WordPress 6.9.2: La Actualización que Rompió Miles de Sitios

WordPress es un sistema de gestión de contenidos (CMS) de código abierto desarrollado inicialmente por Matt Mullenweg en 2003, diseñado para crear y gestionar sitios web y blogs. Actualmente es mantenido por la comunidad global y la Fundación WordPress.

Actualizado el 30/03/2026: WordPress 6.9.4 es la versión definitiva del release de seguridad, con los tres parches de seguridad críticos (PclZip, Notes, getID3) finalmente aplicados. Si todavía estás en 6.9.2 o 6.9.3, tenés vulnerabilidades sin parchar.

Actualizado el 27/03/2026: Se detectó la explotación activa de la vulnerabilidad CVE-2026-1492 (CVSS 9.8) en el plugin User Registration & Membership, permitiendo crear cuentas de administrador sin autenticación en más de 60.000 sitios WordPress. Wordfence bloqueó más de 200 intentos en las primeras 24 horas después de la publicación.

Actualizado el 26/03/2026: El equipo de WordPress publicó la retrospectiva oficial de la release 6.9.2, reconociendo los errores del proceso que llevaron a tres releases de seguridad en menos de 24 horas y detallando las mejoras al checklist de releases para evitar que vuelva a ocurrir.

WordPress 6.9.2 se lanzó el 10 de marzo de 2026 como actualización de seguridad con 10 parches, pero tres commits nunca llegaron al branch de release, un bug de pantalla blanca rompió sitios en producción, y en 24 horas el equipo tuvo que publicar dos releases más (6.9.3 y 6.9.4) para dejar todo en orden. Si todavía no estás en 6.9.4, tu sitio tiene vulnerabilidades abiertas. Pero ahora que falta poco para que salga WordPress 7.0, el panorama cambia.

WordPress 6 es la rama principal actual del sistema de gestión de contenidos WordPress, desarrollado por la comunidad de código abierto bajo el liderazgo de Automattic. Lanzada en enero de 2024, introdujo el editor de sitio completo basado en bloques y se utiliza para crear y administrar sitios web.

¿Qué es WordPress 6.9.4?

WordPress 6.9.4 es la versión estable y segura del release 6.9.x. Se lanzó el 11 de marzo de 2026, un día después de 6.9.3, específicamente para agregar los tres parches de seguridad que faltaban del paquete original de 6.9.2. No es una actualización cosmética ni un ajuste menor: es la conclusión de un proceso de release que salió mal y necesitaba corrección urgente.

Si instalaste 6.9.2 o 6.9.3, estás en una versión incompleta de seguridad. Los tres parches faltantes (path traversal en PclZip, authorization bypass en Notes, XXE en getID3) seguían sin aplicar. La retrospectiva oficial reconoció esto como «un error operativo» y 6.9.4 vino a cerrarlo. Esto se conecta con lo que analizamos en automatizar tareas de seguridad en WordPress.

Problemas de seguridad corregidos en WordPress 6.9.2

Según el anuncio oficial de WordPress 6.9.2 en español, la release incluyó parches para 10 problemas de seguridad. El rango de severidad va de CVSS 4.3 a 6.5, o sea que ninguna es crítica por sí sola, pero juntas pintan un panorama complicado para cualquier sitio que no actualice.

#	Tipo	Componente afectado	Severidad	Investigador
1	Blind SSRF	Core (CVE-2026-3901)	Media	sibwtf + otros
2	PoP-chain weakness	HTML API y Block Registry	Media	Phat RiO
3	Regex DoS	Numeric character references	Media	Dennis Snell (WP Security Team)
4	Stored XSS	Navigation menus	Media	Phill Savage
5	Authorization bypass	AJAX query-attachments	Media	Vitaly Simonovich
6	Stored XSS	Directiva data-wp-bind	Media	kaminuma
7	XSS	Templates admin client-side	Media	Asaf Mozes
8	Path traversal	PclZip (CVE-2026-3907)	Media-Alta	Francesco Carlucci, kaminuma
9	Authorization bypass	Notes (CVE-2026-3906)	Media	kaminuma
10	XXE	getID3 library (CVE-2026-3908)	Media	Youssef Achtatal

La fortaleza de la release 6.9.2 estuvo en la diversidad de investigadores que encontraron estos problemas. Kaminuma contribuyó a identificar tres vulnerabilidades distintas, mientras que Dennis Snell de la seguridad team de WordPress descubrió el regex DoS. Cada descubrimiento agregó una capa más de protección que, en conjunto, hace que la rama 6.9.x sea mucho más robusta que lo que era antes del 10 de marzo.

WordPress 7.0: seguridad integrada nativa (lanzamiento 9 de abril de 2026)

Mientras WordPress 6.9.4 cerró las brechas del ciclo anterior, WordPress 7.0 viene a reescribir el juego de la seguridad completamente. No es un parche. Es un cambio arquitectónico fundamental en cómo WordPress piensa la defensa de sitios.

Hasta ahora, WordPress ofrecía las defensas básicas: roles, permisos, contraseña. Lo demás lo resolvías con plugins. Si querías hardening automático, metías Wordfence. Si querías detectar inyecciones, agregabas Sucuri. Si querías 2FA, instalabas otro plugin. Cada uno de esos addons aportaba funcionalidad, pero también sumaba complejidad, consumía recursos, y creaba superficies de ataque nuevas.

WordPress 7.0 integra todo eso en el core. No hace plugins terceros innecesarios (todavía vas a querer Wordfence para análisis profundo), pero sí los hace opcionales. Eso es un cambio de modelo que no vimos desde WordPress 5.

Las tres características nuevas más importantes en WordPress 7.0 son el HTML API hardening, el screening automático de plugins, y la autenticación mejorada con 2FA integrado. Juntas, reducen la dependencia de terceros y crean una defensa multicapa directamente en el core.

HTML API hardening: protección contra inyecciones de código

El HTML API de WordPress 6.x fue una mejora útil, pero dejaba ciertos vectores de ataque sin protección. WordPress 7.0 agranda eso con hardening automático que bloquea intentos de inyectar código malicioso directamente en el procesamiento de HTML.

Cuando el usuario publica un artículo o un comentario, WordPress 7.0 lo analiza en tiempo real, busca patrones de código sospechoso, y lo neutraliza antes de que se guarde. Es similar a lo que hace un WAF (Web Application Firewall), pero integrado.

Según el anuncio oficial para desarrolladores, el hardening funciona sin que tengas que hacer nada. Se activa automáticamente al actualizar a 7.0. No hay configuración que tocar, no hay plugin que instalar. Es transparente para el usuario final y para el admin.

La ventaja es doble: por un lado, reduces el riesgo de XSS (cross-site scripting) y otros ataques de inyección. Por otro, no tenés que mantener un plugin de seguridad adicional que haga exactamente eso. Menos código = menos problemas. Sobre eso hablamos en cómo funcionan los feature plugins.

Screening automático de plugins: análisis de vulnerabilidades sin Sucuri

WordPress 7.0 añade una funcionalidad que antes requería plugin de tercero: análisis de seguridad de cada plugin antes de activarlo. Si un plugin tiene una vulnerabilidad conocida, WordPress te lo marca e impide la activación hasta que lo actualices.

Mantiene una base de datos integrada de vulnerabilidades que se actualiza automáticamente cada vez que WordPress chequea actualizaciones. No es tan profundo como un análisis manual de Sucuri, pero cubre el 80% de los casos: plugins desactualizado, plugins con CVE públicamente documentado, eso queda al descubierto automáticamente.

Lo valioso acá es que no necesitás un plugin de seguridad tercero solo para saber si tus plugins son seguros. WordPress ya lo sabe. Eso libera recursos en el servidor (menos plugins activos = menos memoria = carga más rápida) y simplifica el dashboard de admin.

Autenticación mejorada: 2FA como estándar, no opción

WordPress 7.0 hace que la autenticación en dos factores sea parte del core. No es obligatoria para usuarios normales, pero sí para administradores y cualquiera con capacidad de editar código o instalar plugins.

Soporta dos métodos: TOTP (código temporal de Google Authenticator, Microsoft Authenticator, Authy) y U2F (llaves de seguridad física FIDO2). Vos elegís cuál, pero tener uno es obligatorio si querés acceso elevado.

Esto cambia el panorama. Actualmente, la mayoría de los sitios WordPress sin 2FA sufren ataques de fuerza bruta contra la contraseña del admin. Con 2FA en el core, esos ataques de golpe valen poco. El atacante consigue la contraseña, pero sin el segundo factor no puede entrar.

IA para análisis predictivo de amenazas

La característica menos visible pero más sofisticada de WordPress 7.0 es el motor de IA que analiza patrones de ataque en millones de sitios WordPress a nivel mundial. Te puede servir nuestra cobertura de diferencias entre WooCommerce y WordPress.

Aquí está la idea: WordPress 7.0 se conecta a un servicio central (anónimo, no captura datos de tu sitio) y analiza cómo atacantes intentan vulnerar WordPress en otros lados. Luego usa esa información para predecir y bloquear amenazas emergentes antes de que lleguen al tuyo.

Es un shift de reacción a anticipación. Antes, un ataque se generalizaba, se sabía cómo prevenirlo, WordPress lo parcheaba. Ahora, WordPress ve el patrón cuando todavía es localizado, lo interpreta como amenaza potencial, y ya está preparado.

Tabla comparativa: WordPress 6.9.4 vs 7.0

Funcionalidad	WordPress 6.9.4	WordPress 7.0
Protección HTML API	Manual o plugin	Automática (nativa)
Screening de plugins	Requiere Sucuri/Wordfence	Integrado en core
2FA para admin	Plugin obligatorio (authy, etc.)	Core nativo
Métodos de autenticación	Password + TOTP (si plugin)	Password + TOTP + U2F
Análisis de amenazas	Manual o Wordfence	IA automática (patrones globales)
Requisito PHP mínimo	PHP 7.2	PHP 7.4
Dependencia de plugins terceros	Alta (seguridad = plugins)	Baja (defensa = core)
Carga de servidor	Mayor (más plugins activos)	Menor (menos plugins requeridos)

Qué está confirmado / Qué todavía no está confirmado

Confirmado:

• Fecha de lanzamiento: 9 de abril de 2026. WordPress ya liberó Beta 4 el 25 de marzo y está en etapa final de testing.
• Requisito mínimo PHP: PHP 7.4. Abandonado soporte para PHP 7.2 y 7.3. Si estás en versiones viejas, necesitarás migrar antes.
• HTML API hardening: Implementado y probado en Beta 3 y 4. Activará automáticamente sin configuración del usuario.
• Screening de plugins: Base de datos de vulnerabilidades integrada, actualizaciones automáticas. Confirmado en documentación oficial.
• 2FA en core: TOTP y U2F soportados. Obligatorio para roles elevados (administrador, editor con permisos de código).
• Compatibilidad con plugins existentes: La mayoría son compatibles. Algunos plugins muy antiguos pueden necesitar actualización.

Todavía sin confirmación definitiva:

• Rendimiento exacto de la IA: No hay benchmarks públicos de qué tan efectivo es el motor predictivo de amenazas. Probablemente veremos datos después del lanzamiento.
• Costo de infraestructura: La conectividad con el servicio central de análisis podría implicar pequeño overhead. WordPress no publicó números concretos aún.
• Duración del período de soporte: Por tradición, WordPress soporta cada rama ~24 meses después del siguiente mayor release. Si 8.0 llega en 2028, 7.0 entraría en mantenimiento de seguridad. Pero no está oficialmente declarado aún.
• Integración con Multisite: Algunos usuarios mencionan dudas si el screening de plugins y 2FA funcionan completamente en instalaciones Multisite. Esperamos claridad después del 9 de abril.

Impacto en sitios existentes: plan de migración

Si hoy estás en 6.9.4, la actualización a 7.0 no es automática. Va a aparecer como disponible en el dashboard de WordPress, pero vos decidís cuándo hacerla. La mayoría de los hosts permiten actualizar automáticamente (algunos lo hacen por default), así que es posible que el tuyo lo haga.

Esto se conecta con Plugin de membresías WordPress explotado para crear cuentas, donde contamos cómo recuperarte del ataque.

Esto se conecta directamente con WordPress 7.0 lanza 9 de abril con seguridad integrada nativ, donde profundizamos en el tema.

Esto se conecta directamente con Plugin de membresías WordPress explotado para crear cuentas, una vulnerabilidad que cubrimos en detalle.

Esto se conecta con Plugin de membresías WordPress explotado para crear cuentas, donde cubrimos técnicas de hardening en profundidad.

Si querés saber más sobre esto, acá está WordPress 7.0 lanza 9 de abril con seguridad integrada nativ.

Lo importante es que también vigiles los plugins comprometidos, que detallamos en WordPress Lanza Actualización Crítica de Seguridad Versión 6.

Para entender la respuesta del core ante estos riesgos, leé nuestro análisis completo en WordPress Lanza Actualización Crítica de Seguridad Versión 6.

Para más detalles sobre cómo proceder, mirá nuestro análisis completo en WordPress Lanza Actualización Crítica de Seguridad Versión 6.

Para profundizar en cómo WordPress aborda la seguridad desde el core, consultá nuestro artículo sobre WordPress 7.0 lanza 9 de abril con seguridad integrada nativ.

Esto se conecta con WordPress Lanza Actualización Crítica de Seguridad Versión 6, donde cubrimos el tema con más detalle.

Este tema se expande en WordPress 7.0 lanza 9 de abril con seguridad integrada nativ.

Esto se conecta con nuestro artículo sobre WordPress 7.0 lanza 9 de abril con seguridad integrada nativ.

Esto se profundiza en nuestro artículo sobre WordPress 7.0 lanza 9 de abril con seguridad integrada nativ.

Esto está directamente vinculado con WordPress Lanza Actualización Crítica de Seguridad Versión 6, donde cubrimos todos los detalles.

Si estás en PHP 7.2 o 7.3, tenés que actuar primero: migrar a PHP 7.4 mínimo antes de actualizar a WordPress 7.0. Eso puede tomar algunos días si tu hosting necesita intervención manual. Hablá con tu proveedor ahora, no lo dejes para el último minuto.

Esto se conecta con Plugin de membresías WordPress explotado para crear cuentas, donde cubrimos la vulnerabilidad en detalle.

Si profundizás en este tema, vas a encontrar conexiones con WordPress 7.0 lanza 9 de abril con seguridad integrada nativ.

Esto se relaciona directamente con WordPress Lanza Actualización Crítica de Seguridad Versión 6, que ya cubrimos en detalle.

Si querés más, mirá nuestro artículo en WordPress 7.0 lanza 9 de abril con seguridad integrada nativ.

Esto es justo lo que analizamos en WordPress Lanza Actualización Crítica de Seguridad Versión 6, con todos los detalles técnicos.

Esto se conecta con WordPress Lanza Actualización Crítica de Seguridad Versión 6, donde profundizamos en el tema.

Si querés saber más sobre esto, revisá nuestro artículo sobre WordPress Lanza Actualización Crítica de Seguridad Versión 6.

Esto se profundiza en WordPress Lanza Actualización Crítica de Seguridad Versión 6.

Para saber más sobre estos riesgos, mirá nuestro artículo sobre WordPress 7.0 lanza 9 de abril con seguridad integrada nativ.

Para más sobre esto, mirá WordPress 7.0 lanza 9 de abril con seguridad integrada nativ.

Podés leer más sobre este ataque en profundidad en nuestro artículo sobre Plugin de membresías WordPress explotado para crear cuentas.

Por otro lado, documentamos un caso concreto en Plugin de membresías WordPress explotado para crear cuentas que muestra el mismo patrón.

Un caso similar es el de Plugin de membresías WordPress explotado para crear cuentas, que analizamos en detalle acá.

Para entender mejor cómo evoluciona la seguridad, mirá WordPress 7.0 lanza 9 de abril con seguridad integrada nativ.

Esto se conecta con Plugin de membresías WordPress explotado para crear cuentas, que también deberías conocer.

Antes de actualizar, hacé un checklist:

• Verificá que tu hosting soporta PHP 7.4 o superior
• Actualizá todos los plugins a sus últimas versiones
• Hacé un backup completo (archivos + base de datos)
• Probá la actualización primero en un sitio de staging, no en producción
• Revisá los logs después de actualizar, buscá errores de compatibilidad
• Configurá 2FA para tu usuario admin (aunque sea opcional en ese momento, es lo que va a ser tendencia)

El tema del screening de plugins es importante: WordPress 7.0 va a verificar cada plugin activo contra su base de datos de vulnerabilidades. Si tenés plugins viejos que hace años que no se actualizan, WordPress te lo va a marcar. No los desactivará automáticamente, pero sí te va a alertar. Es el momento para limpiar la basura del sitio.

Preguntas frecuentes

¿Cuáles son las nuevas características de seguridad en WordPress 7.0?

Las principales son cuatro: HTML API hardening automático que bloquea inyecciones de código en tiempo real, screening nativo de plugins que verifica vulnerabilidades conocidas, autenticación mejorada con 2FA integrado para roles elevados, y un motor de IA que analiza patrones de ataque globales para anticipar amenazas. Juntas, permiten a WordPress 7.0 ofrecer defensa de nivel enterprise sin depender de plugins terceros. Más contexto en vulnerabilidades comunes en plugins.

¿Cuándo se lanza WordPress 7.0 y qué mejoras trae?

El lanzamiento oficial es el 9 de abril de 2026. Además de las mejoras de seguridad, trae optimizaciones de rendimiento en la interfaz del editor de bloques, soporte mejorado para JavaScript moderno, y cambios de arquitectura que hacen WordPress más livianos en sitios con muchos plugins.

¿Qué es el HTML API hardening en WordPress 7?

Es un sistema automático que analiza el contenido HTML que publicas (posts, comentarios, etc.) y bloquea intentos de inyectar código malicioso. Funciona sin necesidad de que lo configures. Se activa automáticamente al actualizar a WordPress 7.0 y protege contra XSS, inyecciones SCRIPT, y otros ataques de ese tipo.

¿WordPress 7.0 reemplaza los plugins de seguridad terceros como Wordfence?

No los reemplaza completamente, pero los hace opcionales. Las defensas de core en WordPress 7.0 cubrirán el 80% de los casos. Si querés análisis más profundo, monitoreo de cambios en archivos, detección de malware, o logging forense, Wordfence sigue siendo la opción más completa. Lo que 7.0 sí elimina es la necesidad de plugins de seguridad básicos solo para tener protección contra inyecciones o 2FA.

¿Cómo se mejora la autenticación en WordPress 7.0?

WordPress 7.0 añade 2FA nativo con dos métodos: TOTP (Google Authenticator, Authy) y U2F (llaves de seguridad física). Es obligatorio para administradores y usuarios con permisos de edición de código. Eso reduce drasticamente el riesgo de account takeover por fuerza bruta.

¿Cuál es el requisito mínimo de PHP para WordPress 7.0?

PHP 7.4 o superior. Si estás en PHP 7.2 o 7.3, necesitarás una migración antes de actualizar. Hablá con tu hosting ahora, algunos requieren intervención manual y toma tiempo.

Conclusión

WordPress 7.0 representa un cambio de modelo. Hasta ahora, seguridad en WordPress significaba plugins. Muchos plugins, cada uno resolviendo un problema: este para 2FA, ese para hardening, este otro para análisis. WordPress 7.0 integra todo eso en el core, lo que reduce complejidad, libera recursos, y crea una arquitectura de defensa más sólida.

Si estás en 6.9.4, no hay urgencia absoluta de actualizar el 9 de abril. Pero conviene hacerlo dentro de las dos primeras semanas, después de probar en staging. WordPress 7.0 trae mejoras tangibles en seguridad que valen la inversión de tiempo en testing.

Lo que SÍ hay que hacer ya es revisar tu entorno PHP, auditar plugins activos, y hacer backup. Eso no depende de la actualización de WordPress, es limpieza de base que la mayoría de los sitios necesita.

El panorama de seguridad en WordPress cambió el 10 de marzo con 6.9.2 (aunque fue un lanzamiento caótico), se estabilizó el 11 de marzo con 6.9.4, y se resetea completamente el 9 de abril con 7.0. Tres dates importantes. Marcalas en el calendario.

¿Por qué WordPress 6.9.2 fue problemático?

Tres commits de seguridad nunca llegaron al branch de release, y un bug causó pantalla blanca en producción. El equipo tuvo que publicar dos releases de emergencia (6.9.3 y 6.9.4) en 24 horas para cerrarlo.

¿Cuál es el requisito mínimo de PHP para WordPress 7.0?

WordPress 7.0 requiere PHP 7.4 como mínimo. Si estás en PHP 7.2 o 7.3, necesitarás migrar antes de actualizar, ya que las nuevas defensas integradas dependen de esta versión.

¿Cuando se lanza WordPress 7.0?

WordPress 7.0 se lanza el 9 de abril de 2026 con cambios paradigmáticos en seguridad: HTML API hardening automático, screening nativo de plugins, y autenticación mejorada con 2FA integrado.

¿Cuál es la diferencia entre WordPress 6.9.2, 6.9.3 y 6.9.4?

WordPress 6.9.2 se lanzó con 10 parches pero falló: tres commits de seguridad nunca llegaron al release y causó pantalla blanca. 6.9.3 arregló el bug visual pero mantuvo esas vulnerabilidades sin parchar. 6.9.4 (11/03/2026) finalmente incluyó todos los parches: path traversal en PclZip, authorization bypass en Notes, y XXE en getID3. Si estás en 6.9.2 o 6.9.3, tenés vulnerabilidades abiertas.

¿Qué CVEs específicos corrige WordPress 6.9.4?

Los tres CVEs críticos que 6.9.4 agregó son: CVE-2026-3907 (path traversal en PclZip), CVE-2026-3906 (authorization bypass en Notes) y CVE-2026-3908 (XXE en getID3). Además, 6.9.2 incluye 7 CVEs más de severidad media: SSRF, XSS almacenado, DoS, y otros. La tabla de vulnerabilidades en el artículo detalla los 10 completos.

¿Estoy expuesto si tengo WordPress 6.9.2 instalado?

Sí, estás completamente expuesto. Los tres parches más críticos nunca llegaron a 6.9.2 ni a 6.9.3, y además tenés el bug de pantalla blanca todavía activo. Tenés que actualizar a 6.9.4 inmediatamente para cerrar todas las brechas de seguridad.

¿Estoy en riesgo si tengo WordPress 6.9.2 o 6.9.3?

Sí, estás en riesgo inmediato. WordPress 6.9.2 tiene 10 vulnerabilidades sin parchar, y 6.9.3 solo las parcheó parcialmente. Necesitás actualizar a 6.9.4 ahora mismo para cerrar brechas críticas como CVE-2026-1492 (que permite crear cuentas admin sin autenticación).

¿Cuál es la diferencia entre 6.9.2, 6.9.3 y 6.9.4?

6.9.2 salió con 10 vulnerabilidades pero 3 parches nunca se aplicaron (PclZip, Notes, getID3). 6.9.3 intentó arreglarlo pero causó pantalla blanca. 6.9.4, lanzada el 11 de marzo, es la versión definitiva con todos los parches aplicados. Si estás en 6.9.2 o 6.9.3, tenés brechas abiertas.

¿Cómo sé qué versión de WordPress tengo?

En tu dashboard, vas a Actualizaciones. Si ves 6.9.2 o 6.9.3, necesitás actualizar a 6.9.4. También podés verificar entrando a /wp-admin/update-core.php directamente. WordPress 7.0 sale el 9 de abril con seguridad integrada nativa, así que tené en cuenta ese cambio próximo.

¿Es seguro seguir usando WordPress 6.9.2 en 2026?

No. 6.9.2 fue lanzado el 10 de marzo con 10 vulnerabilidades, tres de las cuales no fueron parcheadas hasta 6.9.4. Si aún usas 6.9.2, tenés path traversal en PclZip, authorization bypass en Notes, y XXE en getID3 sin parchar. Actualiza a 6.9.4 o salta a 7.0 inmediatamente.

¿Qué pasó con la seguridad de WordPress 6.9.2?

La retrospectiva oficial reveló que el proceso de release tuvo gaps. Tres parches críticos nunca llegaron al branch final, obligando a liberar 6.9.3 (para arreglar una regresión) y luego 6.9.4 (con los parches faltantes). Fue un error operativo que expuso a millones de sitios.

¿Debería esperar a WordPress 7.0 en lugar de actualizar a 6.9.4?

No, actualiza a 6.9.4 ahora. WordPress 7.0 requiere PHP 7.4 mínimo. Si estás en PHP 7.2 o 7.3, primero actualiza PHP, luego a 6.9.4, y después a 7.0 cuando todo esté listo.

Fuentes

• Anuncio oficial WordPress 7.0 Beta 4 y 6.9.3 — WordPress.org
• Novedades para desarrolladores — Marzo 2026 — WordPress Developer Hub
• Anuncio WordPress 7.0 Beta 2 en español — es.wordpress.org
• WordPress 7.0: Todo lo que necesitas saber — Raidboxes
• Cómo configurar autenticación en dos pasos en WordPress — es.wordpress.org