Una gravedad importante para WordPress ha sido revelada en febrero de 2026: una vulnerabilidad de inyección SQL (SQLi) en un popular plugin ha dejado expuestas decenas de miles de páginas web ante posibles ataques y acceso no autorizado a datos sensibles.
¿Qué está pasando?
El plugin “Quiz and Survey Master” (QSM) —muy usado para crear encuestas, quizzes y formularios en WordPress— tenía una falla crítica de seguridad en sus versiones 10.3.1 y anteriores. Esta vulnerabilidad fue clasificada como CVE-2025-67987 y puede permitir que usuarios autenticados con privilegios bajos, incluso con nivel de suscriptor, inyecten código SQL malicioso en las consultas de la base de datos.
En términos simples: un atacante con acceso mínimo al sitio podría manipular cómo se consultan datos en la base de datos, lo que podría exponer información confidencial o permitir acciones no deseadas sin necesidad de ser administrador.
¿Cómo ocurre esta vulnerabilidad?
El problema se encontraba en una función de la API REST usada para recuperar datos de preguntas del quiz. Un parámetro llamado is_linking —que debía ser solo un número— no se validaba correctamente antes de formar la consulta SQL. Esto permitía que un usuario inyectara valores maliciosos que se ejecutaban directamente en la base de datos.
Patch y solución disponible
Los responsables del plugin lanzaron rápidamente un parche. La versión 10.3.2 de Quiz and Survey Master corrige el fallo al forzar que el parámetro sea un número entero, evitando que se inserte código SQL malicioso.
📌 Recomendación urgente: Actualiza QSM a la versión 10.3.2 o superior inmediatamente si lo tienes instalado en tu sitio. No hacerlo puede dejar tu instalación vulnerable a ataques.
¿Realmente están en peligro tantos sitios?
Sí. El plugin tiene más de 40,000 instalaciones activas, lo que significa que una gran proporción de sitios WordPress han estado expuestos a esta vulnerabilidad. Aunque no hay evidencia pública de que se haya explotado masivamente en entornos reales, los expertos en seguridad consideran que, por su alcance y facilidad de explotación, podría convertirse en objetivo de atacantes.
¿Qué es una “inyección SQL” y por qué es peligrosa?
La inyección SQL (SQLi) es una de las fallas de seguridad más antiguas y peligrosas para aplicaciones web:
- Permite insertar o manipular consultas SQL directamente en el servidor.
- Puede revelar datos sensibles (usuarios, contraseñas, correos).
- Puede permitir a un atacante modificar o eliminar información.
- En casos críticos, puede dar control total del sitio afectado.
Este tipo de error suele ocurrir cuando una entrada del usuario se utiliza sin validación adecuada en consultas de base de datos.
Más vulnerabilidades similares
Este no es un caso aislado. El ecosistema de plugins de WordPress sigue siendo una fuente frecuente de fallos de seguridad graves, como:
🔹 Vulnerabilidades de SQLi en otros plugins populares.
🔹 Fallos de inyección SQL en complementos como ELEX Bulk Edit para WooCommerce.
🔹 Problemas en otros plugins usados por decenas de miles de sitios.
Esto demuestra que cualquier plugin —incluso con muchas instalaciones— puede tener fallas si no se valida y codifica de forma segura.
Consejos de seguridad para sitios WordPress
Para mantener un sitio seguro ante este tipo de fallos críticos, sigue estas recomendaciones:
🔹 Actualiza WordPress y todos los plugins regularmente.
🔹 Elimina plugins que no uses.
🔹 Haz copias de seguridad automáticas y fuera del servidor principal.
🔹 Usa un firewall de aplicaciones web (WAF) o plugin de seguridad.
🔹 Monitorea los registros de actividad y usuarios sospechosos.
Conclusión
La reciente vulnerabilidad de inyección SQL en Quiz and Survey Master pone de manifiesto una vez más que la seguridad en WordPress no puede tomarse a la ligera. Cualquier plugin con decenas de miles de instalaciones puede tener fallos graves si no valida correctamente los datos que recibe.
La mejor defensa es una buena higiene de seguridad: mantener todo actualizado, eliminar lo innecesario y seguir las mejores prácticas.