Se encontró una falla en la seguridad de la versión 5.0.0 de WordPress. Esta falla permite que cualquier usuario con permisos de Autor pueda ejecutar código arbitrario. En la versión 5.0.1, la falla fue reparada por lo que es importante que actualices cuanto antes tu blog o sitio web a la última versión de WordPress disponible en tu idioma. Por ejemplo, para ES_AR (español de Argentina), la última versión publicada es la 5.1, pero para ES_ES (español de España), van por la 5.3.

Tambien es importante que verifiques que tipo de plugins tenés instalados. Los mismos investigadores que desubrieron este fallo notaron que, a pesar de haberse corregido en las versiones posteriores, si el sitio tiene instalado un plugin que manipule las entradas post_meta de manera inadecuada, permitiría a una cuenta de autor incluír y ejecutar archivos en las carpetas de temas.

De paso, no está de más que te cerciores de tener instalados sólo aquellos plugins que realmente te sean imprescindibles. WordPress no es precisamente un fórmula 1 en materia de velocidad y si a eso le sumamos que los servicios de hosting compartidos no suelen poner sus mejores recursos al servicio de MySQL, mantener el sitio lo más liviano posible será agradecido por tus visitantes.

Una vez más, la fuente consultada fue WeLiveSecurity que en esta nota publica mayores detalles y hasta un video en que se muestra como se explota esta vulnerabilidad con relativa facilidad.

Salute!