CVE-2026-6711 es una vulnerabilidad de tipo Cross-Site Scripting (XSS) reflejada en el plugin de WordPress Website LLMs.txt, publicada el 20 de abril de 2026 con un puntaje CVSS de 6.1 (medium). Afecta a todas las versiones hasta la 8.2.6 inclusive, y quedó resuelta en la versión 8.2.7.
En 30 segundos
- Plugin afectado: Website LLMs.txt, versiones ≤8.2.6 — actualizá a 8.2.7 ahora.
- Tipo de vulnerabilidad: XSS reflejada en el parámetro
tab, clasificada como CWE-79. - Requiere que un administrador haga clic en un enlace malicioso (ataque por phishing/ingeniería social).
- Riesgo real: robo de sesión de admin, ejecución de acciones no autorizadas, inyección de código.
- Solución: actualizar el plugin desde el dashboard de WordPress. Tarda menos de 2 minutos.
Wordfence es un plugin de seguridad para WordPress desarrollado por Wordfence Security, Inc. Proporciona firewall, detección de malware, escaneo de vulnerabilidades y alertas de amenazas en tiempo real.
¿Qué es CVE-2026-6711?
CVE-2026-6711 WordPress es el identificador oficial asignado a una falla de seguridad XSS reflejada en el plugin Website LLMs.txt. La vulnerabilidad fue publicada el 20 de abril de 2026 y tiene una puntuación CVSS de 6.1, lo que la categoriza como gravedad media según el estándar de la industria.
Antes de entrar en los detalles técnicos, conviene aclarar la diferencia entre los dos sabores de XSS que más se nombran. La XSS almacenada guarda el código malicioso en la base de datos del sitio y se ejecuta cada vez que cualquier usuario visita una página específica. La XSS reflejada, en cambio, no persiste: el payload viaja en la URL, el servidor lo «refleja» en la respuesta sin sanitizarlo, y se ejecuta solo cuando alguien hace clic en ese enlace armado. Eso la hace menos viral pero no menos peligrosa, especialmente si el objetivo es un administrador con sesión activa.
¿Menos peligrosa que XSS almacenada? Sí, en teoría. ¿Suficiente para comprometer un sitio si un admin cae en el anzuelo? Absolut.
El plugin afectado: Website LLMs.txt
Website LLMs.txt es un plugin de WordPress que genera automáticamente un archivo llms.txt en la raíz del sitio. La idea detrás de este archivo es darle a los modelos de lenguaje grande (LLMs) como los que indexan contenido para asistentes de IA una guía estructurada del sitio: qué páginas existen, qué contienen, qué está disponible para ser procesado. Pensalo como un robots.txt, pero orientado a crawlers de IA en vez de a Google. Ya lo cubrimos antes en protección contra ataques DDoS.
En 2026 este tipo de plugin ganó popularidad porque varios motores de búsqueda con IA anunciaron soporte para el formato. O sea, llegó justo en el momento en que más gente lo estaba instalando (que no es poco, desde el punto de vista del attack surface).
Las versiones vulnerables son todas las anteriores a la 8.2.7, es decir, ≤8.2.6. La versión parcheada, 8.2.7, está disponible en el repositorio oficial de WordPress desde el 20 de abril de 2026, el mismo día en que se publicó el CVE.
Cómo funciona el ataque: XSS reflejada en el parámetro ‘tab’
Ponele que sos admin de un WordPress con el plugin instalado. Llegás a tu bandeja de entrada y hay un mail que parece legítimo: soporte de algún servicio, un colega, lo que sea. Tiene un link al panel de administración de tu sitio. Lo abrís, porque ¿por qué no? Es tu propio WordPress.
Lo que no ves es que la URL incluye código JavaScript inyectado en el parámetro tab de la página de configuración del plugin. El plugin toma ese parámetro, lo usa para mostrar qué pestaña de configuración está activa, y lo incluye en el HTML de respuesta sin pasarlo por ninguna función de sanitización adecuada. Según el análisis de WP-Firewall, el código usa filter_input() pero sin las flags de sanitización necesarias, lo que no alcanza para neutralizar payloads XSS.
El resultado: el script del atacante se ejecuta en el navegador del admin, con la sesión activa del admin. Desde ahí, puede capturar las cookies de sesión, hacer peticiones autenticadas a la API de WordPress en nombre del admin, instalar plugins, crear usuarios con privilegios elevados, o inyectar código en el sitio.
El ataque requiere interacción del usuario, sí. Por eso el CVSS baja a 6.1 en vez de ser crítico. Pero en la práctica, la ingeniería social no es tan difícil de ejecutar contra un admin descuidado.
¿Qué riesgos corre tu sitio WordPress?
El impacto potencial de CVE-2026-6711 sobre un sitio WordPress cae dentro de varias categorías reales: Relacionado: Wordfence y otros firewalls WordPress.
- Robo de sesión de administrador: el script puede extraer cookies de sesión y enviárselas al atacante, que luego las usa para ingresar al panel sin contraseña.
- Ejecución de acciones no autorizadas: con la sesión del admin, se pueden crear usuarios, cambiar contraseñas, modificar contenido o instalar plugins maliciosos.
- Inyección de malware: el código inyectado puede agregar scripts de terceros al frontend del sitio, afectando a los visitantes.
- Defacement: cambiar el contenido visible del sitio, aunque esto es el escenario menos sofisticado y más fácil de detectar.
¿Quién está en riesgo? Cualquier sitio con el plugin activo en versión 8.2.6 o anterior. Si el plugin está instalado pero desactivado, el riesgo es menor (las páginas de configuración no deberían estar accesibles), pero lo más seguro es actualizarlo de todas formas.
La clasificación formal es CWE-79: Improper Neutralization of Input During Web Page Generation, según la base de datos CIRCL.
Cómo verificar si estás afectado
Ir a WordPress Dashboard → Plugins → Plugins instalados. Buscá «Website LLMs.txt» en la lista. Si aparece con una versión igual o menor a 8.2.6, estás afectado.
Si el plugin no aparece en absoluto, no hay riesgo por este CVE específico. Si aparece con versión 8.2.7 o superior, ya estás protegido.
También podés verificarlo directamente en la página del plugin en wordpress.org. La versión actual al momento de publicación de este artículo es la 8.2.7, que es la versión segura. Cualquier cosa por debajo de eso necesita actualización.
Actualización a versión segura (8.2.7+)
El proceso es estándar y tarda menos de dos minutos:
- Hacé un backup del sitio antes de tocar nada (siempre, no solo acá).
- Andá a WordPress Dashboard → Plugins → Plugins instalados.
- Buscá «Website LLMs.txt».
- Si hay una actualización disponible, vas a ver el aviso debajo del nombre del plugin. Hacé clic en «Actualizar ahora».
- Una vez actualizado, verificá que la versión que aparece es 8.2.7 o superior.
Si usás un plugin de gestión de actualizaciones automáticas (ManageWP, MainWP, o similar) y lo tenés configurado para actualizaciones automáticas de plugins, puede que ya se haya actualizado solo. Verificalo de todas formas. Cubrimos ese tema en detalle en parches de seguridad críticos.
Mitigaciones temporales si no podés actualizar ahora
Si por algún motivo no podés actualizar de inmediato (sitio en staging con proceso de release largo, cliente que pide aprobación previa, lo que sea), estas son las opciones temporales ordenadas de más a menos efectivas:
| Mitigación | Efectividad | Dificultad | Notas |
|---|---|---|---|
| Desactivar el plugin | Alta | Muy baja | Elimina el vector de ataque completamente. Perdés la funcionalidad del llms.txt. |
| WAF con regla XSS | Media-Alta | Media | Wordfence o soluciones como WP-Firewall pueden bloquear el payload antes de que llegue al plugin. |
| Content Security Policy (CSP) | Media | Alta | Un CSP restrictivo limita qué scripts pueden ejecutarse. Requiere configuración cuidadosa para no romper el sitio. |
| Bloqueo a nivel servidor (regla WAF en hosting) | Media | Media | Depende del proveedor de hosting. Si usás donweb.com, revisá las opciones de WAF en el panel. |
Ojo: todas estas son parches temporales. La solución definitiva es actualizar a 8.2.7.
Lecciones de seguridad: prevenir vulnerabilidades similares
Abril de 2026 viene siendo un mes movido en términos de seguridad WordPress. CVE-2026-6711 no es un caso aislado: el mismo mes se registraron múltiples vulnerabilidades XSS en otros plugins y, según reportes del sector, un supply chain attack que afectó a 31 plugins de WordPress de forma simultánea. El patrón es siempre el mismo: plugins con buena intención, implementación descuidada de sanitización de inputs.
Algunas prácticas que reducen la superficie de ataque de forma concreta:
- Revisá regularmente qué plugins tenés instalados, especialmente los que instalaste para probar y nunca desactivaste. Un plugin inactivo con una vulnerabilidad sigue siendo un vector si el código está en el servidor.
- Activá las actualizaciones automáticas para plugins, al menos para actualizaciones de seguridad. WordPress lo permite desde la configuración nativa.
- Seguí el feed de vulnerabilidades de Wordfence. Tienen una base de datos pública con CVEs nuevos casi en tiempo real.
- Revisá los privilegios de los usuarios. Cuantos menos admins haya, menor es la superficie de ataque para ataques XSS que requieren interacción de admin.
La «innovación» de los plugins de llms.txt llegó con un problema estructural: mucha gente los instaló rápido porque estaban de moda, sin hacer ningún tipo de evaluación de seguridad. Ese es el patrón que se repite.
Errores comunes al manejar este tipo de vulnerabilidades
Error 1: Confundir CVSS 6.1 con «no urgente». La puntuación media no significa que podés dejar el plugin sin actualizar una semana. Significa que el ataque requiere condiciones específicas. Si esas condiciones se dan (y con phishing son fáciles de armar), el impacto es total sobre la cuenta de admin. Más contexto en estrategias de defensa perimetral.
Error 2: Desactivar el plugin sin actualizar. Si desactivás el plugin para mitigar de forma temporal, bien. Pero si después lo volvés a activar sin haber actualizado, el riesgo vuelve. La actualización es el paso que no podés saltear. Ampliamos el tema en vulnerabilidades de encriptación.
Error 3: Asumir que Wordfence o un plugin de seguridad te cubre automáticamente. Los WAFs tienen bases de datos de firmas que se actualizan, pero un CVE nuevo puede tardar horas o días en tener una regla específica. No delegues la seguridad completamente en una herramienta. La actualización del plugin sigue siendo necesaria.
Preguntas Frecuentes
¿Qué es CVE-2026-6711 y qué plugin lo causa?
CVE-2026-6711 es una vulnerabilidad de XSS reflejada en el plugin de WordPress Website LLMs.txt, publicada el 20 de abril de 2026. El problema está en el parámetro tab de la página de configuración del plugin, que no sanitiza correctamente el input antes de incluirlo en la respuesta HTML. Afecta versiones hasta la 8.2.6 inclusive.
¿Mi WordPress está en riesgo por CVE-2026-6711?
Solo si tenés instalado el plugin Website LLMs.txt en versión 8.2.6 o anterior. Si el plugin no está instalado, no hay riesgo. Si está en versión 8.2.7 o superior, tampoco. Para verificarlo, andá a Dashboard → Plugins y revisá la versión que figura.
¿Cómo actualizar Website LLMs.txt a versión segura?
Desde WordPress Dashboard → Plugins → Plugins instalados, buscá el plugin y hacé clic en «Actualizar ahora» si aparece la notificación de actualización disponible. La versión 8.2.7, que corrige la vulnerabilidad, está en el repositorio oficial de WordPress desde el 20 de abril de 2026. Hacé un backup antes de actualizar.
¿Qué puede hacer un atacante explotando esta vulnerabilidad?
Si el ataque tiene éxito, el atacante ejecuta código JavaScript en el navegador del administrador con la sesión activa. Puede robar cookies de sesión, crear usuarios administradores, instalar plugins maliciosos, modificar contenido del sitio, o inyectar scripts en el frontend que afecten a los visitantes. El límite es básicamente lo que un admin autenticado puede hacer desde el panel.
¿Qué versiones del plugin Website LLMs.txt son seguras?
La versión 8.2.7 y cualquier versión posterior corrigen la vulnerabilidad CVE-2026-6711. Todas las versiones hasta la 8.2.6 inclusive son vulnerables. El parche fue publicado el mismo día en que se divulgó el CVE, el 20 de abril de 2026.
Conclusión
CVE-2026-6711 es un recordatorio concreto de algo que pasa seguido en el ecosistema WordPress: los plugins que más rápido se popularizan son los que menos tiempo tuvieron para madurar en términos de seguridad. Website LLMs.txt llegó justo cuando el formato llms.txt empezaba a ganar tracción, y con esa velocidad de adopción vino una falla de sanitización que tardó en detectarse.
La buena noticia es que el parche existe, está disponible, y actualizarlo tarda dos minutos. Si tenés el plugin instalado en cualquier versión anterior a la 8.2.7, ese es el único paso que importa ahora: actualizar, verificar la versión, y seguir. Para lo demás, el contexto de abril 2026 deja claro que mantener todos los plugins actualizados no es una recomendación opcional: es el mínimo indispensable.