SureForms y el agujero negro de la seguridad: 200,000 sitios WordPress en riesgo

Gráfico digital en formato horizontal que alerta sobre una vulnerabilidad crítica en el plugin SureForms de WordPress. La imagen incluye el logo de WordPress, un triángulo rojo de advertencia con un símbolo de exclamación y una araña, junto al texto: '200,000 WordPress Sites Affected by Arbitrary File Deletion Vulnerability in SureForms WordPress Plugin'. Fondo oscuro con código binario y etiqueta roja que dice 'Cybersecurity'.

En el mundillo de la ciberseguridad, hay errores que se pagan caro. Pero hay otros que pueden costarte el sitio entero. Y esta semana, más de 200,000 administradores de WordPress aprendieron esa lección de la peor manera. El responsable: SureForms, un plugin que se promociona como la salvación para quienes quieren formularios «rápidos, fáciles y sin complicaciones». Lo que no decía la letra pequeña es que también te abre la puerta al infierno digital.

🎯 Vulnerabilidad que corta como bisturí

El pasado 21 de junio de 2025, se descubrió una falla crítica en este plugin que permite a cualquiera—sí, a cualquiera, incluso sin iniciar sesión—borrar archivos arbitrarios del servidor. Y no estamos hablando de imágenes de gatitos o archivos inofensivos: estamos hablando de wp-config.php, el corazón de todo sitio WordPress. Bórralo y adiós, muy buenas.

La vulnerabilidad, catalogada como CVE‑2025‑6691, tiene una puntuación de 8.8 en la escala CVSS, es decir: alta severidad. No es un rasguño. Es un puñetazo directo al núcleo.

🧠 La falla detrás del desastre

El problema está en la función delete_entry_files(). Un detalle técnico, pero determinante: no valida lo que borra. El plugin confía ciegamente en la entrada del usuario. Y confiar ciegamente en un mundo lleno de hackers es como dormir con la puerta abierta en un barrio que no conoce la paz.

🚨 ¿Qué hizo el desarrollador?

Para ser justos, Brainstorm Force (los creadores de SureForms) actuaron rápido. En apenas cinco días, publicaron parches para nueve versiones distintas, desde la 1.7.4 hasta la prehistórica 0.0.14. ¿El problema? Muchos usuarios ni saben qué versión tienen instalada, y menos aún que deben actualizar.

Wordfence, el escudo protector de muchos sitios WordPress, también se metió en el ruedo y lanzó una regla de firewall al día siguiente del hallazgo. Si tienes la versión gratuita, la protección te llegará… el 26 de julio. Sí, dentro de dos semanas. Si el atacante llega antes, reza.

🧩 El patrón que se repite

Esto no es un caso aislado. El plugin Forminator, con más de 600,000 instalaciones, fue víctima de una falla similar hace solo días. Y uno empieza a preguntarse: ¿realmente vale la pena instalar cualquier plugin solo porque tiene estrellitas en el repositorio?

🧯 ¿Qué puedes hacer?

  1. Actualiza ahora mismo SureForms a una versión parcheada.
  2. Revisa tus archivos: asegúrate de que tu wp-config.php no haya sido tocado.
  3. Instala un firewall serio y no dependas únicamente de la protección automática.
  4. Y lo más importante: deja de instalar plugins sin revisarlos como si fueras un niño en una tienda de golosinas.

Porque una cosa es querer funcionalidad, y otra es abrirle la puerta a los ladrones del siglo XXI.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *