O WordPress 7.0.2 corrige uma falha crítica e outra de alta gravidade, e o projeto ativou atualizações forçadas para sites em versões afetadas. A correção saiu em 17 de julho de 2026. Quem administra um site deve confirmar a versão instalada agora — sem assumir que o processo automático terminou só porque o site continua no ar.
Resumo rápido
- WordPress 7.0 deve estar na versão 7.0.2.
- A linha 6.9 deve estar na 6.9.5; a linha 6.8, na 6.8.6.
- A beta do WordPress 7.1 deve estar na 7.1 beta 2.
- Versões anteriores à 6.8 não são afetadas por essas duas vulnerabilidades, segundo o comunicado oficial.
WordPress 7.0.2: o que foi corrigido?
O comunicado oficial do WordPress 7.0.2 descreve duas correções de segurança: uma falha de injeção de SQL facilitada e uma combinação de confusão em rotas em lote da API REST com injeção de SQL que pode levar à execução remota de código.
Em linguagem prática, são problemas que podem permitir ações indevidas no banco de dados ou no servidor quando as condições de exploração são atendidas. O WordPress classificou uma vulnerabilidade como crítica e a outra como de alta gravidade, por isso recomendou a atualização imediata.
As referências publicadas são CVE-2026-60137 e CVE-2026-63030. O aviso não afirma que todos os sites vulneráveis já foram atacados e não informa exploração ativa. Isso importa porque o cenário pede rapidez, mas não autoriza alarmismo.
Cuidado: atualizar fecha as falhas conhecidas, mas não prova que o site nunca foi comprometido antes da correção. Se houver redirecionamentos estranhos, usuários administrativos desconhecidos, arquivos alterados ou picos anormais de envio, preserve evidências e peça uma análise técnica.
Versões afetadas e correções disponíveis
Não existe uma única versão correta para todos os sites. O patch depende da linha do WordPress em uso. A matriz abaixo reproduz as informações do projeto, sem misturar atualização de segurança com migração para uma versão principal diferente.
| Linha instalada | Situação informada | Versão corrigida | Ação imediata |
|---|---|---|---|
| WordPress 7.0 | Afetada | 7.0.2 | Atualizar e confirmar a versão |
| WordPress 6.9 | Afetada pelas duas falhas | 6.9.5 | Aplicar o backport de segurança |
| WordPress 6.8 | Afetada pela primeira falha | 6.8.6 | Aplicar o backport de segurança |
| WordPress 7.1 beta | Afetada pelas duas falhas | 7.1 beta 2 | Atualizar o ambiente de teste |
| Anterior à 6.8 | Não afetada por estas falhas | Não se aplica | Manter a estratégia normal de suporte e atualização |
“Não afetada” aqui vale apenas para essas duas vulnerabilidades. Uma instalação antiga ainda pode ter outros problemas, estar fora da janela de manutenção ou depender de componentes desatualizados. Não use a tabela como justificativa para congelar o WordPress indefinidamente.
Como confirmar a atualização em dois minutos?
Entre no painel com uma conta autorizada e abra Painel > Atualizações. Confira a versão exibida e compare com a linha correspondente na tabela. Como segunda checagem, vá a Ferramentas > Saúde do site > Informações > WordPress; a documentação da tela Saúde do site informa que esse bloco mostra a versão instalada.
Checklist de verificação rápida
- Confirme a versão no painel e na Saúde do site.
- Veja se há aviso de atualização falha ou pendente.
- Registre a versão encontrada e o horário da checagem.
- Faça ou confirme um backup válido antes de qualquer intervenção manual.
- Depois do update, limpe o cache e teste páginas críticas.
Sites compatíveis com atualizações automáticas em segundo plano devem iniciar o processo sozinhos. Ainda assim, “deve” não é “já concluiu”. Permissões de arquivos, bloqueios de comunicação com WordPress.org e erros do ambiente podem impedir a atualização.
Quem gerencia vários sites deve registrar domínio, linha instalada, versão corrigida, horário da checagem e responsável. Esse controle simples evita que uma instalação esquecida fique vulnerável e ajuda a separar falha de atualização de problema de cache, hospedagem ou credencial.
Se o painel continuar mostrando uma versão afetada, a orientação oficial é usar a atualização de um clique em Painel > Atualizações > Atualizar agora. A documentação de atualização do WordPress recomenda fazer backup antes e oferece um procedimento manual para casos em que o fluxo normal falha.
O que muda na prática para tráfego e receita?
Uma falha no núcleo do CMS não fica isolada na área técnica. Um site alterado pode redirecionar visitantes, perder páginas, servir conteúdo indesejado, parar de registrar conversões ou interromper formulários. Para publishers, uma indisponibilidade também atinge sessões e receita publicitária; para lojas e geradores de leads, afeta a jornada de compra.
Depois de confirmar o WordPress 7.0.2 — ou o backport correto — faça um teste curto orientado ao negócio. O checklist de testes publicado durante a fase RC3 continua útil como contexto para essa validação. Abra a home e duas páginas de maior tráfego em janela anônima. Envie um formulário real com dados de teste, valide login e checkout quando existirem e confirme se sitemap e robots.txt respondem.
Também vale verificar se os scripts de analytics, pixels e anúncios continuam carregando. Para instalações com mídia paga, refaça o teste do Pixel da Meta no WordPress e confira o Consent Mode no WordPress para Ads e GA4, quando usados. O objetivo não é atribuir todo erro ao update, mas encontrar rapidamente uma regressão que derrube mensuração ou monetização.
Regra prática: segurança vem primeiro, mas a checagem pós-update precisa acompanhar a rota de receita do site. Testar só a página inicial não confirma formulário, checkout, pixel ou exibição de anúncios.
Sinais que pedem investigação além do update
A presença de um sintoma não comprova exploração dessas CVEs. Ela apenas muda a resposta: em vez de encerrar o trabalho após atualizar, preserve logs e procure suporte técnico qualificado.
- novos administradores ou mudanças de senha sem explicação;
- redirecionamentos que aparecem apenas em celular, busca ou campanhas;
- arquivos do núcleo modificados fora da janela de manutenção;
- posts, páginas, links ou códigos inseridos sem autorização;
- picos de e-mail, consumo de CPU ou chamadas externas desconhecidas;
- alertas do provedor de hospedagem, firewall ou mecanismo de busca.
Evite apagar evidências às pressas ou restaurar um backup sem saber sua data e integridade. E não faça rollback para uma versão vulnerável como solução permanente. Em ambiente comercial, a ordem mais segura costuma ser conter o problema, preservar registros, atualizar componentes e só então validar a operação.
Perguntas frequentes
A atualização forçada dispensa a verificação manual?
Não. O WordPress ativou o mecanismo de atualização forçada para versões afetadas, mas o próprio ecossistema prevê que atualizações em segundo plano podem falhar por configuração ou permissões. Confirme a versão instalada no painel.
Todo site precisa migrar para o WordPress 7.0.2?
Não necessariamente. Quem está nas linhas 6.9 ou 6.8 recebeu correções retrocompatíveis específicas: 6.9.5 e 6.8.6. A ação correta é aplicar a versão corrigida da linha em uso, respeitando a política técnica do site.
O WordPress confirmou ataques usando essas falhas?
O comunicado de lançamento consultado em 18 de julho de 2026 não informa exploração ativa. Ele confirma a gravidade, descreve as correções e recomenda atualização imediata. Não é correto transformar ausência de informação em confirmação de ataque ou de segurança total.
Atualizar resolve qualquer comprometimento anterior?
Não. A atualização corrige o código vulnerável, mas um invasor que já tenha obtido persistência pode ter criado usuários, arquivos ou tarefas agendadas. Se houver sinais suspeitos, faça uma investigação independente do update.
Próximo passo
Abra o painel e confirme agora se o site está no WordPress 7.0.2, 6.9.5, 6.8.6 ou 7.1 beta 2, conforme a linha instalada. Depois, teste a rota que gera tráfego e receita. São poucos minutos que separam “provavelmente atualizou” de uma verificação documentada.
Seu WordPress atualizou sozinho ou exigiu intervenção? Conte nos comentários — sem publicar dados sensíveis do site.
Fontes e revisão: comunicado de segurança e documentação oficial do WordPress. Informações verificadas em 18 de julho de 2026.
