Categorías
WordPress

[WordPress] actualización de seguridad (3.9.2)

Anoche salió una actualización de seguridad de WordPress, la versión 3.9.2.

Si tienes un WordPress y no le has desactivado nada, el sistema se te debe haber actualizado de forma automática.

Esta actualización automágica es muy interesante, puesto que los WordPress se actualizan independientemente de si el equipo de traducción ha liberado la distribución en español o no. Esto ocurre porque lo que se actualiza en las actualizaciones de seguridad no suele modificar ningún espacio de texto, por lo que las traducciones anteriores, en este caso de 3.9.1, son válidas.

Además de actualizarse todos los 3.9.1 a 3.9.2 automágicamente, también se han actualizado todos los sitios en 3.8.3 a 3.8.4, y todos los 3.7.3 a 3.7.4. Es decir, tenemos también actualizaciones de seguridad para las dos versiones anteriores, cubriendo prácticamente un año de versiones de WordPress.

Por supuesto, las versiones localizadas también son importantes. Si alguien quiere actualizarse de forma manual, o descargarse el software para poder instalarlo en su servidor, las versiones localizadas deben estar creadas. Es por eso que también se han creado las tres versiones localizadas para que todo aquel que quiera pueda instalarse o actualizarse su WordPress con un click.

Fernando Tellado, en ayudawp.com, detalla un poco más qué ha cambiado con esta versión.

La doble notificación

A muchos os aparecerá, aunque ya hayáis actualizado a 3.9.2, que podéis actualizaros a 3.9.2. No es una paradoja. Esto ocurre porque hemos lanzado la versión localizada después de que vuestro sistema se actualizara automáticamente. Vuestro sistema, por tanto, reconoce que hay una actualización disponible en vuestro idioma que no está instalada.
Este error estará solucionado (esperamos) para la próxima versión, WP 4.0, donde los archivos de idiomas se descargarán on-the-fly en las instalaciones y actualizaciones, dejando obsoleto el proceso contado anteriormente.

Categorías
Mecus

Cuando actualizar es importante

Ahora los jueves me toca escribir en Mecus 🙂

Mi artículo de ayer (como siempre, comentarios en el sitio original):

Cuando actualizar es importante

Mucho se habla y se escucha en internet acerca de los peligros de la inyección de código. Sin ir más lejos, si estás leyendo esto, probablemente habrás oído hablar alguna vez de ella.

Muchos te gritan ¡Actualiza a la última versión! ¡Hay problemas de seguridad!

¿Tenemos razones para alarmarnos?

0wn3dbig

De un tiempo a esta parte, los problemas que existen, si bien no son graves, sí que son potencialmente peligrosos. Eso significa que, en determinadas manos, pueden ser utilizados de formas que nosotros no esperaríamos. Sólo tenemos que ver lo que algunos afirman que pueden hacer con zumo de naranja concentrado y gasolina, o lo que es capaz de hacer MacGyver con un clip.

En nuestro caso, un problema de seguridad no supone un problema en sí mismo, en el sentido de que nada de lo que hay en nuestro sistema dejará de funcionar o funcionará de forma incorrecta. Pero sí deja una puerta abierta en el sistema para que otros puedan aprovecharla. Es lo que se conoce como posibilidad de ejecución remota de código malicioso. Como decíamos, la posibilidad de que alguien ejecute código en tu página también es remota, pero si descubren que tienes esa vulnerabilidad, o están intentando ejecutar algo, no suelen ir con buenas intenciones. Por lo que, lo mejor, es intentar tener el sistema blindado y no permitir que alguien ejecute código desde tu sistema.

Pero escuchamos mucho y no siempre hemos visto qué es eso de una ejecución remota de código malicioso. Sencillo. Imaginaos por ejemplo que tenemos un blog en WordPress 2.8.1. Si en su página de búsqueda intentamos buscar la cadena ‘<script src=http://ha.ckers.org/weird/stallowned.js></script>‘, ocurrirá lo siguiente:

Sallown3d

Por supuesto, se podrían ejecutar cosas no tan inocuas (aunque su daño a la vista lo hace). La actualización de seguridad de WordPress 2.8.2 elimina ese error, y no permite la inyección de código.

(Muchas gracias a Pedro Laguna por las orientaciones, el script y sus consultorías desinteresadas).

Categorías
WordPress

Por qué WordPress

Hay un plugin en WordPress que te auto-actualiza las versiones con un solo click.

Y como te han dicho, si tienes que actualizar es porque lo tienes en tu propio dominio y hosting, no en un hosting propiedad de Automattic o de Google, como es tu caso y el de tantos otros.

Para gustos, colores.

Y que actualicen tanto es bueno. Porque siempre se está a la última en tecnología.

Los usuarios de WordPress no quieren un blog plano, ni un fotolog. Quieren una herramienta de publicación, y por eso funciona así.

Lo comentamos hace tiempo en El Mosquitero, y parece que todos estamos de acuerdo 😉

Categorías
programación WordPress

Actualiza tu WordPress 2.5 -> 2.5.1

Si tienes un sistema WordPress 2.5, es el momento de actualizar.

Hace unos días comentaron que la última versión (2.5) tenía un fallo de seguridad (permitiendo acceso de administrador al sistema).

Si tu blog es WordPress 2.5, ya sabes lo que tienes que hacer. ¡Actualízate!

Algunos, como los amigos de Alt1040, ya han sufrido las consecuencias (cuidado al abrir la página, tienen un puñado de javascripts que te pueden dejar el navegador tiritando después de haber cruzado dos correillos con Eduardo Arcos, han optimizado dos cosillas de la página y ya no se sobrecarga).

Si tenéis un blog en 2.5, o muchos, la forma de actualizar es más que sencilla:

  • Descargar WordPress 2.5.1
  • Borrar el directorio wp-content
  • Volcarlo en tu FTP
  • Ejecutar /wp-admin/upgrade.php
  • Borrar /wp-admin/upgrade.php y /wp-admin/install.php por seguridad

Para instalaciones anteriores, seguid las instrucciones que vienen con la distribución.