Están explotando activamente una vulnerabilidad crítica de ejecución remota de código (RCE) en el plugin de WordPress Everest Forms Pro. Este fallo, identificado como CVE-2026-3300 con una puntuación CVSS de 9.8, permite que atacantes no autenticados inyecten y ejecuten código PHP arbitrario en sitios vulnerables. La falla afecta a todas las versiones hasta la 1.9.12.

Se ha detectado una nueva campaña de malware dirigida a sitios web de WordPress. Los atacantes utilizan un método innovador para comunicarse con los sitios infectados, ocultando las instrucciones de comando dentro de los comentarios de los perfiles de la Comunidad de Steam, transformando así una plataforma de videojuegos popular en un canal de control encubierto.

Se ha detectado una vulnerabilidad crítica en el plugin de WordPress Kirki (versiones 6.0.0 a 6.0.6), identificada como CVE-2026-8206 con una puntuación de riesgo de 9.8. Este fallo expone a más de 500,000 sitios web a posibles ataques de toma de control de cuentas, estimándose que aproximadamente 150,000 sitios son activamente vulnerables.

Una vulnerabilidad crítica (CVE-2026-8732) en el plugin WP Maps Pro (versiones 6.1.0 y anteriores) permite a atacantes crear cuentas de administrador sin autenticación. El fallo se debe a una función de "acceso temporal" mal implementada, facilitando el control total del sitio web. Se recomienda actualizar urgentemente a la **versión 6.1.1**, ya que se han detectado miles de intentos de explotación.

Se ha descubierto una vulnerabilidad crítica en el plugin de WordPress Burst Statistics, una herramienta de análisis enfocada en la privacidad. El fallo, identificado como CVE-2026-8181 y detectado el 8 de mayo de 2026 por la plataforma PRISM de Wordfence, expone a más de 200.000 sitios web al riesgo de que atacantes tomen el control total de las cuentas mediante el bypass de autenticación.

El plugin de WordPress Avada Builder, utilizado en más de un millón de sitios web, presenta dos vulnerabilidades graves. Según el investigador Rafie Muhammad, estos fallos podrían permitir que atacantes roben datos sensibles y accedan a archivos del servidor mediante inyecciones SQL y lectura de archivos. Se advierte que los sitios que no apliquen los parches de seguridad podrían ser explotados activamente.

Se ha detectado una vulnerabilidad crítica en el plugin Funnel Builder para WordPress que permite a atacantes inyectar código JavaScript malicioso en las páginas de pago de WooCommerce. El objetivo es robar datos de tarjetas de crédito y direcciones de facturación mediante scripts disfrazados de Google Tag Manager. Se recomienda actualizar el plugin a la versión 3.15.0.3 y revisar los scripts externos configurados.

Están explotando una vulnerabilidad crítica (CVE-2026-8181) en el plugin de WordPress Burst Statistics, que permite obtener acceso de administrador sin contraseña. Este fallo afecta a las versiones 3.4.0 y 3.4.1, permitiendo la creación de cuentas fraudulentas y el robo de datos. Se recomienda actualizar urgentemente a la **versión 3.4.2** o desactivar el plugin para evitar ataques.

Se ha detectado una vulnerabilidad crítica en el plugin Funnel Builder para WordPress que permite a atacantes inyectar código malicioso en las páginas de pago de WooCommerce para robar datos de tarjetas y clientes. El fallo afecta a versiones anteriores a la 3.15.0.3 y puede ser explotado sin autenticación. Se recomienda actualizar el plugin inmediatamente y revisar la configuración de "External Scripts" para eliminar cualquier código sospechoso.

Se han detectado dos vulnerabilidades críticas en el plugin Avada Builder de WordPress que afectan a cerca de un millón de sitios. La primera permite a usuarios autenticados leer archivos sensibles del servidor, mientras que la segunda es una inyección SQL que permite extraer datos de la base de datos sin autenticación. Se recomienda a los administradores actualizar urgentemente a la versión 3.15.3 para solucionar estos fallos.

El Centro de Ciberseguridad de Australia (ACSC) advierte sobre una campaña de malware que utiliza la técnica "ClickFix" para distribuir el software espía **Vidar Stealer**. Los atacantes usan sitios de WordPress comprometidos y falsos CAPTCHAs para engañar a los usuarios y lograr que ejecuten comandos maliciosos de PowerShell. Se recomienda restringir el uso de PowerShell, mantener actualizados los plugins de WordPress y aplicar listas de aplicaciones permitidas.

Más de 400.000 sitios web están en riesgo debido a que hackers explotan una vulnerabilidad en el plugin Breeze Cache (CVE-2026-3844).

Los atacantes están aprovechando un fallo en Breeze Cache (CVE-2026-3844) para subir archivos sin necesidad de iniciar sesión. Investigadores de Wordfence han detectado más de 170 ataques. Los actores maliciosos están explotando una vulnerabilidad crítica, registrada como CVE-2026-3844 (con una puntuación CVSS de 9.8), en el plugin de WordPress Breeze Cache, lo que les permite subir archivos a un servidor sin autenticación.

Se detectó la explotación activa de la vulnerabilidad CVE-2026-0740 (CVSS 9.8) en el plugin Ninja Forms File Uploads para WordPress, permitiendo subida arbitraria de archivos sin autenticación y posible ejecución remota de código (RCE), poniendo en riesgo miles de sitios.

Una grave falla de seguridad en el popular plugin de WordPress Ninja Forms – File Upload ha dejado aproximadamente 50.000 sitios web vulnerables a una toma de control completa. Registrada como CVE-2026-0740, esta vulnerabilidad tiene una puntuación de gravedad CVSS máxima de 9.8, lo que la convierte en una amenaza severa que requiere atención inmediata por parte de los administradores de sitios web.

Se ha revelado una falla de seguridad de alta gravedad en Smart Slider 3, uno de los plugins de creación de sliders más utilizados en WordPress. Con más de 800.000 instalaciones activas, esta vulnerabilidad deja expuestos a un enorme número de sitios web al riesgo de robo de datos sensibles. Registrada como CVE-2026-3098, esta falla de severidad media permite a atacantes con permisos mínimos acceder y descargar información altamente confidencial 

Un actor de amenazas conocido como GrayCharlie ha estado comprometiendo sitios web de WordPress desde mediados de 2023, insertando silenciosamente JavaScript malicioso para distribuir malware a los usuarios que los visitan. El grupo tiene coincidencias con el clúster previamente rastreado como SmartApeSG, también llamado ZPHP o HANEMONEY. 

Una vulnerabilidad crítica en el plugin de WordPress WPvivid Backup & Migration puede permitir que un atacante no autenticado suba archivos y ejecute código en el servidor, un camino que suele terminar en la toma completa del sitio. El fallo está registrado como CVE-2026-1357, con una puntuación de 9.8 (Crítico), y afecta a las versiones del plugin hasta la 0.9.123 incluida, 

Se ha descubierto una vulnerabilidad crítica de puerta trasera en el plugin LA-Studio Element Kit para Elementor, un complemento popular de WordPress utilizado por más de 20.000 sitios activos. Esta falla de seguridad permite a los atacantes crear cuentas de administrador sin necesidad de autenticación, poniendo en riesgo de toma completa a miles de sitios web.

Un fallo crítico de seguridad en el popular plugin de WordPress Advanced Custom Fields: Extended ha puesto en riesgo más de 100.000 sitios web, exponiéndolos a una posible toma completa. La vulnerabilidad, identificada como CVE-2025-14533, afecta a las versiones del plugin hasta la 0.9.2.1 e incluye una puntuación CVSS de 9.8 (Crítica).