Vulnerabilidad crítica en WordPress: más de 200.000 sitios expuestos por fallo en SureForms

El 1 de julio de 2025 se identificó una vulnerabilidad de eliminación arbitraria de archivos en el plugin SureForms – Drag & Drop Form Builder, una herramienta instalada en más de 200.000 sitios WordPress. Este fallo, catalogado con un CVSS de 8.8, permite a un atacante no autenticado borrar cualquier archivo del servidor con una simple petición maliciosa. Si el archivo eliminado es wp-config.php, el atacante puede tomar control completo del sitio.

¿Qué relación tiene esto con un Web Application Pentest?

Esta vulnerabilidad es un ejemplo claro de por qué necesitas realizar un Web Application Pentest profesional. Un pentest permite detectar este tipo de fallos antes de que sean explotados. En Hackanary, realizamos pruebas de penetración manuales y automatizadas que evalúan plugins, lógica de negocio y configuraciones, exactamente como lo haría un atacante real.

¿Por qué este fallo es crítico?

• Explotación sin login: No requiere autenticación. Cualquiera puede iniciar el ataque.
• Alta propagación: SureForms está activo en más de 200.000 sitios WordPress.
• Impacto total: Basta con borrar el archivo wp-config.php para dejar el sitio inutilizable o tomar el control completo.
• Automatizable: Bots ya están explotando este fallo mediante escaneo masivo de endpoints REST.

¿Tu sitio está expuesto?

Si usas WordPress y has instalado SureForms, revisa lo siguiente:

1. Confirma la versión del plugin (si es ≤ 1.7.3, debes actualizar inmediatamente).
2. Busca errores como pantallas blancas o mensajes de instalación forzada.
3. Revisa tus logs de servidor para detectar accesos a /wp-json/sureforms/ con parámetros sospechosos.

Mitigación recomendada

• Actualiza a SureForms 1.7.4, donde se corrige el fallo.
• Revisa los permisos de archivo en tu servidor (especialmente wp-config.php).
• Utiliza un firewall de aplicaciones web (WAF) para bloquear rutas anómalas.
• Contrata un Web Application Pentest para identificar otras brechas antes de que lo hagan los bots.

Cómo puede ayudarte Hackanary

En Hackanary realizamos Web Application Pentest diseñados para WordPress, WooCommerce y sitios con formularios personalizados. En este servicio:

• Simulamos ataques reales (como los que explotan SureForms) contra tus formularios, plugins y lógica de negocio.
• Te entregamos un reporte con evidencia técnica y recomendaciones prácticas.
• Incluimos retests gratuitos una vez aplicadas las correcciones.

No basta con instalar plugins. Audita antes de que borren tu web.

El incidente de SureForms demuestra que cualquier plugin puede transformarse en una brecha crítica. Si tu web maneja usuarios, ventas, reservas o información sensible, necesitas un Web Application Pentest antes que los atacantes lleguen primero.