Vulnerabilidad en Formidable Forms Afecta a Sitios WordPress

Una nueva vulnerabilidad de alta criticidad ha sido descubierta en Formidable Forms, uno de los plugins de formularios más populares para WordPress, utilizado por cientos de miles de empresas en todo el mundo. Este fallo de seguridad permite a atacantes no autenticados ejecutar código malicioso de forma remota, lo que podría llevar al control total de los sitios web afectados.

Es imperativo que las empresas que usan WordPress tomen medidas inmediatas para mitigar este riesgo.

¿Qué ha sucedido exactamente?

Investigadores de seguridad han identificado una grave vulnerabilidad, catalogada como de ejecución remota de código (RCE), en versiones anteriores a la última actualización de Formidable Forms. Este tipo de fallo es especialmente peligroso porque no requiere que el atacante tenga una cuenta o haya iniciado sesión en el sitio web para explotarlo. Simplemente enviando una solicitud especialmente diseñada a un sitio vulnerable, un ciberdelincuente podría inyectar y ejecutar su propio código.

La explotación exitosa de esta vulnerabilidad otorga al atacante la capacidad de crear cuentas de administrador, robar información sensible de la base de datos (como datos de clientes), redirigir el tráfico del sitio a páginas maliciosas o instalar malware para futuros ataques.

Por qué esto es crucial para tu Empresa o Negocio

Para cualquier PYME o autónomo cuyo sitio web funcione con WordPress y utilice este plugin, el riesgo es directo e inminente. Las consecuencias de un ataque exitoso van más allá de un simple problema técnico; afectan directamente a la operatividad y reputación del negocio.

Pérdida de Datos y Confianza: El robo de información de clientes, pedidos o formularios de contacto puede derivar en sanciones bajo normativas como el GDPR, además de un daño irreparable a la confianza de tus clientes.
Interrupción del Negocio: Un sitio web comprometido puede ser deshabilitado por los proveedores de hosting o marcado como no seguro por los navegadores, bloqueando el acceso a clientes potenciales y actuales.
Costes de Recuperación: Limpiar un sitio web infectado y restaurar su funcionalidad puede ser un proceso costoso y complejo, requiriendo la intervención de especialistas en ciberseguridad.

Acciones Recomendadas: ¿Qué debes hacer ahora?

La buena noticia es que el equipo de desarrolladores de Formidable Forms ha actuado rápidamente y ha publicado una versión parcheada que soluciona este fallo. La acción más importante es actualizar el plugin de inmediato. Sigue estos pasos:

Realiza una Copia de Seguridad: Antes de cualquier actualización, asegúrate de tener una copia de seguridad completa y reciente de tu sitio web (archivos y base de datos).
Actualiza el Plugin: Accede al panel de administración de tu WordPress, ve a la sección “Plugins” y busca Formidable Forms en la lista. Deberías ver una notificación para actualizar a la última versión. Procede con la actualización.
Verifica la Versión: Una vez actualizado, comprueba que tienes instalada la versión segura más reciente indicada por los desarrolladores.
Revisa tu Sitio en Busca de Actividad Sospechosa: Examina si se han creado usuarios administradores desconocidos, si hay archivos extraños en tu servidor o si tu sitio ha sido incluido en alguna lista negra de seguridad.

Conclusión

Esta vulnerabilidad en Formidable Forms es un claro recordatorio de que la seguridad WordPress no es un aspecto que se pueda ignorar. La gestión proactiva de actualizaciones es una de las defensas más eficaces contra las ciberamenazas. No pospongas esta acción; el riesgo para tu negocio es demasiado alto. Te recomendamos revisar periódicamente todos tus plugins y temas para garantizar que tu activo digital más importante permanezca seguro.

Para más detalles técnicos sobre la vulnerabilidad, puedes consultar el informe publicado por el equipo de Patchstack.

Recomendamos también leer nuestro artículo sobre cómo proteger tu WordPress de forma integral.