Archivo de la etiqueta: actualizar wordpress

Grave vulnerabilidad de WordPress 2.6.2. Actualización a 2.6.3.

Una nueva vulnerabilidad de WordPress ha sido descubierta en Snoopy, que puede ser explotada por personas maliciosas para comprometer un sistema vulnerable.

La actualización es altamente recomendable.

El problema

La entrada pasada a la funcion “_httpsrequest ()” no está debidamente saneada antes de ser utilizada en una llamada “exec ()”. Esto puede ser explotado para inyectar comandos de shell arbitrarios a través de una secuencia de comandos llamando a las funciones “fetch ()” o “submit ()” con una URL controlada por el atacante.

La solución

Hay dos soluciones, actualizar todo el WordPress o sustituyendo los siguientes archivos:

Actualizar WordPress 2.5 a 2.6

Bueno, tenia algunos plugins que ya me estaban pidiendo actualización y que solo por la pereza que me daba los estaba dejando pero como hace 3 dias apareció la nueva versión de wordpress, la 2.6. He dedicado la tarde a apañar algunas cosas que tenia pendientes en la administración de este blog.

Esta vez a la nueva versión la han denominado “Tyner” por el pianista de jazz McCoy Tyner, viene con muchas novedades, las mas importantes son:

  1. Instalación de plugins desde el mismo panel de administración
  2. Soporte SSL de Administración para permitir que el administrador visite el sitio a través de http o https con la opción de forzar el acceso por https
  3. Filtrado de posts por autor y mes en el panel de administración
  4. Vista previa de themes como ya está en WordPress.com, para poder ver como quedará tu blog antes de activarlo
  5. Otra novedad bastante interesante la posibilidad de cacherar archivos estáticos con Google Gears para mejorar la carga del panel de administración
  6. Nubes de Tags con edición de estilos y colores
  7. Mecanismo XMLRPC para listar y borrar medios de un modo sencillo y eficaz
  8. Mejoras en la edición de imágenes para controlar los medios a incluir en los posts
  9. Búsqueda por categorías unidas como ya se puede hacer por tags y categorías, pero a mano
  10. Inhabilitar la publicación remota para mejorar la seguridad
  11. Comprobación preliminar de seguridad a la hora de la instalación para buscar scripts maliciosos que pudieran afectar a WordPress
  12. Cambiar la característica de publicación mediante la API XML-RPC
  13. jQuery 1.2.6 y jQuery UI 1.5 con mejoras importantes
  14. Conteo de palabras en el editor de posts y páginas
  15. Borrado masivo, edición, activación, etc de plugins
  16. Mejoras en la identificación de títulos de páginas
  17. Paginado jerárquico en las paginas de administración de Páginas y Categorías
  18. Posibilidad de colocar tu carpeta ‘wp-content’ en cualquier sitio del servidor, incluso fuera de la carpeta pública
  19. Posibilidad de poner el fichero ‘wp-config.php’ fuera de la carpeta de instalación de WordPress
  20. Galerías con soporte de arrastrar y soltar
  21. Mejoras en los formatos de feeds
  22. Avatares por defecto personalizables
  23. Mejoras en menu-header.php
  24. TinyMCE 3.1.0.1 con montones de ajustes
  25. Nuevo filtro para inhabilitar la caja de email en la página del perfil
  26. Incluir ficheros que no sean plugins en los plugins manipulando la base de datos

Si queréis ver alguno de estos efectos funcionando WordPress ha puesto el siguiente vídeo en el que se pueden ver algunas de las nuevas funcionalidades en el panel de control. Alguna de ellas ya hacia bastante falta. Sigue leyendo

Actualizar WordPress 2.3.1 a 2.3.2

Hacia tiempo que no había una actualización y ya sale la siguiente versión a la que es recomendable actualizar.

El problema ha sido encontrado en una comprobación de usuario en el fichero wp-includes/query.php, en el que daba por supuesto que eras administrador si encontraba wp-admin/ en la URL del navegador, dando acceso al que llega a través de situaciones como la siguiente:

?x=wp-admin/&paged=1

Aquí tenéis el problema descubierto por Alex Concha y que la gente de WordPress nos aconseja que solucionemos actualizándonos urgentemente.
Para actualizar tan solo hay que:

  • Descargarse la última versión de WordPress.
  • Como siempre desactivar los plugins.
  • descomprimimos el zip del wordpress 2.3.2 y subimos todos los ficheros excepto la carpeta wp-content que dejamos la que tenemos en el servidor.
  • Activa tus plugins.

Ante la duda recuerda hacer copia de seguridad de todos tus ficheros antes de la actualización. Así de simple y sencillo lo he hecho yo.

Actualizar WordPress 2.3 a 2.3.1

No acabamos de salir de una y ya estamos en otra actualización. No es que me queje, todo lo contrario es estupendo que a partir de la version 2.3 te digan que hay nuevas versiones sin tener que comprobarlo manualmente plugin por plugin.

Ahora el WordPress nos avisa de actualizaciones de plugins y del propio WordPress y eso es una ventaja pero desde que he comenzado este blog me he pasado mas tiempo actualizandolo que compartiendo información.

Bueno esta vez lo que acontece es de la version 2.3 a 2.3.1, es altamente recomendable (como te recuerda el letrerito inferior) “Tu WordPress 2.3 está anticuado. Por favor actualiza ¿anticuado? pero si acaba de salir del tostador. O el de arriba “Una nueva versión de WordPress está disponible! Por favor actualiza ahora!” será que no nos queda remedio otra vez.

El caso es que parece ser que se ha encontrado un problema de seguridad XSS que hace que la seguridad se vea comprometida en caso de tener Sigue leyendo