Atacantes están explotando masivamente una falla en Gravity SMTP (CVE-2026-4020), un plugin de WordPress usado en más de 100,000 sitios para gestionar el envío de correo electrónico. La vulnerabilidad permite que cualquier persona, sin contraseña, acceda a claves API y credenciales de servicios como Amazon SES, Google, Mailjet y Zoho. Wordfence ha bloqueado más de 17 millones de intentos de explotación en junio, con un pico de 4 millones en un solo día.
Si tu sitio web empresarial usa WordPress con este plugin, un atacante podría robar las credenciales de tu servicio de correo y enviar emails haciéndose pasar por tu empresa, un riesgo directo para facturación, comunicación con clientes y reputación. El patrón se repite: igual que con las 200 fallas de Microsoft corregidas este mes, el problema no es que no exista parche, es que las empresas no lo aplican a tiempo.
Qué hacer: Verifica si tu sitio WordPress usa Gravity SMTP. Si es así, actualiza a la versión 2.1.5 inmediatamente y rota todas las claves API y contraseñas de email configuradas en el plugin.
¿No sabes si tu sitio web tiene plugins vulnerables? Agenda un diagnóstico gratuito de 30 minutos en codigovigia.com/contactanos sin compromisos, sin tecnicismos.
Fuentes:
Código Vigía · Ciberseguridad empresarial · Culiacán, Sinaloa, México · codigovigia.com