Archivo de la etiqueta: seguridad

[WordPress] actualización de seguridad (3.9.2)

Anoche salió una actualización de seguridad de WordPress, la versión 3.9.2.

Si tienes un WordPress y no le has desactivado nada, el sistema se te debe haber actualizado de forma automática.

Esta actualización automágica es muy interesante, puesto que los WordPress se actualizan independientemente de si el equipo de traducción ha liberado la distribución en español o no. Esto ocurre porque lo que se actualiza en las actualizaciones de seguridad no suele modificar ningún espacio de texto, por lo que las traducciones anteriores, en este caso de 3.9.1, son válidas.

Además de actualizarse todos los 3.9.1 a 3.9.2 automágicamente, también se han actualizado todos los sitios en 3.8.3 a 3.8.4, y todos los 3.7.3 a 3.7.4. Es decir, tenemos también actualizaciones de seguridad para las dos versiones anteriores, cubriendo prácticamente un año de versiones de WordPress.

Por supuesto, las versiones localizadas también son importantes. Si alguien quiere actualizarse de forma manual, o descargarse el software para poder instalarlo en su servidor, las versiones localizadas deben estar creadas. Es por eso que también se han creado las tres versiones localizadas para que todo aquel que quiera pueda instalarse o actualizarse su WordPress con un click.

Fernando Tellado, en ayudawp.com, detalla un poco más qué ha cambiado con esta versión.

La doble notificación

A muchos os aparecerá, aunque ya hayáis actualizado a 3.9.2, que podéis actualizaros a 3.9.2. No es una paradoja. Esto ocurre porque hemos lanzado la versión localizada después de que vuestro sistema se actualizara automáticamente. Vuestro sistema, por tanto, reconoce que hay una actualización disponible en vuestro idioma que no está instalada.
Este error estará solucionado (esperamos) para la próxima versión, WP 4.0, donde los archivos de idiomas se descargarán on-the-fly en las instalaciones y actualizaciones, dejando obsoleto el proceso contado anteriormente.

WP 3.7, la distribución más esperada

Ayer tuvimos la primera reunión de muchas sobre WordPress 3.7. Mucho se habló de 3.7. y de 3.8 en la WordCamp San Francisco, y ahora los equipos se están poniendo en marcha.

Como algunos ya sabéis, las versiones de 3.7 y 3.8 se desarrollarán en paralelo. Y hay mucho que contar de ellas. 

WP 3.7

WordPress 3.7 es una versión que llamamos de control. No se verán muchos cambios de aspecto externo (casi ninguno, en realidad), pero tendremos muchos cambios internos interesantes. Y más que interesantes, excitantes. La lista es corta, así que vamos a repasarla.

Los líderes de proyecto

Esta versión de WordPress estará encabezada por:

  • Andrew Nacin. Uno de los programadores más veteranos de WordPress y Ninja Coder. 
  • Daryl Koopersmith. Forma un grupo junto a Nacin y a Nikolay Bachiyski que se hicieron famosos por levantar la mano cuando alguien preguntaba ¿quién cree que conoce todo el código de WordPress? Es el creador del Elastic Theme. 
  •  Jon Cave. Experto en seguridad, entró a formar parte del equipo de Automattic después de encontrar vulnerabilidades en una de las últimas versiones

¿Qué significa que ellos sean los Lead Developers de esta distribución? Que sólo ellos (y Aaron Campbell, Lead Developer de 3.6 durante los primeros días) pueden aprobar tickets. Esto hace que el flujo de trabajo sea mucho más ordenado y les permite tener una visión constante del conjunto.

El resto del equipo

Como ya ocurrió con WP 3.0, el equipo se amplía para esta nueva versión. Ayer en el chat apareció y se dio la bienvenida a mucha gente nueva. 230 usuarios con muchas ganas de compartir, aportar, ayudar, y hacer de éste un proyecto aún más grande.

La fecha de salida

La fecha de salida propuesta para la versión 3.7 de WordPress es a principios de Octubre. En palabras de Nacin, “tras WordCamp Europa y antes de mediados de mes, sobre la semana del 7 de Octubre”.

Como ya os comentaba antes, esta es una version que en desarrollo se denomina “de control”, y lo que se espera es que el ritmo de movimiento de los tickets suba mucho durante estas semanas. Y ya se está viendo en el trac. Lo propuesto son seis semanas de desarrollo, una alpha, una beta, una RC, y sacar la versión definitiva.

Desde mi punto de vista, el día de contribuidores del core de WordCamp Europa puede ayudar a cerrar los últimos detalles, ya que Nacin estará allí, y desde mi punto de vista, el cierre de fases de forma presencial ha ayudado mucho a la buena consecución de los mismos en las últimas versiones. Al fin y al cabo, las WordCamps también están para eso.

Language Packs, el futuro prometido

Hace más de dos años, JoeTheSor publicó un artículo en WordPress Ideas. En él planteaba que WordPress necesitaba una solución multiidioma. Una solución de verdad, nada de plugins. Algo con integración total. Y planteaba, desde una perspectiva que creo muy acertada, que algo tan importante como esto debería tener soporte continuo por parte de los propios desarrolladores del core de WordPress. 

Muchos votamos esa idea, y desde hace unos meses se etiquetó como algo realizable. Hoy tenemos el ticket #18200, y es una de las tres tareas principales para WP 3.7.

Creo que no tengo que explicaros lo importante que es para muchos de nosotros el poder utilizar un sistema multiidoma de forma nativa en WordPress. Estamos muy contentos, emocionados, y ya nos hemos ofrecido a ayudar en todo lo que podamos.

Automatic Updater, seguridad ante todo

Esta idea surge de un plugin de Gary Pendergast llamado Automatic Updater.

El software, en sus ciclos de desarrollo, sigue un sistema de versiones. Este sistema de versiones sirve de etiquetado para el software, para su sencilla localización, y también da mucha información a los usuarios. Típicamente, en el versionado diferenciamos entre versión mayorversión menor.

  • En una versión mayor suele haber cambios estructurales o visuales evidentes. Serían los cambios que ocurrieron entre la versión 2.9 y 3.0 de WordPress, por ejemplo.
  • En una versión menor suele haber correcciones de código o pequeños cambios que modifican y/o mejoran la funcionalidad, así como solucionan problemas de seguridad.

A efectos de programación, en las versiones mayores debemos revisar la compatibilidad de nuestros temas y plugins con las nuevas especificaciones y estructras. Por poner un ejemplo, de WP 3.5 a 3.6 ha cambiado la versión de jQuery, lo que hace que algunos plugins no funcionen de forma correcta. Estos plugins habría que actualizarlos para que funcionaran en la nueva versión.

Las versiones menores suelen incluir detalles de seguridad y cambios que mejoran o corrigen el funcionamiento del software. Así, WP 3.5.1 es una versión menor que corrige problemas de seguridad y otros pequeños problemas, normalmente reportados por los usuarios (suelen ser casos extraños, no generales, que ocurren con determinadas configuraciones específicas).

La idea de Automatic Updater es que esas actualizaciones menores, que siempre mejoran el rendimiento del sistema sin modificar estructuras, se realicen de forma automática. Es decir, que si mañana saliera WordPress 3.6.1, o Jetpack 2.3.5, lo que se espera es que el sistema realice la actualización de forma automática, y que sólo nos pida interactuar cuando nos encontremos ante un cambio de versión mayor. De esta forma, si un plugin o el propio sistema tiene una actualización de seguridad, ésta se aplicará de forma automática a todos los usuarios.

 Limpieza y orden

Una de las cosas que tiene WordPress es que es muy participativo. Si no sabes nada de código y tienes una buena idea puedes dejarla en WordPress Ideas. Allí la comunidad votará las ideas, y las más votadas se convertirán en realidad. Y si sabes código, puedes utilizar el trac.

El trac tiene ahora mismo más de 3800 tickets, lo que lo convierte en un espacio a veces inabarcable, porque no permite tener una visión global, de conjunto, de todo lo que hay abierto en el sistema.

3800-tickets

Durante la WordCamp San Francisco se cerraron más de 100 tickets en un día y medio, lo que da una idea de cómo puede ser el ritmo de trabajo de estos días si todos los desarrolladores dedican dos o tres horas a la semana al trac.

Muchos de estos tickets necesitan revisión. En palabras de Nacin de ayer, “hay 44 tickets sobre feeds abiertos, 16 sobre fecha/hora, y 134 sobre comentarios”. Hay mucho que limpiar, cerrar las cosas que ya no tengan sentido, y reordenar un poco. Un pequeño equipo se encargará de eso, y todo el que quiera participar es bienvenido.

Andrew Nacin y Jon Cave, además, están trabajando en algunas mejoras en el Trac, que incluyen suscripción por componentes. Así, cada uno podrá suscribirse a hilos completos sobre el espacio que le interese: internacionalización, feeds, etc. Esto estará disponible la semana que viene.

Un poco más de seguridad

La tercera cuestión que se incluye de base en 3.7. es la de ampliar la seguridad de las contraseñas en WordPress. Por lo que se viene hablando, se eliminará el usuario admin por defecto (cosa que ya está hecha en la última versión) y se está hablando de utilizar un generador de contraseñas para los usuarios. Lo que sí se tiene cada vez más claro es que casi todos los problemas de seguridad en WordPress vienen por robos de contraseñas y accesos no autorizados, por lo que hay que hacer mucho hincapié en que los usuarios no puedan poner una contraseña como 12345.

La bola extra: developers.svn.wordpress.org

Desde ayer está disponible developers.svn.wordpress.org. Como podéis leer en este artículo, es un nuevo espacio en el que no sólo estarán los tickets, sino que habrá montones de herramientas para desarrolladores.

Las más interesantes, desde mi punto de vista, son los tests unitarios. Estos tests, haciendo un gran resumen, son pequeños scripts que recorren el código buscando qué salida devolverían, y viendo si se corresponde en formato con lo que debería ser. En la página de Travis os podéis hacer una idea de cómo funcionan.

La idea inicial para esta versión es cerrar unos 700-1000 tickets. No es moco de pavo, pero si veis la velocidad a la que va el trac, veréis que es más que posible. Además, el grupo de accesibilidad estará muy pendiente de esta distribución y estará ayudando en todo lo que pueda a que se cumpla la misma.

Para los interesados en JavaScript, la semana que viene habrá una reunión para organizar esa parte, y elegir un framework para trabajar (¿node.js?).

Contributors day

Los días de contribuidores de las WordCamps cada vez son más importantes. Por un lado, para formar a los nuevos integrantes de los equipos de desarrollo. Por otro, para ponerlos en contacto con el resto de la comunidad. Y por último, para divertirse juntos y sentir que somos parte de un gran proyecto. Estoy esperando con muchas ganas el de la WordCamp Europa.

WP 3.8

La versión 3.8 de WordPress se desarrollará en paralelo a la versión 3.7, aunque la fecha de salida es posterior (sobre Diciembre). Esta tarde será la primera reunión de organización.

Los dos elementos principales serán Twenty Fourteen, el nuevo tema por defecto de WordPress basado en Further y del que hablamos anteriormente, y el MP6.

El MP6 es un cambio estructural en la administración, sobre todo, y que lleva años arrastrándose (si no recuerdo mal, desde antes de 3.4). Creo que por eso el líder de proyecto será el propio Matt.

Si queréis probar MP6 podéis instalaros este plugin que no debería existir (actualizado hoy por última vez) o mirar la foto de abajo.

mp6

Os seguiré contando más cosas más adelante, después de la reunión y de haber reordenado ideas 🙂

¿Quieres que Google Chrome guarde la información de esta tarjeta de crédito para rellenar futuros formularios?

No, Chrome, no quiero

Atentos a la preguntita del navegador:

¿Quieres que Google Chrome guarde la información de esta tarjeta de crédito para rellenar futuros formularios?No, no quiero.

Descubre los historiales de tus amigos

El otro día me preguntaron si los correos esos que te envían para descubrir los historiales de tus amigos funcionan o no. Me resultó curiosa la pregunta, pero la verdad es que también es curiosa la respuesta.

¿Funcionan estas páginas?

La respuesta es . Pero cuidado. Esto se basa en la estructura piramidal.

  • Cuando tú entras al sistema, te pide tu usuario y contraseña, y recopila tooooooda la información de tu cuenta: amigos, perfiles, historiales….
  • A la vez, envía una invitación a toooodos tus amigos para que se apunten al sistema
  • Si tus amigos están en el sistema, éste tiene todos sus datos y te los puede enviar (¡te podría enviar incluso su contraseña!)

¿Me apunto?

¡NO! Esto es un problema de seguridad muy grande. Le estás dando acceso absoluto a tu cuenta a una empresa. Además, esta empresa ofrece tus datos sin tu control a todo aquel que los pida.
Cuidado con estas cosas…

Actualiza tu WordPress 2.5 -> 2.5.1

Si tienes un sistema WordPress 2.5, es el momento de actualizar.

Hace unos días comentaron que la última versión (2.5) tenía un fallo de seguridad (permitiendo acceso de administrador al sistema).

Si tu blog es WordPress 2.5, ya sabes lo que tienes que hacer. ¡Actualízate!

Algunos, como los amigos de Alt1040, ya han sufrido las consecuencias (cuidado al abrir la página, tienen un puñado de javascripts que te pueden dejar el navegador tiritando después de haber cruzado dos correillos con Eduardo Arcos, han optimizado dos cosillas de la página y ya no se sobrecarga).

Si tenéis un blog en 2.5, o muchos, la forma de actualizar es más que sencilla:

  • Descargar WordPress 2.5.1
  • Borrar el directorio wp-content
  • Volcarlo en tu FTP
  • Ejecutar /wp-admin/upgrade.php
  • Borrar /wp-admin/upgrade.php y /wp-admin/install.php por seguridad

Para instalaciones anteriores, seguid las instrucciones que vienen con la distribución.