Salta al contenuto
18 julio 2026

Descubre cómo una falla en WordPress expone a millones de sitios web

Una vulnerabilidad en el núcleo de WordPress permite ejecución remota de código sin necesidad de autenticación. Descubre cómo proteger tu sitio.

Descubre cómo una falla en WordPress expone a millones de sitios web

El 17 de julio de 2026 WordPress lanzó las versiones 6.9.5 y 7.0.2 para corregir una vulnerabilidad crítica que permite ejecución remota de código sin necesidad de autenticación. Esta falla, descubierta por Adam Kues de Assetnote afecta a todas las instalaciones de WordPress desde la versión 6.9.0 hasta la 7.0.1.

La vulnerabilidad, conocida como wp2shell puede ser explotada por un usuario anónimo sin necesidad de plugins adicionales. Según Searchlight Cyber más de 500 millones de sitios web utilizan WordPress, aunque no todos están afectados por esta falla específica.

Detalles técnicos de la vulnerabilidad

La falla se debe a una combinación de dos problemas: una confusión en la ruta de la API REST y una inyección SQL. La primera permite la ejecución remota de código, mientras que la segunda facilita el acceso no autorizado a la base de datos. Ambas vulnerabilidades fueron corregidas en las versiones mencionadas.

WordPress ha descrito la falla como «un problema de confusión en la ruta batch de la API REST y una inyección SQL que conduce a ejecución remota de código«. Aunque no se han reportado intentos de explotación hasta el 18 de julio la comunidad de seguridad recomienda actualizar de inmediato.

Medidas de mitigación

Si no es posible actualizar inmediatamente, Searchlight Cyber recomienda bloquear el acceso anónimo a la API batch. Esto puede hacerse mediante un firewall de aplicaciones web (WAF) o mediante un plugin que desactive el acceso no autenticado a la API REST.

Otras opciones incluyen deshabilitar completamente la API REST o utilizar un plugin que rechace las solicitudes anónimas a la ruta /batch/v1. Sin embargo, estas son medidas temporales y no sustituyen la actualización a la versión corregida.

La vulnerabilidad afecta a todas las instalaciones de WordPress desde la versión 6.9.0 hasta la 7.0.1. La versión 6.8.6 corrige una segunda vulnerabilidad de inyección SQL, aunque no está relacionada con la ejecución remota de código.

La CISA y otras organizaciones de seguridad recomiendan actualizar a las versiones corregidas lo antes posible. Además, se sugiere verificar la versión actual de WordPress en el panel de administración para asegurarse de que la actualización se ha aplicado correctamente.

Para verificar si tu sitio es vulnerable, Searchlight Cyber ha puesto a disposición una herramienta en . Esta herramienta permite a los administradores de sitios web comprobar si su instalación está afectada por la vulnerabilidad.

Autore

Diego Morales

Diego Morales escribe igual de bien sobre la táctica de un derbi madrileño y una ruta gastronómica por Asturias. Periodismo deportivo con contexto y crónica de viaje con itinerario real.