WordPress 7.0.2 corrige un RCE crítico: qué revisar hoy aunque uses Cloudflare
Ciberseguridad

WordPress 7.0.2 corrige un RCE crítico: qué revisar hoy aunque uses Cloudflare

Publicado el 18/07/2026 Análisis y guía práctica en su-ip.es

WordPress 7.0.2 corrige un RCE crítico y un SQL injection. Te contamos qué versiones están afectadas, qué hace Cloudflare y qué revisar hoy para no confiarte.

WordPress ha publicado hoy, 18 de julio de 2026, la versión 7.0.2 para corregir una cadena de fallos seria: un SQL injection y un RCE sin autenticación relacionado con la REST API. La parte importante para cualquier administrador no es el titular, sino esto: si tu sitio sigue en una rama afectada, tocará comprobar versión, autoactualización, caché persistente y reglas de protección cuanto antes.

La noticia tiene además un matiz práctico poco habitual. Cloudflare desplegó reglas WAF antes de la publicación pública y dice que protegen a clientes de planes gratuitos y de pago si el tráfico pasa por su WAF. Eso ayuda a ganar tiempo, pero no sustituye el parche. Por eso la pregunta útil hoy no es solo “qué ha pasado”, sino qué revisar ahora mismo para no quedarte expuesto por confiarte.

Resumen rápido: qué ha pasado

  • 18 de julio de 2026: WordPress publica 7.0.2 como actualización de seguridad.
  • El aviso oficial habla de un problema crítico y otro de severidad alta.
  • Cloudflare confirmó el 17 de julio de 2026 que desplegó protecciones WAF previas para ambos fallos.
  • Los parches también llegaron como backport a 6.9.5, 6.8.6 y 7.1 Beta 2.
  • Las versiones anteriores a 6.8 no están afectadas, según Cloudflare.
  • WordPress activó autoactualizaciones forzadas por la gravedad del incidente en muchas instalaciones afectadas.

Qué vulnerabilidades corrige WordPress 7.0.2

Cloudflare identifica dos CVE distintos. El primero es CVE-2026-60137, un SQL injection que afecta a WordPress 6.8 y posteriores. El segundo es CVE-2026-63030, un remote code execution sin autenticación que afecta a WordPress 6.9 y posteriores a través del endpoint batch de la REST API cuando no se usa caché persistente de objetos.

Traducido a lenguaje menos jurídico: el fallo crítico permite que un atacante remoto pueda ejecutar código sin login ni interacción del usuario si se da ese escenario concreto. Y el fallo de inyección SQL forma parte de la misma cadena de riesgo. No es el típico parche cosmético que puedes posponer para la semana que viene.

Qué cambia hoy para quien administra una web real

La parte más útil del anuncio es que deja un checklist muy claro. Si tu web usa WordPress en una rama afectada, el trabajo urgente no es debatir la noticia, sino confirmar si ya estás en 7.0.2, 6.9.5 o 6.8.6. Si estás en una rama beta, la referencia citada es 7.1 Beta 2.

También conviene recordar que una web aparentemente “protegida” puede seguir mal si mezcla cachés, overrides del WAF, plugins que rompen flujos o actualizaciones automáticas desactivadas. Igual que comentamos en nuestra guía sobre Cloudflare DMARC Management, tener una capa de protección extra ayuda, pero la seguridad real depende de revisar la configuración completa y no solo de activar un producto.

Administrador revisando el panel de actualizaciones de WordPress y alertas de seguridad en una oficina moderna
En una incidencia así, el primer paso útil no es leer más titulares: es comprobar versión, rama y estado real de actualización.

Qué hace Cloudflare y dónde están sus límites

Cloudflare explicó que sus nuevas reglas se desplegaron a las 17:03 UTC del 17 de julio de 2026 y que protegen a clientes free y paid siempre que la aplicación esté detrás del Cloudflare WAF. También recuerda algo importante: si alguien cambió reglas para pasar de Block a Log, o si hay excepciones poco cuidadas, la cobertura puede no ser la que crees.

Eso convierte la noticia en una lección práctica para pequeñas empresas y administradores independientes. Un WAF bien colocado reduce exposición mientras actualizas, pero no corrige tu WordPress. Si el panel muestra que sigues en una versión vulnerable, el problema sigue ahí aunque el edge esté filtrando parte del tráfico.

Qué revisar hoy paso a paso

  • Versión exacta de WordPress: confirma si ya estás en 7.0.2, 6.9.5, 6.8.6 o 7.1 Beta 2.
  • Autoactualizaciones: comprueba si la instalación recibió el parche o si están desactivadas.
  • Cloudflare WAF: verifica que la web realmente pasa por Cloudflare y que no hay overrides que relajen la acción esperada.
  • REST API y caché persistente: revisa si tu entorno entra en la condición descrita para el RCE y documenta la configuración actual.
  • Logs y cambios extraños: busca peticiones anómalas, nuevas cuentas, tareas programadas raras o modificaciones recientes.
  • Backups y rollback: confirma que puedes volver atrás si la actualización rompe algo, pero no uses eso como excusa para retrasarla.

Si gestionas varias webs, conviene priorizar primero las instalaciones con tráfico público, e-commerce, paneles activos o historial irregular de mantenimiento. Para quien lleve sitios de clientes, esta es justo la clase de mañana donde merece la pena una verificación rápida de inventario y no una confianza ciega en que “ya se habrá actualizado solo”.

Especialista en seguridad analizando eventos del WAF y registros de tráfico web en varias pantallas
La mitigación en el edge es útil, pero el cierre real del incidente pasa por parche, revisión y validación posterior.

Errores comunes que conviene evitar hoy

  • Confiar solo en Cloudflare y dejar WordPress sin actualizar.
  • Asumir que el auto-update funcionó sin comprobar versión final.
  • Mirar solo la home y no revisar logs, REST API o panel de estado.
  • Olvidar sitios secundarios o staging accesibles que sigan expuestos.
  • Desactivar algo deprisa y sin registrar cambios, complicando luego la auditoría.

Este patrón se parece bastante a otros avisos recientes donde la protección mejora en el sistema, pero la higiene operativa sigue recayendo en el administrador. Lo vimos también al hablar de las nuevas defensas de Android 17: la seguridad real casi nunca depende de una sola palanca, sino de capas, revisión y hábitos correctos.

FAQ rápida

Si uso Cloudflare, ya puedo esperar para actualizar?

No es buena idea. Cloudflare reduce exposición, pero la recomendación explícita sigue siendo actualizar inmediatamente a una versión parcheada.

Qué versiones parcheadas debo buscar?

Las ramas citadas hoy son WordPress 7.0.2, 6.9.5, 6.8.6 y 7.1 Beta 2.

Todas las versiones de WordPress están afectadas?

No. Cloudflare indica que las versiones anteriores a 6.8 no están afectadas por estas vulnerabilidades concretas.

Qué hace crítico al RCE de este aviso?

Que no requiere login ni interacción del usuario en el escenario descrito, y eso eleva mucho el riesgo operativo.

Fuentes oficiales

Conclusión

Hoy no toca debatir si el WAF basta o si el auto-update “seguro que ya lo hizo”. Toca comprobar versión, confirmar cobertura y cerrar el incidente con una actualización validada. Ese es el dato realmente útil para cualquier administrador, agencia o pequeño negocio con WordPress en producción.

La buena noticia es que hay parche y hay mitigación previa. La mala sería confiarse y dejar un sitio público en una rama afectada cuando el propio ecosistema ya está diciendo con claridad que la ventana de reacción debe ser corta.