Blog Oficial

Alerta de Segurança Urgente: Vulnerabilidade Crítica no WordPress Core — Atualize Já

Alerta de Segurança Urgente: Vulnerabilidade Crítica no WordPress Core — Atualize Já

Foi identificada uma grave vulnerabilidade WordPress Core que permite a um atacante comprometer totalmente um site, sem necessidade de credenciais. Já existe um exploit público em circulação. Se o seu site usa WordPress, esta é uma ação que deve tomar hoje.


A Vulnerabilidade WordPress Core: O que Aconteceu

No dia 17 de julho de 2026, a equipa de segurança do WordPress publicou uma atualização crítica que corrige duas vulnerabilidades graves no Core do WordPress — ou seja, no próprio motor do WordPress, e não num plugin ou tema de terceiros.

As vulnerabilidades foram identificadas como:

  • CVE-2026-63030 (conhecida como “wp2shell”) — uma falha de confusão de rotas no endpoint de lote (batch) da REST API do WordPress
  • CVE-2026-60137 — uma vulnerabilidade de SQL Injection que, encadeada com a anterior, permite Execução Remota de Código (RCE)

Na prática, isto significa que um atacante pode, sem qualquer conta de utilizador, sem plugins vulneráveis, e sem qualquer interação da vítima, executar código à sua escolha num site WordPress afetado — ganhando controlo total sobre o site e a sua base de dados.

Para agravar a situação, já circula publicamente um proof-of-concept funcional, conhecido como wp2shell, o que significa que qualquer pessoa com conhecimentos técnicos básicos tem hoje acesso às ferramentas necessárias para tentar explorar esta falha. Já existem os primeiros relatos de tentativas de exploração ativas.

Versões afetadas

  • WordPress 6.9.0 até 6.9.4
  • WordPress 7.0.0 até 7.0.1
  • WordPress 6.8.0 até 6.8.5 — afetado pela componente de SQL Injection (CVE-2026-60137), mesmo não estando na cadeia completa de RCE

Vulnerabilidade WordPress Core: O que a Trignosfera já está a fazer

Proteção contra vulnerabilidade WordPress Core

Assim que fomos notificados pelo nosso parceiro de infraestrutura CLML, ativámos de imediato as seguintes medidas de proteção em toda a nossa frota de servidores:

  • Monitorização ativa e contínua de toda a infraestrutura que aloja instâncias WordPress
  • Regras de bloqueio na Web Application Firewall (WAF), para detetar e travar padrões de ataque conhecidos associados a esta vulnerabilidade, incluindo tentativas de exploração via o endpoint /wp-json/batch/v1
  • Acompanhamento próximo da evolução da situação junto do CLML e das fontes internacionais de segurança

Estas medidas reduzem significativamente o risco imediato, mas não substituem a atualização do WordPress. A firewall é uma rede de segurança, não uma correção definitiva — funciona como proteção enquanto o site não está atualizado, mas a única forma de eliminar verdadeiramente a vulnerabilidade é atualizar o WordPress Core para uma versão corrigida.

Vulnerabilidade WordPress Core: O que precisa de fazer agora

Corrigir vulnerabilidade WordPress Core

Se gere o seu próprio site WordPress (ou seja, se tem acesso ao painel de administração wp-admin), precisa de confirmar e agir hoje:

1. Verifique a versão instalada
No painel de administração, vá a Dashboard → Atualizações, ou consulte o rodapé do painel principal, onde normalmente é indicada a versão atual do WordPress.

2. Atualize para uma das versões corrigidas:

  • Se está na série 6.8.x → atualize para 6.8.6
  • Se está na série 6.9.x → atualize para 6.9.5
  • Se está na série 7.0.x → atualize para 7.0.2

A atualização pode ser feita diretamente em Dashboard → Atualizações → Atualizar Agora, dentro do próprio wp-admin.

3. Confirme que a atualização foi concluída com sucesso
Após atualizar, volte a verificar a versão instalada para garantir que o processo terminou sem erros.

4. Faça uma cópia de segurança antes de atualizar
Como sempre recomendamos, garanta que tem um backup recente do site antes de qualquer atualização — é uma boa prática independentemente da urgência da situação.

Não sabe se o seu site está vulnerável, ou não tem confiança técnica para atualizar sozinho?

Se é cliente Trignosfera e não se sente confortável a realizar esta atualização, ou simplesmente não sabe que versão de WordPress tem instalada, contacte a nossa equipa de suporte o mais brevemente possível. Estamos disponíveis para ajudar a confirmar o estado do seu site e, sempre que possível, apoiar no processo de atualização.

Esta é uma vulnerabilidade grave, mas com uma correção simples e já disponível. A diferença entre um site seguro e um site comprometido, neste momento, resume-se a uma atualização que demora poucos minutos.


Este artigo será atualizado à medida que existirem novos desenvolvimentos sobre esta situação.

Equipa Trignosfera