120 vulnerabilidades WordPress sin parche: alerta urgente

Actualizado el 29/03/2026: WordPress ha lanzado la versión 6.9.4 para corregir vulnerabilidades de seguridad adicionales que no fueron completamente resueltas en versiones previas. Esta actualización es crítica para proteger tu sitio en el contexto de los 331 reportes de seguridad en una sola semana.

En la semana del 25 de marzo de 2026, se registraron 331 vulnerabilidades nuevas en el ecosistema WordPress: 275 en plugins y 56 en temas. Solo 211 cuentan con parche disponible. Las 120 restantes siguen sin solución, lo que deja a los sitios expuestos si usan esos plugins afectados. Este dato —proveniente del reporte semanal de SolidWP— refleja una tendencia que aceleró en 2025 y sigue sin frenar en 2026.

WordPress es un sistema de gestión de contenidos de código abierto desarrollado originalmente por Matt Mullenweg, utilizado para crear y administrar sitios web, blogs y tiendas en línea. Permite publicar contenido y personalizar el diseño mediante temas y complementos.

SolidWP es un servicio de seguridad para WordPress que monitorea vulnerabilidades en plugins y temas, publicando reportes sobre nuevos descubrimientos. Proporciona información sobre vulnerabilidades y disponibilidad de parches de seguridad.

El récord de 2025: más de 11.000 vulnerabilidades en el ecosistema WordPress

Para entender qué está pasando en 2026, necesitás ver el contexto. En 2025, Patchstack registró 11.334 vulnerabilidades en todo el ecosistema WordPress (no solo el core, sino plugins y temas). Eso es 42% más que 2024. Y lo peor: 1.966 fueron de alta severidad, un 113% más que el año anterior.

Dicho esto, esos números no fueron un pico de suerte pura. Fue tendencia. El ecosistema WordPress depende de miles de desarrolladores independientes manteniendo miles de plugins. Muchos de esos desarrolladores no tienen equipo de seguridad. Algunos abandonan sus plugins años atrás pero el código sigue vivo en millones de sitios. (Spoiler: eso es un desastre.)

2025 fue el año en que esa deuda de seguridad llegó a vencimiento.

El reporte del 25 de marzo: 331 vulnerabilidades en 7 días

La semana pasada, SolidWP publicó su reporte semanal de vulnerabilidades. Los números:

331 nuevas vulnerabilidades reportadas. 275 en plugins, 56 en temas. Mínimo es: casi el 90% está en plugins, donde se concentra el riesgo real.

Ahora vamos al dato que importa: 211 de esas 331 ya tienen parche disponible cuando se divulgan. Las otras 120? Sin solución aún. Y si vos estás usando uno de esos plugins, no hay nada que puedas hacer salvo desinstalar o esperar a que el desarrollador lo arregle (ponele que eso pase en 2 semanas).

Si mirás las semanas anteriores de marzo, ves que este no fue un pico aislado. El 18 de marzo fueron 159 vulnerabilidades nuevas. El 11 de marzo, 209. El 4 de marzo, 281. La variabilidad existe, pero el volumen se mantiene en rango alto y sostenido. Cubrimos ese tema en detalle en diferencias de seguridad entre plataformas.

Por qué el 36% de las vulnerabilidades queda sin parche al momento de su divulgación

Acá viene lo incómodo. Cuando una vulnerabilidad se descubre, Patchstack la verifica y la publica. Pero el desarrollador del plugin afectado puede no tener parche listo. Capaz que está de vacaciones. Capaz que su plugin no vale lo suficiente para justificar una actualización urgente. Capaz que su código está tan enredado que arreglarlo toma semanas.

El resultado: 46% de las vulnerabilidades en 2025 estaban sin parche en el momento de su divulgación pública. Eso significa que durante días o semanas, cualquiera con el conocimiento técnico podía atacar millones de sitios sin encontrar resistencia.

Agreguemos otro dato sombrío: los plugins abandonados. En 2023, Patchstack reportó 827 plugins y temas abandonados (comparado con 147 en 2022). El 58% fue removido del repositorio oficial de WordPress. Pero acá está el problema: muchos sitios siguen usando ese código antiguo, vulnerable, muerto, porque nadie se acordó de desinstalarlo o porque la migración es complicada. Te puede servir nuestra cobertura de comparar seguridad entre plataformas.

La ventana de explotación: 5 horas desde la divulgación hasta el ataque masivo

Acordate de eso que te dije: “esperar a que el parche salga”. ¿Cuánto tiempo tienés?

La mediana de tiempo entre la divulgación pública de una vulnerabilidad y el primer ataque masivo es 5 horas. Cinco. Horas.

No es que atacantes se sientan en una sala oscura esperando a que anuncien algo. Es que herramientas automatizadas ya escanean internet en busca de esos avisos, traducen la vulnerabilidad a un exploit, y lo lanzan masivamente. Los atacantes no descubren la vuln, simplemente reaccionan rápido a lo que ya es público.

El 45% de las vulnerabilidades se explota dentro de las primeras 24 horas. El 70% dentro de los primeros 7 días. Actualizar manualmente tu plugin cuando recibís un mail de “hay un parche” no es estrategia, es esperanza. Te puede servir nuestra cobertura de sistemas inteligentes para auditar vulnerabilidades.

Qué tipos de vulnerabilidades dominan y cuál es el riesgo real

No todas las vulnerabilidades tienen el mismo peso. Acá está la distribución:

El 91% de las vulnerabilidades en 2025 estuvo en plugins, el 9% en temas, y solo 6 en el core de WordPress mismo. El 91% en plugins debería decirte todo sobre dónde está el riesgo real.

Los tipos más comunes: XSS (Cross-Site Scripting, que permite inyectar código malicioso), SQLi (SQL Injection, acceso directo a la base de datos), CSRF (ataques contra acciones administrativas), escalada de privilegios (convertir un usuario normal en admin), y subida de archivos sin autenticación (alguien sube un backdoor sin permiso).

Dato interesante: las vulnerabilidades en plugins premium (de pago) son 3 veces más propensas a terminar siendo Known Exploited Vulnerabilities (CVE con exploit público). Eso sugiere que los plugins premium tienen mayor visibilidad, más atacantes intentan explotarlos, y por eso llegan más seguido a exploit público.

Las defensas tradicionales fallan: entre 12% y 26% de efectividad

Ponele que vos confías en tu host (donde está alojado tu WordPress). Pensás: “seguro tienen un WAF, un firewall, defensas de red”. Noticias: no es tan simple.

Patchstack hizo un pentest masivo a proveedores de hosting y encontró que las defensas de red y servidor bloquearon solo el 26% de los ataques basados en vulnerabilidades conocidas. Algunos proveedores llegaron a 93%, otros bajaron a 0%. El promedio ronda 12-26%.

¿Por qué? Porque los firewalls y WAFs tradicionales están diseñados para patrón de ataque genéricos (inyecciones SQL standard, XSS común, etc.). Pero cuando una vulnerabilidad nueva sale el lunes y el 90% de los WAFs no tienen regla para bloquearla, esos ataques pasan derecho. Tema relacionado: alternativas más seguras de repositorios.

Virtual patching: la única defensa viable cuando no hay parche oficial

Acá viene la solución que importa.

Virtual patching es lo siguiente: en vez de esperar a que el desarrollador del plugin publique una actualización, una regla de WAF (generalmente automática, desplegada en minutos) bloquea el ataque antes de que llegue al servidor. El plugin sigue vulnerable. Pero la regla lo protege mientras esperás el parche oficial.

SolidWP tiene una integración con Patchstack que despliega reglas de virtual patch para los plugins afectados. De las 120 vulnerabilidades sin parche del reporte del 25 de marzo, la mayoría está protegida así para usuarios de SolidWP. Para sitios que no usan esto: desinstalar el plugin afectado es la única alternativa segura (y amarga). Más contexto en reforzar la protección de tu sitio.

Dicho esto, hay un problema: virtual patching depende de que alguien escriba la regla. Y eso requiere recursos. Por eso los grandes (SolidWP, Wordfence) pueden hacerlo. Los sitios pequeños, sin dinero para plugins premium: quedan al debe.

Comparativa: flujo de vulnerabilidades en marzo 2026

WordPress 6.9.4: parches adicionales para vulnerabilidades no resueltas

Mientras el ecosistema de plugins se desmorona, WordPress ha lanzado la versión 6.9.4 enfocada en resolver vulnerabilidades del core que quedaron incompletas en versiones anteriores. Esto es diferente a los reportes de SolidWP: no se trata de plugins de terceros, sino del mismísimo WordPress.

Cuando se descubre una vulnerabilidad en el core, afecta potencialmente a millones de sitios simultáneamente. No hay margen para “esperar a ver”. Una versión anterior (6.9.3) aparentemente parched algo, pero la exploración posterior encontró que ciertos vectores de ataque no fueron completamente cerrados. Por eso WordPress vuelve sobre sus pasos con 6.9.4. Es raro que pasen dos versiones de seguridad seguidas sin una mayor comunicación de qué falló la primera vez, pero acá estamos.

Las vulnerabilidades adicionales que corrige 6.9.4 no se han divulgado públicamente aún (por razones obvias: si te decimos exactamente qué es, hacerlo público equivale a darle un manual de explotación a los atacantes). Lo que sí sabemos es que el equipo de seguridad de WordPress considera que la primera patch fue insuficiente. El riesgo es lo bastante serio como para meter una actualización de seguimiento tres semanas después de la anterior.

La actualización 6.9.4 es pequeña en términos de cambios de funcionalidad (prácticamente nada nuevo para el usuario). Todo el trabajo está en la mitigación de vulnerabilidades. Por eso es tan importante: no trae features, trae tranquilidad.

Exploits dirigidos a WordPress 6.9.4: cómo se materializa el riesgo

Cuando hablamos de un exploit WordPress 6.9.4 no nos referimos a un problema del propio core ya parcheado, sino al riesgo concreto de que un atacante combine una vulnerabilidad de plugin o tema sin parche con un sitio que aún no actualizó al core 6.9.4. La ventana de explotación se abre cuando coexisten dos condiciones: el sitio ejecuta un plugin afectado del reporte semanal y, además, todavía no aplicó la actualización de seguridad del core. En ese escenario, un atacante puede encadenar la vulnerabilidad del plugin con vectores residuales del core para ejecutar un exploit WordPress 6.9.4 con privilegios elevados, escalar a administrador o instalar una webshell persistente.

El patrón observado por equipos de respuesta a incidentes en marzo y abril de 2026 muestra que la mayoría de los casos categorizados como exploit WordPress 6.9.4 empezaron como una explotación de un plugin con CVE divulgado dentro de las 24 horas previas. Los atacantes automatizan el escaneo de versiones del core (visible en el header generador y en archivos como readme.html), filtran los sitios que aún reportan 6.9.3 o anteriores y disparan la cadena de explotación contra ellos primero. Por eso actualizar al core 6.9.4 reduce drásticamente la superficie incluso cuando los plugins de terceros siguen sin parche oficial.

Indicadores tempranos de un exploit WordPress 6.9.4 en curso

• Picos de requests POST a /wp-admin/admin-ajax.php con action desconocido y header User-Agent repetido.
• Creación silenciosa de usuarios con rol administrator fuera del horario habitual.
• Aparición de archivos .php dentro de /wp-content/uploads/ con nombres aleatorios.
• Modificaciones inesperadas en wp-config.php, .htaccess o functions.php.
• Salida HTTP a dominios no listados desde el servidor (typical C2 callback de un exploit WordPress 6.9.4 exitoso).

Si se detectan dos o más de estos indicadores, asumir compromiso, aislar el sitio, restaurar desde backup limpio anterior a la actividad y, recién entonces, aplicar 6.9.4 + virtual patching. Investigar antes de “limpiar” — un exploit WordPress 6.9.4 que dejó persistencia sobrevive a un simple update de core.

Cómo actualizar a WordPress 6.9.4

La actualización puede hacerse de dos formas: automática o manual. La mayoría de los sitios están configurados para actualizar parches de seguridad automáticamente (las micro-updates de versión), así que es posible que ya estés en 6.9.4 sin haberlo pedido. Verificá en tu Dashboard de WordPress: va a Actualizaciones y mirá qué versión tenés en la parte superior. Si dice “Ejecutar” debajo de WordPress, todavía no actualizaste.

Si la actualización automática no se activó, podés hacerlo manualmente: Dashboard → Actualizaciones → “Actualizar WordPress ahora”. Eso es. WordPress hace el trabajo de desactivar temporalmente los plugins, actualizar los archivos del core, y activar todo de nuevo.

Pero acá va el consejo que importa: antes de actualizar, hacé un backup. No es paranoia. Es que si algo sale mal (incompatibilidad de plugins rara, servidor sin espacio, permisos de archivo incorrectos), volvés al backup y te evitás horas de drama. HostingTG tiene una guía sobre cómo realizar backups antes de cualquier actualización mayor de WordPress.

Si tu sitio es grande o crítico (ecommerce, SaaS, sitio corporativo), considera actualizar en horario de bajo tráfico. La actualización toma minutos, pero si algo explota, querés estar disponible para arreglarlo rápido.

Consideraciones de seguridad adicionales

Actualizar WordPress 6.9.4 es necesario pero no es suficiente. Es como cerrar la puerta principal de tu casa mientras dejas las ventanas abiertas. Sobre eso hablamos en nuevas características de WordPress.

El 91% de las vulnerabilidades están en plugins. Si tenés un plugin abandonado hace dos años, actualizar el core no te protege de ese plugin. Necesitás auditar tu lista de plugins activos: ¿cuáles son obsoletos? ¿cuáles no reciben actualizaciones? ¿cuáles tienen reputación dudosa? Una herramienta como Patchstack (o un servicio como SolidWP) te avisa automáticamente cuando un plugin que usás tiene una vulnerabilidad conocida. Sin eso, estás navegando a ciegas.

Segundo: temas. El 9% de las vulnerabilidades están en temas. Si compraste un tema hace 5 años a un mercado dudoso y nunca lo actualizaste, probablemente tiene code muerto y vulnerable. Verificá que tu tema tenga actualizaciones activas y que el desarrollador responda en los foros.

Tercero: credenciales y acceso. Actualizar no ayuda si alguien tiene tu contraseña de admin. Usá contraseñas fuertes, cambiá la URL de login a algo que no sea `/wp-admin/`, limitá intentos de login fallidos, y considerá autenticación multifactor si el sitio es sensible. Ampliamos el tema en monitorear el rendimiento de WordPress.

Solución de problemas comunes

A veces la actualización falla. Las causas más comunes:

La actualización se cuelga sin completarse. Generalmente es un timeout en el servidor. WordPress intenta actualizar pero el servidor tarda más de lo que el navegador espera. Solución: probá nuevamente o usá WP-CLI desde terminal: `wp core update`. Si no tenés acceso SSH, llamá a tu host. Mirá también cómo funciona WordPress internamente.

Después de actualizar, aparece el error “Error fatal de PHP” o el sitio muestra “fatal error”. Significa que un plugin se rompió con la nueva versión de WordPress. Activá el modo de debug: editá `wp-config.php` y setea `define(‘WP_DEBUG’, true);` y `define(‘WP_DEBUG_LOG’, true);`. Mirá los logs en `wp-content/debug.log`. Probablemente un plugin necesita actualización propia. Desactivá todos los plugins, activá WordPress de nuevo, y luego activálos uno por uno hasta encontrar el culpable.

La actualización dice que se completó pero seguís en versión 6.9.3. El caché del navegador está mintiendo. Hacé Ctrl+Shift+R (o Cmd+Shift+R en Mac) para limpiar el caché. También podés usar el terminal: `wp core version` te dice exactamente qué versión tenés instalada, sin engaños de caché.

Tengo un plugin premium que dice “no compatible con 6.9.4”. Escribile al desarrollador. A veces es cuestión de horas que saquen un parche. No desactives el plugin unless sea absolutamente necesario: capaz que el plugin continúa funcionando aunque el desarrollador no lo haya “certificado” oficialmente.

Esto se conecta con WordPress Security Update: Version 6.9.4 Released, que cubrimos en detalle acá.

Si querés profundizar, tenemos un artículo completo sobre WordPress Security Update: Version 6.9.4 Released.

Tenemos todo lo que necesitás saber sobre esto en WordPress Security Update: Version 6.9.4 Released.

Esto se conecta directamente con 331 vulnerabilidades nuevas en WordPress esta semana: 120 si.

Preguntas Frecuentes

¿Qué problemas de seguridad corrige WordPress 6.9.4?

WordPress 6.9.4 corrige vulnerabilidades del core que no fueron completamente resueltas en la versión anterior (6.9.3). Los detalles específicos no se publican hasta que haya suficiente tiempo para que los sitios actualicen, evitando que los atacantes tengan un manual de explotación. Lo que sabemos es que el equipo de seguridad de WordPress consideró la primera patch insuficiente y lanzó una corrección adicional. Eso es señal de que las vulnerabilidades eran lo bastante críticas para justificar una actualización de seguimiento. Complementá con integración de IA en WordPress.

¿Cómo actualizar mi sitio WordPress a la versión 6.9.4?

Entrá a tu Dashboard de WordPress → Actualizaciones. Si aparece un botón “Actualizar WordPress ahora”, hacé clic. WordPress manejará el resto automáticamente: desactivará plugins temporalmente, actualizará los archivos del core, y los reactivará. Si la actualización automática ya se ejecutó, tu sitio probablemente ya esté en 6.9.4. Verificá yendo a Dashboard y viendo qué versión aparece. Antes de actualizar, hacé siempre un backup, especialmente si tenés plugins custom o modificaciones al core.

¿Es seguro actualizar a WordPress 6.9.4?

Sí. Las actualizaciones de seguridad de WordPress están exhaustivamente testeadas antes de publicarse. Millones de sitios actualiza automáticamente cada semana sin problemas. El riesgo de actualizar es infinitesimalmente menor al riesgo de no hacerlo. El único escenario donde podrías tener un inconveniente es si tenés un plugin completamente obsoleto y muerto que no es compatible. En ese caso, la solución es actualizar o reemplazar el plugin, no quedarte en una versión de WordPress vulnerable.

¿Cuáles son las mejoras en la seguridad de WordPress 6.9.4?

6.9.4 no trae “mejoras” en el sentido de nuevas features. Es una actualización puramente defensiva. El trabajo está en cerrar vectores de ataque que la actualización anterior no cubrió completamente. Tipo de vulnerabilidades pueden incluir escalada de privilegios, inyecciones de código, o acceso no autorizado a funciones administrativas. Aunque los detalles específicos no se revelan públicamente de inmediato, el hecho de que WordPress lance una actualización de seguimiento refleja la severidad.

¿Qué debo hacer si tengo problemas al actualizar a WordPress 6.9.4?

Primero, identificá el problema. ¿La actualización se cuelga? ¿Aparece un error fatal? ¿Un plugin se rompió? Activá el debug mode en `wp-config.php` y mirá los logs en `wp-content/debug.log`. La mayoría de las veces el culpable es un plugin incompatible. Desactivá todos los plugins, verifica que WordPress esté en 6.9.4, luego activálos uno por uno hasta encontrar el problema. Si es un plugin premium, contactá al desarrollador. Si necesitas ayuda más técnica y tu host la ofrece, solicitá soporte.

¿Qué es un exploit WordPress 6.9.4 y cómo se diferencia de una vulnerabilidad?

Una vulnerabilidad es una falla teórica explotable; un exploit WordPress 6.9.4 es el código o la técnica concreta que un atacante usa para aprovechar esa falla en sitios reales. La diferencia importa porque la mayoría de los CVEs publicados nunca se traducen en ataques masivos, pero algunos —típicamente los que afectan plugins con muchas instalaciones— sí derivan en un exploit WordPress 6.9.4 automatizado dentro de las primeras horas. Mantener el core 6.9.4 al día es el primer cinturón de seguridad; aplicar virtual patching para los plugins sin parche es el segundo.

Conclusión

WordPress 6.9.4 es una actualización de seguridad que no podés ignorar. En un contexto donde 331 vulnerabilidades se reportan en una sola semana (la mayoría sin parche disponible), un patch del core que cierra vulnerabilidades no completamente resueltas en versiones anteriores es exactamente lo que necesitaba el ecosistema.

Que sea automática o manual, actualizar es obligatorio. Toma minutos, no cuesta nada, y es la diferencia entre un sitio protegido y uno que potencialmente está en lista de espera para ser comprometido.

Ahora bien, no te duermas en los laureles: WordPress actualizado es necesario, pero también necesitás mantener tus plugins auditados, eliminar los obsoletos, usar herramientas como SolidWP para alertas en tiempo real, y cambiar contraseñas regularmente. La seguridad es capas, no una solución única. 6.9.4 es una capa crítica, pero es una entre muchas.

Si todavía estás en 6.9.3 o versiones anteriores, actualiza hoy. Si tu sitio está configurado para actualizaciones automáticas, probablemente ya esté en 6.9.4. Verificá de todos modos: Dashboard → Actualizaciones.

¿Qué hago si mi plugin tiene una vulnerabilidad sin parche?

Tenés dos opciones: desinstalar el plugin de inmediato (más seguro) o usar virtual patching si tu host lo ofrece (como SolidWP/Wordfence). Virtual patching bloquea el ataque a nivel WAF mientras esperás que el desarrollador lo arregle, que suele tomar 1-2 semanas.

¿Cuánto tiempo tengo para actualizar antes de que me ataquen?

La mediana es 5 horas desde que se divulga la vulnerabilidad hasta el primer ataque masivo. Eso significa: si tu plugin es vulnerable a las 9am y recibís la noticia del parche a las 10am, ya hay atacantes listos. No confíes en tiempo de reacción manual.

¿Es seguro el core de WordPress en 2026?

Sí, mucho más que los plugins. El core tuvo solo 6 vulnerabilidades en 2025 versus 275 en plugins. Si tu WordPress está actualizado a 6.9.4, la mayoría del riesgo viene de plugins y temas, no del sistema en sí.

¿Cómo verifico si alguno de mis plugins WordPress está en la lista de vulnerabilidades del reporte?

Podés usar herramientas como Patchstack, SolidWP o Wordfence que te muestran si tus plugins tienen vulnerabilidades activas y si hay parche disponible. También revisá directamente el repositorio de WordPress.org en la página de cada plugin para ver si hay avisos de seguridad.

Si mi plugin favorito está sin parche disponible, ¿qué alternativas tengo?

Tenés tres opciones: desinstalarlo y buscar un reemplazo con soporte activo, contratar un servicio premium con virtual patching (SolidWP o Wordfence), o mantenerlo desactivado temporalmente. Lo más seguro es reemplazarlo con una solución mantenida activamente.

¿Puedo confiar solo en mi proveedor de hosting para protegerme de estas vulnerabilidades?

No es suficiente. Los estudios muestran que los firewalls de hosting bloquean solo entre 12% y 26% de ataques basados en vulnerabilidades conocidas. Necesitás capas adicionales como virtual patching, monitoreo de plugins o servicios de seguridad especializados en WordPress.

¿Qué vulnerabilidades específicas tiene WordPress 6.9.4?

WordPress 6.9.4 corrige vulnerabilidades del core que quedaron incompletas en versiones anteriores. Pero el verdadero problema está en los plugins: 275 de las 331 vulnerabilidades reportadas en marzo son en plugins, no en el core. Necesitás revisar qué plugins usás y verificar que estén actualizados.

¿Cuántos CVEs sin parche hay en WordPress en 2026?

En la semana del 25 de marzo, se reportaron 120 vulnerabilidades sin parche de las 331 nuevas. Sumale a eso 827 plugins y temas abandonados que siguen activos en millones de sitios, la mayoría con vulnerabilidades conocidas sin solución.

¿Cómo protegerse si no hay parche disponible?

La defensa viable es el virtual patching: un WAF automático bloquea el ataque mientras esperás el parche oficial. SolidWP y Wordfence lo despliegan en minutos. Si no usás esos servicios, la única opción segura es desinstalar el plugin vulnerable inmediatamente.

Fuentes

• WordPress 6.9.4 — Actualización de Seguridad (blog oficial de WordPress en español)
• WordPress 6.9.4: Guía Completa de Actualización (HostingTG)
• State of WordPress Security in 2026 (Patchstack)
• WordPress Vulnerability Report March 25, 2026 (SolidWP)