Marzo de 2026 dejó una secuencia que cualquier persona que mantiene WordPress en producción reconoce al instante: primero llega el aviso de seguridad, luego el parche rápido que arregla un efecto secundario y después otro más porque el cierre no fue completo. No es teoría: el proyecto WordPress publicó en su blog oficial el lanzamiento de WordPress 6.9.2 como actualización de seguridad, seguido de 6.9.3 como corrección cuando algunos sitios quedaron en blanco tras actualizar y de 6.9.4 porque no todos los arreglos de 6.9.2 habían quedado aplicados del todo. Yo no te cuento esto para asustarte sino para que sepas qué estás gestionando cuando le dices al cliente que «ya está actualizado».
Qué cuenta WordPress.org, sin adornos
La nota de 6.9.2 en WordPress News presenta la versión como un lanzamiento de seguridad: lista vulnerabilidades concretas (entre ellas problemas de SSRF, XSS, bypass de autorización y un fallo de path traversal) y deja claro que conviene actualizar. La entrada sobre 6.9.3 explica el bug que hacía que ciertos temas cargaran plantillas de forma poco habitual y el sitio pareciera vacío tras el salto a 6.9.2. Y la de 6.9.4 admite sin rodeos que faltaban piezas del parche anterior y que por eso hacía falta otro release. Ese tipo de transparencia me gusta pero también obliga: tu cadencia de despliegue tiene que contemplar no un clic sino una mini crisis de comunicación con el cliente.
Lo que esto te dice sobre «mantener WordPress»
En la práctica, mantener un CMS no es pulsar un botón una vez al mes. Es tener un entorno de prueba o al menos un checklist cuando toca un parche de seguridad encadenado. Si solo tienes producción y copias en hosting compartido, el riesgo no es solo técnico es de reputación: un sitio en blanco o un fallo residual son tickets de soporte que pagas con tiempo que no facturas.
También me parece útil separar el mensaje para quien administra una web pequeña: las notas oficiales enlazan a detalles técnicos y a versiones concretas. No necesitas leer el changelog entero pero sí saber si tu stack (tema hijo, constructor, plugin de caché) toca la forma en que WordPress carga plantillas. Ahí es donde suelen aparecer los síntomas raros.
- Antes de actualizar en caliente: revisa si el tema usa plantillas personalizadas fuera de las rutas habituales; la propia nota de 6.9.3 apunta a ese patrón.
- Después de un security release: no des por cerrado el ticket hasta ver el front y el login en un usuario sin caché.
- Si saltaste versiones: asume que el camino 6.9.2 → 6.9.4 es un paquete de coherencia, no tres «opcionales».
Fuentes
- WordPress 6.9.2 Release — WordPress News
- WordPress 6.9.3 and 7.0 beta 4 — WordPress News
- WordPress 6.9.4 Release — WordPress News
Si tu proveedor te ofreciera congelar la versión de WordPress un año a cambio de no aplicar estos parches de marzo de 2026, ¿firmarías el contrato o buscarías otro hosting?