En pocas palabras: WordPress 7.0.2, lanzado el 17 de julio de 2026, parchea dos vulnerabilidades de SQL injection en el core: una de severidad crítica y otra que permite ejecución remota de código sin autenticación previa. Si tu sitio corre entre las versiones 6.8.0 y 7.0.1, actualizá ahora mismo.

WordPress 7.0.2 salió el 17 de julio de 2026 como actualización de emergencia para parchear dos vulnerabilidades de SQL injection en el core. Una de ellas tiene severidad crítica. La otra, la que realmente quita el sueño, permite ejecución remota de código sin ninguna credencial previa. Afecta cualquier WordPress entre las versiones 6.8.0 y 7.0.1. Si tu sitio corre alguna de esas versiones, actualizá ahora mismo.

En 30 segundos

  • WordPress lanzó el 17 de julio de 2026 las versiones 7.0.2, 6.9.5 y 6.8.6 para corregir dos fallas de SQL injection en el core.
  • Una vulnerabilidad de alta severidad permite RCE sin autenticación a través de una confusión de rutas en la REST API.
  • Las versiones anteriores a 6.8 NO están afectadas. Si corrés WordPress 5.x o 4.x, estas vulnerabilidades no te aplican.
  • WordPress.org activó actualizaciones automáticas forzadas dado lo crítico del problema.
  • Para actualizar: Dashboard → Actualizaciones → Actualizar ahora. Tomá un backup antes.

¿Qué es la vulnerabilidad SQL Injection de WordPress 7.0.2?

Una vulnerabilidad de SQL injection es un fallo de seguridad que permite a un atacante inyectar consultas maliciosas en la base de datos del sitio. En este caso, según el anuncio oficial de WordPress.org, el parche de seguridad 7.0.2 cierra dos vulnerabilidades en el core, ambas relacionadas con SQL injection, y una de ellas habilita ejecución remota de código completa.

La vulnerabilidad crítica de SQL injection no sanea correctamente ciertos parámetros, permitiendo inyectar SQL arbitrario. La reportó un equipo de tres investigadores: TF1T, dtro y haongo, de forma responsable y coordinada.

La vulnerabilidad de alta severidad es la más peligrosa. Combina una confusión de rutas en la REST API con SQL injection para lograr Remote Code Execution. La reportó Adam Kues de Assetnote / Searchlight Cyber.

Ponele que tenés un WordPress 7.0.1 recién instalado, sin plugins raros, con la configuración de fábrica y un tema default. Eso alcanza para ser vulnerable. No hay que explotar un plugin de terceros ni adivinar contraseñas. La brecha está en el core, en el endpoint REST que viene activado por defecto.

Lo que diferencia este caso de muchas otras vulnerabilidades: ambas fueron reportadas de forma responsable, lo que le dio al equipo de WordPress tiempo para preparar el fix antes de la divulgación pública. Pero ahora que el parche es público, los atacantes comparan el código antes y después para reconstruir el exploit (que no es tan complicado como suena), y el tiempo entre parche y primer ataque masivo suele contarse en horas.

¿Qué versiones de WordPress están afectadas?

Solo las versiones que introdujeron la ruta de código vulnerable están expuestas. La condición mínima es tener WordPress 6.8 o superior. Ya lo cubrimos antes en monitoreo y protección de tu base de datos.

Versión instaladaSQL Injection críticaRCE (alta severidad)Acción requerida
7.0.0 – 7.0.1AfectadaAfectadaActualizar a 7.0.2
6.9.0 – 6.9.4AfectadaAfectadaActualizar a 6.9.5
6.8.0 – 6.8.5AfectadaNo afectadaActualizar a 6.8.6
6.7.x y anterioresNo afectadaNo afectadaSin acción requerida
vulnerabilidad sql injection wordpress 7.0.2 diagrama explicativo

Si corrés WordPress 6.8.x, solo te afecta la primera vulnerabilidad, no el RCE. Igual: actualizá. Una vulnerabilidad crítica no es algo para dejar para la semana que viene.

¿Cuál es el riesgo real de esta vulnerabilidad?

La vulnerabilidad de RCE permite que cualquier persona, sin cuenta ni credencial de ningún tipo, ejecute código arbitrario en tu servidor.

¿Qué puede hacer un atacante con eso? Exactamente lo que quiera: inyectar malware en todos los archivos PHP del sitio, robar datos de usuarios o clientes (si tenés WooCommerce, eso incluye datos de pago y direcciones), usar el servidor para enviar spam masivo, minar criptomonedas, o simplemente vender el acceso en foros de compraventa de servidores comprometidos.

Por eso WordPress.org tomó la decisión de activar actualizaciones automáticas forzadas, algo que reservan para los casos más graves (que no es poco). Si tu instalación tiene auto-updates habilitados, ya sea en tu hosting o configurado manualmente, probablemente hayas recibido el parche sin hacer nada. Igualmente verificá: muchos hostings, incluyendo donweb.com, tienen actualizaciones automáticas del core activas por defecto, pero la configuración puede variar entre planes.

Lo que no queda claro todavía es cuántos sitios ya estaban siendo escaneados activamente antes del parche, dado que las vulnerabilidades fueron de divulgación responsable. Pero a partir del 17 de julio de 2026, el diff es público y el riesgo se multiplica.

Cómo actualizar WordPress inmediatamente

El proceso es directo. En el dashboard de WordPress, ir a Actualizaciones y hacer clic en Actualizar ahora. WordPress descarga e instala el parche en menos de un minuto en la mayoría de los casos. En fortalecer el acceso administrativo profundizamos sobre esto.

  • Antes de actualizar, hacé un backup. Cualquier plugin de backup serio (WPVivid, UpdraftPlus) tiene botón de backup manual instantáneo. Dos minutos que pueden salvarte si algo sale mal.
  • Si usás WP-CLI: wp core update resuelve todo. Verificá después con wp core version.
  • Si no podés acceder al dashboard: descargá WordPress 7.0.2 desde wordpress.org y subí los archivos por FTP/SFTP, reemplazando todo excepto wp-content y wp-config.php.
  • No hace falta desactivar plugins. Es un update de archivos core, sin cambios de base de datos.

La «actualización automática» que dice tu hosting no siempre significa lo mismo que significa para vos. A veces quiere decir que la opción existe en algún panel, no que esté realmente activa. Verificá igual.

Cómo verificar que la actualización fue exitosa

La forma más rápida: en el dashboard de WordPress, el número de versión aparece en el pie de página del área de administración. Tiene que decir «Versión 7.0.2», «6.9.5» o «6.8.6» según tu rama.

Con acceso por terminal o SSH, wp core version te devuelve el número exacto. Para hostings compartidos sin SSH, podés revisar el archivo wp-includes/version.php por FTP: la variable $wp_version tiene el número instalado.

Si el sitio todavía muestra la versión anterior, la actualización no se aplicó. Revisá si algún plugin está bloqueando las actualizaciones del core, verificá permisos de escritura en el servidor, o contactá al soporte de tu hosting.

¿Qué hacer si sospechás que tu sitio fue comprometido?

Si tu sitio estuvo expuesto con la versión vulnerable durante horas o días antes de la actualización, hay señales a las que prestar atención: código extraño en archivos de theme o plugins, usuarios administradores que no reconocés, redirecciones inesperadas a otros dominios, o en los logs del servidor muchas peticiones POST a rutas de la REST API. Te puede servir nuestra cobertura de autenticación de dos factores en WordPress.

Navegás un día normal por tu WordPress, todo parece igual, y no te das cuenta de que hace 48 horas alguien ya ejecutó código en el servidor, descargó la base de datos y dejó una puerta trasera en el archivo functions.php de tu tema activo (spoiler: ese es el patrón más común en compromisos exitosos).

  • Cambiá todas las contraseñas: WordPress para todos los usuarios admin, FTP/SFTP, base de datos y panel de hosting. Si el atacante tuvo ejecución de código, ya tiene las credenciales de wp-config.php.
  • Corré un escaneo de integridad de archivos: Wordfence tiene un scanner gratuito que compara los archivos del core contra el repositorio oficial y detecta modificaciones.
  • Revisá los logs de acceso: buscá IPs con muchas peticiones POST a rutas de la REST API en los días previos al 17 de julio de 2026.
  • Restaurá desde backup limpio si confirmás código malicioso inyectado. La limpieza manual es posible pero tediosa; un backup de antes de la exposición es mucho más confiable.
  • Notificá a tus usuarios: si manejás datos de clientes y hubo compromiso confirmado, en muchas jurisdicciones tenés obligación legal de informarlo.

Pasos adicionales de seguridad después de la actualización

Actualizar el core cierra estas dos vulnerabilidades específicas. Pero cualquiera que haya gestionado sitios WordPress por varios años sabe que el vector de ataque SQL injection no desaparece con el parche del core si hay plugins vulnerables en el sitio, porque la lógica de inyección es la misma, solo cambia la puerta de entrada.

  • Autenticación de dos factores para todos los usuarios con rol administrador. Es la medida con mejor relación esfuerzo/seguridad.
  • Mantener plugins y temas actualizados. El 90% de los compromisos en WordPress entran por plugins desactualizados, no por el core.
  • Plugin de monitoreo de integridad de archivos. Wordfence u otros pueden alertarte en tiempo real cuando un archivo del core o un plugin cambia inesperadamente.
  • WAF (Web Application Firewall). Un firewall de aplicaciones web puede bloquear intentos de SQL injection antes de que lleguen al código de WordPress, incluso contra vulnerabilidades no parchadas en plugins.
  • Desinstalar plugins inactivos. Si un plugin lleva meses sin usarse, desinstalalo. Cada plugin inactivo es superficie de ataque que no te da ningún beneficio.

Preguntas Frecuentes

¿Qué es la vulnerabilidad SQL Injection WordPress 7.0.2?

Son dos fallas de seguridad en el core de WordPress que permiten a un atacante sin credenciales inyectar SQL malicioso y, en el caso más grave, ejecutar código arbitrario en el servidor. La segunda vulnerabilidad combina una confusión de rutas en la REST API con SQL injection para lograr Remote Code Execution. El parche está disponible desde el 17 de julio de 2026 en las versiones 7.0.2, 6.9.5 y 6.8.6.

¿Las versiones anteriores a 6.8 están en riesgo?

No. WordPress confirmó que las versiones anteriores a 6.8 no están afectadas por ninguna de las dos vulnerabilidades. La ruta de código vulnerable fue introducida en la versión 6.8. Si corrés WordPress 5.x o 4.x, estas vulnerabilidades no te aplican, aunque esas versiones llevan tiempo sin soporte de seguridad y tienen otros riesgos propios.

¿Cómo sé si mi sitio ya fue actualizado automáticamente?

En el área de administración de WordPress, el número de versión aparece en el pie de página del dashboard. Si dice 7.0.2, 6.9.5 o 6.8.6 (según tu rama), la actualización ya se aplicó. WordPress.org habilitó actualizaciones forzadas para esta vulnerabilidad, así que muchos sitios ya lo recibieron sin intervención manual. Verificá igual: no asumas. Más contexto en estrategia integral de protección.

¿Qué tan rápido pueden aparecer exploits después del parche?

En vulnerabilidades de este nivel de severidad, los exploits automatizados suelen aparecer en menos de 24 horas tras la publicación del parche. El análisis del diff entre la versión vulnerable y la parcheada revela exactamente dónde estaba el fallo. Con el parche publicado el 17 de julio de 2026, la ventana para actualizar sin riesgo se acorta por horas. No hay margen para esperar el próximo ciclo de mantenimiento.

¿Actualizar WordPress puede romper el sitio?

Una actualización de core minor como 7.0.2 rara vez rompe algo. No cambia APIs ni funcionalidades, solo parcha código de seguridad. El riesgo de no actualizar es incomparablemente mayor que el riesgo de una incompatibilidad. De todas formas, hacé un backup antes de cualquier actualización: si algo sale mal, restaurás y listo.

Conclusión

Dos vulnerabilidades de SQL injection en el core de WordPress es el tipo de noticia que no admite «lo veo después». La de mayor severidad permite RCE sin autenticación en instalaciones estándar de WordPress 6.9 y 7.0.x. El equipo de WordPress tomó la decisión correcta al activar actualizaciones forzadas automáticas.

Si tu sitio todavía corre una versión afectada, el paso es uno solo: ir a Actualizaciones y hacer clic. Si ya tenés 7.0.2, 6.9.5 o 6.8.6, el core está cerrado. El siguiente frente es asegurarte de que los plugins también estén al día, porque la superficie de ataque SQL injection en WordPress no se agota en el core.

La seguridad de un sitio WordPress no es un estado que se alcanza; es un proceso que se sostiene. Esta vulnerabilidad se cierra con un clic. Las del mes que viene también van a cerrarse con actualizaciones. El riesgo real siempre fue el sitio que nadie actualiza porque «siempre funcionó así».

Fuentes