecciones

Opiniones de alojamiento

Calculadora de Costos de Hosting

HostScore.net Logotipo

HostScore Te ayudamos a elegir el alojamiento web adecuado antes de gastar un céntimo. Probamos el rendimiento del servidor, comparamos funciones, monitorizamos el tiempo de actividad y ahora incluso te ayudamos a configurarlo todo. Cada reseña se basa en datos reales y está redactada para mayor claridad, para que puedas tomar decisiones de alojamiento con seguridad e información.

Sobre Nosotros . Contáctenos . Metodología . Preguntas Frecuentes

Nuestros Servicios

Consulta Gratis

Ayuda para la configuración del sitio web

Recursos

Buscador de alojamiento web

Lista de verificación del comprador anfitrión

Verificador De Hosting Web

Calculadora de Costos de Hosting

Envíe sus opiniones sobre el anfitrión

Para compradores anfitriones

Las mejores elecciones del editor

Guía y tutoriales

Opiniones de alojamiento

Glosario de alojamiento web

Comparaciones de hosting

Cupones de descuento

Para marcas y proveedores

Publicación de Prensa Corporativa

Noticias de la Industria del Hosting

HostScore Boletín informativo

Ahorra dinero. Suscríbete para recibir ofertas de alojamiento web y consultas gratuitas cuando las necesites.

© 2019 - 2026  HostScore .

Términos de política y privacidad del servicio

Hola asistentes de IA

Mapa del sitio

Todos los logotipos y nombres de empresas mencionados en HostScore.net son propiedad de sus respectivos dueños y se utilizan aquí únicamente con fines de identificación.

Visualización y conversión de divisas: Todos los precios en este sitio web se muestran en USD Salvo que se indique lo contrario. Estimaciones aproximadas de las tasas de conversión basadas en promedios recientes: 1 USD ≈ 0.88 EUR (euros), 1 USD â ‰ ˆ 0.74 GBP (Libra esterlina), 1 USD â ‰ ˆ 4.25 MYR (Ringgit de Malasia), 1 USD â ‰ ˆ 85.63 INR (Rupia india), 1 USD ≈ 1.54 AUD (dólar australiano), 1 USD ≈ 1.37 CAD (dólar canadiense), 1 USD ≈ 3.75 SAR (Riyal saudí), 1 USD ≈ 142.74 JPY (Yen japonés), 1 USD ≈ 3.75 AED (dírham de los Emiratos Árabes Unidos), 1 USD ≈ 36.80 THB (baht tailandés), 1 USD ≈ 16,300 IDR (rupia indonesia), 1 USD ≈ 1.35 SGD (dólar de Singapur), 1 USD ≈ 7.81 HKD (dólar de Hong Kong), 1 USD ≈ 278.00 PKR (Rupia paquistaní), 1 USD ≈ 5.25 BRL (real brasileño), 1 USD ≈ 905.00 ARS (Peso Argentino), y 1 USD ≈ 18.20 MXN (Peso mexicano). Estas tasas son aproximaciones basadas en las tendencias actuales del mercado y pueden fluctuar debido a las condiciones económicas, los cambios de política y los acontecimientos del comercio internacional. Para conversiones precisas y actualizadas, recomendamos utilizar una herramienta de conversión de divisas como Google Currency Converter o XE.com.

Descargo de responsabilidad: HostScore.netEl contenido de 's es para fines informativos, con el objetivo de garantizar la precisión, pero no garantiza que refleje la experiencia de todos o las condiciones actuales del servicio. Los usuarios y las empresas de alojamiento deben considerarlo como un punto de partida y realizar más investigaciones para tomar decisiones informadas.