En lo que los expertos en seguridad llaman "el pico de energía de 2026", WordPress ha recordado una vez más a todos que incluso una instalación predeterminada impecable puede convertirse en un festín para que un hacker ejecute todo lo que quiera con nada más que una simple solicitud HTTP anónima. Damas y caballeros, les presentamos wp2shell (CVE-2026-63030), la nueva y brillante vulnerabilidad de ejecución remota de código sin autenticación en WordPress 6.9 y 7.0. No se requiere iniciar sesión. No se requieren complementos. No se requiere configuración especial. Simplemente dirija su paquete malicioso a un sitio vulnerable y observe cómo sucede la magia. Es casi elegante en su pereza. La falla, descubierta por investigadores de Assetnote y reportada responsablemente, abusa inteligentemente del manejo de solicitudes por lotes de la API REST con un toque de inyección SQL. Piense en ello como el equivalente en software a dejar la puerta principal abierta de par en par mientras publica en las redes sociales lo segura que es su nueva cerradura inteligente. WordPress lanzó correcciones en las versiones 7.0.2 y 6.9.5 el 17 de julio, con actualizaciones automáticas forzadas incluidas, porque aparentemente muchos propietarios de sitios web consideran la aplicación de parches como algo opcional.
Si usas alguna versión entre 6.9.0 y 6.9.4 o entre 7.0.0 y 7.0.1, enhorabuena: tu sitio estaba potencialmente expuesto a cualquiera con conocimientos básicos de programación y resentimiento (o simplemente aburrimiento). El endpoint de la API REST para procesamiento por lotes ha estado latente en el núcleo desde la versión 5.6, esperando pacientemente su historia de origen. WordPress.org merece un aplauso por su rápida respuesta y las actualizaciones forzadas. Pero seamos realistas: en un mundo donde millones de sitios aún ejecutan versiones antiguas como fósiles digitales, "actualiza ahora" suena menos a consejo y más a gritos de auxilio.
¿Qué debes hacer? (Alerta de spoiler: No ignores esto)
Actualiza inmediatamente a la versión 7.0.2 o 6.9.5. Sí, ahora mismo. Tu tema personalizado se conservará.
Comprueba tu versión y realiza la prueba en el verificador de los investigadores (porque, al parecer, confiar en las actualizaciones automáticas es lo que nos ha llevado hasta aquí).
Analiza los registros en busca de solicitudes por lotes sospechosas: el equivalente digital a buscar huellas de barro en tu sala de estar.
Si la actualización resulta imposible (ya hemos oído las excusas), bloquee el punto final de procesamiento por lotes o utilice medidas temporales. Pero recuerde: los parches no solucionan los problemas graves.
Para los verdaderamente paranoicos (o responsables), esto es un recordatorio más de que la "instalación predeterminada sin complementos" no es tan ventajosa como algunos creen.






