WordPress 5.7.2 – Actualización de seguridad

Ya está disponible WordPress 5.7.2.

Esta actualización de seguridad incluye una corrección de seguridad. Como es una actualización de seguridad se recomienda que actualices tus sitios de inmediato. También se han actualizado todas las versiones desde WordPress 3.7.

WordPress 5.7.2 es una actualización de seguridad de ciclo corto. La siguiente actualización mayor será la versión 5.8.

Puedes actualizar a WordPress 5.7.2 descargándola desde WordPress.org, o visitando tu Escritorio → Actualizaciones, y hacer clic en «Actualizar ahora».

Si tienes sitios compatibles con las actualizaciones automáticas en segundo plano ya han empezado el proceso de actualización.

Actualizaciones de seguridad

Un problema de seguridad que afecta a las versiones de WordPress entre la 3.7 y la 5.7. Si aún no has actualizado a la 5.7, todas las versiones de WordPress desde la 3.7 también se han actualizado para corregir el siguiente problema de seguridad:

Gracias a los miembros del equipo de seguridad de WordPress por implementar estos cambios en WordPress.

Para más información revisa la página de la documentación de la version 5.7.2 en HelpHub.

¡Agradecimientos y reconocimientos!

La versión 5.7.2 la lideraron @peterwilsoncc y @audrasjb.

Gracias a todos los que han ayudado a hacer que WordPress 5.7.2 esté disponible: @audrasjb@ayeshrajans@desrosj@dd32@peterwilsoncc@SergeyBiryukov@xknown.

La privacidad con WordPress

Si te lees los términos y condiciones de muchos de los proveedores de Internet, sobre todo las redes sociales, verás que en la mayoría de los casos todo lo que publicas deja de ser tuyo y forma a sr parte de la propiedad de la empresa a la que cedes esa información.

Esto, que en un principio no tiene por qué parecer un problema, puede llegar a serlo en el momento en el que has de eliminar un contenido o quieres hacer un cambio y la plataforma no te lo permite.

Y aquí es donde entran las alternativas y el control de la información, además del tráfico y tus usuarios. El hecho de que las redes sociales puedan eliminar o bloquear una cuenta en cualquier momento hace que el tráfico, los usuarios, tus seguidores no sean tuyos.

Y aquí entra tu sitio web. Cualquier plataforma de código abierto permite el control de la información de la base de datos, una información a la que sólo tú tienes acceso. Y más, teniendo en cuenta que la legislación actual te obliga a tener el control y a disponer de una serie de herramientas que permitan que, en cualquier momento, puedas eliminar o gestionar los contenidos de tus seguidores.

Tener el control de tu información es importante, y WordPress te permite un control absoluto. Para empezar, tú decides qué es lo que se publica y qué no, qué es lo que los robots de búsqueda (y, por tanto, los buscadores) pueden publicar o no. Tú decides qué es público y qué no.

Pero no es sólo esto. Muchas veces pensamos que la privacidad es la parte de tus datos, y no es del todo así, también son los datos de los demás. Cuando alguien hace una compra en una plataforma de terceros suele incluir sistemas de seguimiento para que otras plataformas puedan saber quién eres, qué compras, o qué productos te interesan. Esto, si lo controlas tú en tu plataforma no tiene porqué ser así, y puedes dar a tus usuarios una mayor seguridad y control de sus datos.

¿Dejarías que las mayores empresas de Internet conozcan con detalle qué hacen tus hijos, con quién se comunican, de qué hablan? Pues esto es lo que ocurre hoy en día, y algunos centros educativos lo promueven, aunque tiene mucha facilidad y solución: una red social, privada, con WordPress. Algunos colegios crean redes con BuddyPress en los que todos los alumnos están presentes y pueden comunicarse con profesores, con otros alumnos, publicar contenidos y siempre con la seguridad y control del centro.

Además, WordPress te ofrece plugins y herramientas propias para cumplir la legislación vigente. Para empezar no se guardan contenidos que no se tienen que almacenar, por defecto y, además, te ofrece herramientas como el generador de la página de política de privacidad o las herramientas de exportar datos personales de sus usuarios, con la posibilidad de eliminar esos datos. Y, por supuesto, tienes un montón de plugins que te ayudan a controlar los reglamentos de privacidad que hay alrededor del mundo, y concretamente el RGPD y la LOPD y la obligación de hacer seguimiento de actividad.

Si te preocupan tus usuarios, si te preocupa tu información, si te preocupa el control de la grandes corporaciones de información que a veces ni sabes que están recogiendo, WordPress siempre va a ser una muy buena opción.

WordPress 5.7.1 – Actualización de seguridad y mantenimiento

¡Ya está disponible WordPress 5.7.1!

Esta actualización de seguridad incluye 26 correcciones a fallos además de dos correcciones a fallos de seguridad. Al ser una actualización de seguridad se recomienda que actualices tu sitios de inmediato. Todas las versiones desde WordPress 4.7 también se han actualizado.

WordPress 5.7.1 es una actualización de seguridad y mantenimiento de ciclo corto. La siguiente actualización mayor será la de la versión 5.8.

Puedes desargar WordPress 5.7.1 descargándolo de WordPress.org, o visitar tu Escritorio → Actualizaciones y hacer clic en «Actualizar ahora».

Si tienes sitios compatibles con actualizaciones automáticas en segundo plano ya ha empezado el proceso de actualización.

Actualizaciones de seguridad

Dos problemas de seguridad afectan a las versiones de WordPress entre la 4.7 y la 5.7. Si todavía no has actualizado a la versión 5.7, todas las versiones de WordPress desde la 4.7 también se han actualizado para corregir los siguientes problemas de seguridad:

  • Gracias a SonarSource por informar de una vulnerabilidad XXE en la biblioteca de medios que afecta a PHP 8.
  • Gracias a Mikael Korpela por informar de una vulnerabilidad de exposición de datos en la API REST.

Gracias a todos los que informan por la divulgación privada de vulnerabilidades. Esto ofrece al equipo de seguridad tiempo para corregir las vulnerabilidades antes de que puedan ser atacados los sitios WordPress.

Gracias a Adam ZielinskiPascal BirchlerPeter WilsonJuliette Reinders FolmerAlex ConchaEhtisham SiddiquiTimothy Jacobs y el equipo de seguridad de WordPress por su trabajo en estos problemas.

Para más información revisa la lista completa de cambios en el Trac, o echa un vistazo a la página de documentación de la versión 5.7.1 en HelpHub.

¡Agradecimientos y reconocimientos!

La versión 5.7.1 la lideraron @peterwilsoncc y @audrasjb.

Además de los investigadores de seguridad y miembros del equipo de la versión mencionados arriba, gracias a todos los que habéis ayudado a conseguir que WordPress 5.7.1 salga adelante:

99wAdam SilversteinAndrew OzzannalamprouanotherdaveAri StathopoulosAyesh KarunaratnebobbingwideBrechtDaniel RichardsDavid BaumwalddkooDominik SchillingdragongateeatsleepcodeElla van DurpeErikFabian PimmingerFelix ArntzFlorian TIARgab81Gal BarasGeoffreyGeorge MamadashviliGlen DaviesGreg ZiółkowskigrzimIpstenu (Mika Epstein)Jake SpurlockJayman PandyaJb AudrasJoen A.Johan Jonk StenströmJohannes KinastJohn BlackbournJohn James JacobyJonathan DesrosiersJosee WoutersJoyk3nsaiKelly Choyce-DwanKerry LiuMarius L. J.Mel Choyce-DwanMikhail KobzarevmmuyskensMukesh Panchalnicegamer7Otshelnik-FmPaal Joachim RomdahlpalmiakPascal BirchlerPeter WilsonpwallnerRachel BakerRiad BenguellaRinat KhazievRobert AndersonRoger TheriaultSergey BiryukovSergey YakimovSirStueystefanjoebstlStephen BernhardtSumit SinghSybre WaaijerSynchroTerri AnntigertechTimothy JacobstmatsuurTobiasBgTonya MorkToru MikiUlrichVlad T.

Pasar de HTTP a HTTPS (nuevo en WordPress 5.7)

Con el lanzamiento de WordPress 5.7 se incluye una nueva funcionalidad que va a permitir pasar el sitio de HTTP a HTTPS pudiendo migrar todas las direcciones URL de forma automática.

Esto significa que aquellos sitios que tienen problemas con la configuración del sistema mixto, ahora se podrá configurar con un par de clics.

Qué requisitos tiene

Hay tres requisitos básicos:

  • Tener WordPress 5.7 (o superior) instalado
  • Tener un certificado TLS 1.2 o 1.3 instalado
  • Tener el sitio configurado en HTTP

Cómo sé si tengo WordPress 5.7 o superior

La forma más sencilla es entrar en el Escritorio de WordPress, y allí, en el menú, ir a Escritorio → Actualizaciones.

En la parte superior te indicará un mensaje de «Versión actual: 5.7» (o la versión que tengas).

Cómo sé si tengo un certificado TLS válido

Hay varias formas de saberlo. La más rápida es entrar en tu sitio web cambiando el HTTP del inicio por HTTPS. De esta forma puedes probar https://www.example.com/ y comprobar si el navegador te devuelve, o no, un error.

En caso de que no lo devuelva, en la barra de navegación puedes verificar si te indica que el certificado es o no correcto.

Indicador de conexión segura en el navegador Chrome
Conexión segura en el navegador Chrome

En caso de que esto no funcione, lo mejor es que acudas a tu proveedor de hosting y le preguntes cómo poder disponer de un certificado TLS. La mayoría de las empresas de hosting proveen, de forma gratuita, certificados TLS mediante el proveedor Let’s Encrypt.

Cómo sé si tengo mi sitio configurado con HTTP

Para saber la configuración que tiene tu sitio lo más simple es acceder a Ajustes → Generales. Allí encontrarás las direcciones de WordPress y del sitio.

Direcciones de WordPress y del Sitio en los ajustes de WordPress, de forma insegura con HTTP
Ajustes de URL en WordPress

Vale, cumplo los requisitos

Si cumples los requisitos y ya tienes todo listo (que funcione el certificado TLS, principalmente) puedes seguir los siguientes pasos para convertir tu sitio de HTTP a HTTPS y hacerlo más seguro.

Actualizando todos los enlaces

Para hacer el cambio de HTTP a HTTPS de forma automática has de acceder a la zona de Herramientas → Salud del Sitio y encontrarás la opción «Tu sitio no utiliza HTTPS».

Allí tendrás un botón que, con un clic, te permitirá Actualizar tu sitio para usar HTTPS.

Opción en Salud del Sitio en la que se activa el botón de Actualizar el sitio a HTTPS
Análisis de uso de HTTPS en Salud del Sitio

Una vez hayas pulsado el botón, todas tus URL habrán cambiado a HTTPS. Para validarlo puedes volver a Ajustes -> Generales donde los enlaces ya incluirán el HTTPS.

Direcciones de WordPress y del Sitio en los ajustes de WordPress, de forma segura con HTTPS
Ajustes de URL en WordPress

A partir de este momento tendrás configurado tu sitio para que sea siempre HTTPS.

WordPress es seguro (parte 4/4)

Ya sabemos que WordPress es seguro, cómo mantenerlo actualizado y además como incrementar su seguridad. Ahora lo que nos queda saber es qué hacer en un caso de desastre total…

Prevenir antes que curar

Ya lo dice el refrán: más vale prevenir que curar. Y de esto va la información que vas a encontrar aquí. Como se decía al inicio, anteriormente hemos escrito sobre cómo incrementar la seguridad, pero no siempre es un problema de seguridad el que un sitio WordPress se rompa. Puede haber muchos factores, algo tan sencillo como que la máquina donde está tu web se estropee.

Para evitar llegar a un extremo al que no quiere nadie llegar, lo que vamos a tener que preparar es un sistema de plan de contingencia.

El plan de contingencia

Como en muchas situaciones, hemos de ponernos en lo peor, y en el caso de WordPress, es que nuestro sitio deje de funcionar o se borre, o nos lo consigan manipular y podamos llegar a perder la información.

Para esto debemos tener un plan de contingencia que puede ser de muchos niveles. Y que podríamos dividir en 3 niveles: copias de seguridad, sistemas redundados y alta disponibilidad.

Las copias de seguridad

Este es el sistema mínimo y básico que hemos de tener para nuestro WordPress. Por ahora WordPress no dispone de un sistema propio de copias de seguridad, por lo que necesitamos depender de un sistema tercero para realizar esas copias.

¿Qué hemos de copiar y guardar? Básicamente 4 elementos:

  • El programa (software). Es el contenido que incluye el núcleo de WordPress, los plugins y temas, además de todos los contenidos media que hayas podido subir.
  • La información (base de datos). En la base de datos se almacenan los contenidos y configuraciones de tu sitio, tus páginas, entradas y otros contenidos que hayas podido guardar y publicar.
  • La configuración del servidor web. Dependiendo del sistema que uses (Apache, nginx) pueden ser unos contenidos u otros. El más conocido es el fichero .htaccess. En caso de duda, consulta con tu proveedor de hosting para que te indique qué ficheros deberías guardar.
  • Los certificados TLS. Aunque los certificados se pueden regenerar, lo mejor es tener disponible y guardados los ficheros de los certificados para poder configurarlos de nuevo en caso extremo.

Para hacer copias de seguridad tenemos varias opciones. La primera de ellas suele estar en el proveedor de hosting, que suele disponer de sistemas propios para hacer copias de todo nuestro sitio y configuración. Es importante saber y preguntar cómo y qué se puede recuperar en caso de un desastre y haya que restaurarla, ya que en algunos casos se podrá recuperar fichero a fichero y en otros se tendrá que sobrescribir toda la información, perdiendo la información nueva que haya habido entre la copia y el momento actual.

En otros casos podemos configurar un plugin de copias de seguridad de los que hay en el repositorio de WordPress y que puedes encontrar entre los plugins etiquetados como backup.

Como última opción, siempre puedes realizar la copia manualmente. Por ejemplo, descargando los ficheros por FTP, la base de datos con algún panel del tipo a phpMyAdmin y el resto de las configuraciones dependerán del sistema o del hosting.

Existe una alternativa que es la de crear copias instantáneas de volumen (snapshots) en los que se hace una copia puntual en el tiempo de cómo se encuentra el sistema. En estos casos, a la hora de realizar la restauración podemos sobrescribir el sistema actual con el de ese momento, o podemos montar un nuevo sistema, acceder y recuperar la información que requiramos.

Sistemas redundados

Un sistema redundado es aquel en el que en realidad tienes dos o más veces tu WordPress funcionando, pero sólo lo hace uno a la vez. Además, estas instalaciones están configuradas mediante un sistema primario-secundario, en el que hay una instalación principal, y cualquier cambio que se haga, se va heredando al resto de versiones.

En caso de que el WordPress principal falle, pasaría a ponerse en marcha de forma manual o automática la segunda edición del sitio.

Normalmente estos sistemas se encuentran distribuidos o federados para no encontrarse físicamente en el mismo lugar. Por ejemplo, si hay un corte de electricidad en un centro de datos, se mandaría a los usuarios a otros centros de datos en otras localizaciones.

En cualquier caso, estos sistemas ya suelen tener sus propios mecanismos para hacer copias de seguridad de forma recurrente.

Alta disponibilidad

Sin duda es el sistema óptimo, pero el más complejo y caro (de precio) ya que requiere de bastante inversión y recursos.

En este caso, tendríamos varias copias de nuestro sitio web funcionando a la vez, en distintas localizaciones, y a los usuarios se les manda de forma independiente a cualquiera de ellas. Por norma general, para que esto funcione al menos ha de haber 3 localizaciones. De la misma manera que el caso anterior, aquí también es imprescindible tener copias de seguridad ya que toda la información se copia y replica a la vez en todos los sistemas.

WordPress es seguro (parte 3/4)

Previamente hemos visto cómo es la seguridad de WordPress y cómo realizar tareas de actualización.

¿Podemos hacer WordPress más seguro?

Sí, siempre se puede.

Navegando de forma segura con HTTPS

Hasta hace un tiempo las páginas web comenzaban mayormente por HTTP://. Este es el protocolo por el que se pueden ver las páginas web de forma “normal”. Porque existe otro sistema, ahora muy habitual, que es el de HTTPS://. Este sistema con esa S extra; una S de seguro. Es lo mismo que antes, pero la información va cifrada.

La diferencia entre un sistema y otro es que la información que va desde tu navegador hasta el servidor web (donde se encuentra la web), y del servidor web a tu navegador, en el segundo caso va cifrado mediante un certificado TLS (anteriormente SSL). Esto hace que todos los contenidos que van y vienen no puedan ser interceptados con ataques de intermediario o eavesdropping.

Si tu sitio web no aparece por defecto con https://, te recomendamos que escribas a tu empresa de hosting para preguntarles cómo conseguir hacerlo, ya que con un certificado Let’s Encrypt se puede hacer de forma sencilla y gratuita.

Usando contraseñas seguras

Cuando creas o te crean un usuario en WordPress suele aparecerte una contraseña “rara”. Esta contraseña suele tener letras en mayúsculas, en minúsculas, con números y símbolos. Una contraseña así, de unos 12 caracteres se suele considerar segura.

De todas formas, hoy en día tenemos facilidades para almacenar contraseñas distintas para cada sitio, ya que nuestro navegador de Internet suele incorporar la función de recordar contraseña, además de tener herramientas y Apps que nos permiten actuar como gestor de contraseñas.

Aunque las contraseñas que incorpora WordPress son seguras, lo más recomendable es disponer de una contraseña alfanumérica (como mínimo) lo más larga posible, y en este caso hablaríamos de un mínimo de 18 caracteres. Sin duda, una contraseña muy larga pero menos compleja, es más segura que una contraseña corta y compleja.

Pero no hemos de olvidar que a veces no estamos trabajando nosotros solos en nuestro WordPress, sino que tenemos otros Usuarios, y, para bien o para mal, no podemos obligar a otros usuarios a que tengan contraseñas seguras.

Es por esto que siempre es muy recomendable incluir en los usuarios de nivel Administrador y Editor un sistema de doble validación (también conocido como Autenticación de múltiples factores). Desde el equipo de colaboradores de WordPress podemos recomendarte un plugin de la Comunidad WordPress llamado Two-Factor que permitiría la activación de este sistema (además, puedes colaborar en él si te interesa desde su ficha).

Protegiéndote de ataques externos

En algunos casos, tanto si tu sitio es muy conocido como si no lo es, puede que algunos usuarios maliciosos (o ciberdelincuentes) quieran atacar tu sitio de forma masiva. En estos casos te recomendamos el uso de un cortafuegos (firewall) como capa de seguridad.

Existen muchos tipos de cortafuegos a muchos niveles. Los más avanzados son máquinas (servidores) físicos que se ponen entre los usuarios y los servidores web. En otros casos, existen aplicaciones en el sistema operativo que actúan, en este caso a nivel de programa. Como un nivel más cercano a WordPress, podemos encontrar los WAF (Web Application Firewall) como cortafuegos de aplicación web. Para los casos de WordPress existen multitud de ellos en forma de plugin y que puedes encontrar entre los plugins etiquetados como firewall.

WordPress es seguro (parte 2/4)

Como vimos en la entrada previa, WordPress es una herramienta considerada segura, siempre y cuando la mantengamos actualizada y al día.

¿Cuál es la mejor forma de mantener WordPress seguro?

Muy simple: las actualizaciones automáticas.

¿Cómo configuro las actualizaciones automáticas?

Antes de configurarlas, hemos de saber que WordPress está compuesto de 3 grandes partes: el núcleo (el propio WordPress), los plugins y los temas.

Cada una de estas partes es independiente cuando hablamos de las actualizaciones automáticas.

¿Cómo actualizo el núcleo?

Hay varias formas. La más moderna es configurar el sistema de actualizaciones automáticas para las versiones mayores (que incluye cualquier actualización que salga).

Para esto accederemos al menú de opciones del Escritorio y allí tenemos una subsección llamada Actualizaciones.

Desde WordPress 5.6, podrás decidir si quieres configurar que sólo se actualicen las versiones menores o se actualicen las versiones mayores. En general, la recomendación es tener la última versión del núcleo de WordPress.

Otras opciones más manuales son las de entrar en esa misma sección cuando haya una nueva versión y darle al botón de “Actualizar”. Recuerda siempre hacer una copia de seguridad de tu sitio.

Finalmente, un sistema más manual aún es la de descargarte la última versión desde la web (el fichero ZIP), descomprimirlo en tu ordenador, y subir todos los ficheros por FTP. No es lo mejor, pero funciona.

¿Cómo actualizo los plugins o temas?

Desde WordPress 5.4 existe la posibilidad que los plugins y temas se actualicen de forma automática. Si vamos al listado de plugins, veremos que en la parte derecha de cada uno de ellos tenemos la opción de “activar / desactivar actualizaciones automáticas”. Aquellos plugins simples en los que te sientas con seguridad de actualizar, actívalo.

En los temas ocurre algo similar, aunque en este caso la opción está viendo la ficha de uno de ellos. Si pulsas sobre el tema se abre una ventana y allí tendrás la misma opción para activar las actualizaciones automáticas.

En cualquier caso, siempre tendrás la opción de las actualizaciones pulsando en el botón de “Actualizar” de cada uno de ellos cuando haya una nueva versión.

Y, como no, el sistema más antiguo, es el de descargarte el plugin o tema y subirlo por FTP.

Como detalle interesante, desde hace ya unas versiones, si tienes un plugin externo sin actualizaciones automáticas, puedes descargar el ZIP y subirlo como “Añadir nuevo”. Si ya existe previamente, WordPress te dará un mensaje diciendo que ya existe, con información comparativa de la versión anterior y la nueva, y la posibilidad de continuar la actualización o cancelarla.

¿Qué pasa con los plugins o temas antiguos?

Este suele ser el mayor problema de seguridad, aquellos que no se actualizan desde hace tiempo y que, por norma general, no sabemos que están obsoletos.

Por esto es recomendable cada cierto tiempo (¿3 meses?) hacer una revisión de todos los plugins y temas, ver sus fichas en WordPress.org (o desde donde los hayas descargado) y comprobar que están actualizados, que la versión que tú tienes coincide con la última versión, y seguir los consejos que comentamos en el primero de los artículos.

Mi hosting es administrado ¿me hacen ellos las actualizaciones?

Por norma general la respuesta es “a medias”. Habitualmente las empresas de hosting que tienen soporte específico para WordPress se encargan de actualizar el núcleo de WordPress de forma más manual. Aunque salga una versión nueva, ellos se esperan unos días mientras hacen pruebas y simulaciones para validar que tu sitio va a funcionar sin problemas.

Pero de la misma forma que sí que suelen revisar el núcleo, no se encargan de revisar los plugins y temas. En cualquier caso, nunca está de más preguntarle a tu empresa de hosting de qué se encargan y de que no.

WordPress es seguro (parte 1/4)

Una de las preguntas habituales sobre WordPress hace referencia a la seguridad del software, a cómo está construido, y a porqué se anuncia por Internet que no lo es.

¿Es WordPress seguro?

Respuesta corta: sí.

En cualquier caso, siempre puedes leer la documentación de seguridad en nuestro sitio web.

Y ahora la respuesta larga…

Para empezar, hay que decir que nada, absolutamente nada, es 100% seguro, por lo que WordPress puede tener, como el resto de los gestores de contenido, situaciones derivadas de la seguridad.

¿Eso significa que no lo sea? No. Significa que como WordPress está hecho por humanos, los humanos se equivocan y puede llegar a haber algo. Pero con una ventaja a diferencia de otros sistemas: WordPress es GPL; y esto significa que el código fuente, todo lo que se ha creado, es público y accesible para cualquiera, lo que permite que cualquiera sea capaz de encontrar si algo está mal o puede fallar, e incluso que sea un problema de seguridad y aún más: sugerir la corrección.

Nuevo código

Cada vez que se crea una parte nueva de WordPress se hace pública y otras personas la revisan, la prueban, y se incorpora en una primera versión de desarrollo, que posteriormente se convierte en una versión beta, luego en la versión candidata y finalmente en el código general. Todos estos pasos intermedios permiten que muchas personas hagan una revisión tanto de las funcionalidades como del código, pudiendo encontrar errores y sugiriendo soluciones.

Revisiones automáticas

Además de las revisiones que se pueden realizar previas al lanzamiento, existen muchas herramientas que analizan la seguridad del código (principalmente PHP). Teniendo en cuenta que WordPress es muy utilizado, incluso estas empresas realizan y participan de la revisión del código de forma libre y altruista, por lo que tenemos tanto a personas como a máquinas revisando posibles problemas.

¿Cómo hago que mi sitio sea y siga siendo seguro?

Muy sencillo: actualízalo. Has de tener en cuenta que WordPress está formado de muchas piezas, y cuando se habla de seguridad se habla de la suma de todas esas piezas. Si falla una, fallan todas.

Para que WordPress funcione hacen falta 4 partes: el sistema operativo de la máquina donde se ejecuta (Ubuntu, CentOS…), el servidor web (Apache, nginx…), PHP y la base de datos (MySQL, MariaDB…).

¿Hay que tener las últimas versiones de todo esto? No, no es necesario tener las últimas versiones, pero sí tener las versiones estables (o de seguridad) actualizadas. En general, todas estas piezas funcionan con un sistema de versiones de 3 partes / números. Por ejemplo, si WordPress tiene la versión 5.5.3. Las dos primeras cifras (5.5) son la versión mayor, que suele incorporar grandes cambios con respecto a la anterior (5.4), y la siguiente cifra (5.5.3) indica que desde que salió la primera versión (la 5.5.0) se han hecho pequeñas mejoras para corregir problemas que se han encontrado, de seguridad, de rendimiento o de funcionalidad.

En este caso, si usas WordPress 5.5.x sí que te recomendamos que uses la última versión menor, porque no debe fallar nada de tu sistema, e incluye las mejoras de seguridad pertinentes.

Esto sirve para todo lo mencionado, sistema operativo, servidor web, base de datos o PHP. En cualquier caso, pregunta a tu empresa de alojamiento (hosting) cómo trabajan con las actualizaciones y quién se encarga de ellas.

¿Y qué pasa con los plugins y temas?

Aquí es donde encontramos la mayoría de los problemas relacionados con la seguridad de WordPress.

WordPress puede funcionar sin plugins, pero requiere un tema, y por eso se incorporan los temas llamados Twenty-algo. Estos temas vienen con WordPress y son seguros, ya que los mantiene el mismo equipo de desarrollo.

¿Cómo sé si un plugin o tema es seguro?

No hay una manera 100% segura de saberlo, pero puedes seguir algunas pistas para tomar la decisión de si el complemento puede serlo.

Para empezar, revisaremos la fecha de la última actualización del plugin. Normalmente no se recomienda usar plugins que lleven más de 6 meses sin actualizar; esto no significa que no funcionen, significa que pueden no estar adaptados a las nuevas versiones de WordPress y generar problemas.

Otra cosa que puedes revisar son los datos de compatibilidad. Por norma general todos los plugins incluyen las versiones de WordPress sobre las que funciona, además de las versiones de PHP sobre las que funciona. Si todo encaja correctamente no deberías tener problemas. Además, como el código fuente de plugins y temas también sigue la licencia GPL y es público, se puede revisar para hacer los mismos análisis que en el propio núcleo de WordPress.

WordPress 5.5.2 – Actualización de seguridad y mantenimiento

¡Ya está disponible WordPress 5.5.2!

Esta actualización de seguridad y manteniniento incluye 14 correcciones de fallos además de 10 correcciones de seguridad. Al ser una actualización de seguridad se recomienda que actualices tu ssitios inmediatamente. También se han actualizado todas las versiones desde WordPress 3.7.

WordPress 5.5.2 es una actualización de seguridad y mantenimiento de ciclo corto. La siguiente versión mayor será la 5.6.

Puedes descargar WordPress 5.5.2 desde WordPress.org, o visitar tu «Escritorio → Actualizaciones» y hacer clic en «Actualizar ahora».

Si tienes sitios con las actualizaciones en segundo plano activas ya ha empezado el proceso de actualización.

Actualizaciones de seguridad

Hay 10 problemas de seguridad que afectan a las versiones de WordPress 5.5.1 y anteriores. Si aún no has actualizado a la versión 5.5, todas las versiones de WordPress dese la 3.7 también se han actualizado para corregir los siguientes problemas de seguridad:

  • Gracias a Alex Concha del equipo de seguridad de WordPress por su trabajo en reforzar la deserialización de peticiones.
  • Gracias a David Binovec por una corrección para desactivar incrustados spam desde sitios desactivados en una red multisitio.
  • Gracias a Marc Montas de Sucuri por informar de un problema que podría llevar a un XSS de variables globales.
  • Gracias a Justin Tran que informó de un problema sobre el escalado de privilegios en XML-RPC. También descubrió e informó de un problema de escalado de privilegios al comentar a través de XML-RPC.
  • Gracias a Omar Ganiev que informó de un método por el que un ataque DoS podría llevar a RCE.
  • Gracias a Karim El Ouerghemmi de RIPS que mostró un método para almacenar XSS en slugs de entradas.
  • Gracias a Slavco por informar, y a Karim El Ouerghemmi por confirmarlo, de un método para saltarse metas protegidos que podrían llevar a un borrado arbitrario de archivos.
  • Gracias a Erwan LR de WPScan que difundió responsablemente un método que podría llevar a CSRF.
  • Y un agradecimiento especial a @zieladam que ha sido parte integral de muchas de las actualizaciones y parches de esta versión.

Gracias a todos los que han informado por divulgar de manera privada las vulnerabilidades. Esto dió al equipo de seguridad tiempo para corregir las vulnerabilidades antes que pudiesen atacarse los sitios WordPress.

Para más información revisa la lista completa de cambios en el Trac, o echa un vistazo a la página de documentación de la versión 5.5.2 en HelpHub.

¡Agradecimientos y reconocimientos!

La versión 5.5.2 la lideró @whyisjake y el siquiente equipo:  @audrasjb@davidbaumwald@desrosj@johnbillion@metalandcoffee@noisysocks @planningwrite@sarahricker y @sergeybiryukov.

Además de los investigadores de seguridad y miembros del equipo mencionados arriba, gracias a todos los que ayudaron a que WordPress 5.5.2 esté disponible:

Aaron JorbinAlex ConchaAmit DudhatAndrey “Rarst” SavchenkoAndy FragenAyesh KarunaratnebridgetwillardDaniel RichardsDavid BaumwaldDavis Shaverdd32Florian TIARHareeshHugh LashbrookeIan DunnIgor RadovanovJake SpurlockJb AudrasJohn BlackbournJonathan DesrosiersJon BrownJoyJuliette Reinders Folmerkellybleckmailnew2sterMarcus KazmierczakMarius L. J.Milan DinićMohammad JangdaMukesh PanchalPaal Joachim RomdahlPeter WilsonRegan KhadgiRobert AndersonSergey BiryukovSergey YakimovSyed Balkhiszaqal21TellyworthTimi WahalahtiTimothy JacobsTowhidul I. ChowdhuryVinayak Anivasezieladam.

WordPress 5.4.2: Actualización de seguridad y mantenimiento

¡Ya está disponible WordPress 5.4.2!

Esta actualización de seguridad y mantenimiento incluye 23 correcciones a fallos y mejoras. Además, añade una serie de correcciones de seguridad – ve la lista abajo.

Estos fallos afectan a las versiones de WordPress 5.4.1 y anteriores; la versión 5.4.2 las corrige, así que querrás actualizar.

Si todavía no has actualizado a la versión 5.4, también hay versiones actualizadas para las versiones 5.3 y anteriores que corrigen los fallos por ti.

Actualizaciones de seguridad

Las versiones de WordPress 5.4 y anteriores están afectadas por los siguientes fallos, que se corrigen en la versión 5.4.2. Si todavía no has actualizado a la versión 5.4, también hay versiones actualizadas para las versiones 5.3 y anteriores que corrigen los problemas de seguridad.

  • Gracias a Sam Thomas (jazzy2fives) por descubrir un problema de XSS por el que los usuarios identificados con bajos privilegios podían añadir JavaScript a las entradas en el editor de bloques.
  • Gracias a Luigi – (gubello.me) por descubrir un problema de XSS por el que los usuarios identificados con permisos de subida podían añadir JavaScript a los archivos de medios.
  • Gracias a Ben Bidner, del equipo de seguridad de WordPress por descubrir un problema de redirección abierta en wp_validate_redirect().
  • Gracias a Nrimo Ing Pandum por descubrir un problema de identificación XSS desde las subidas de temas.
  • Gracias a Simon Scannell of RIPS Technologies por descubrir un problema por el que set-screen-option podía ser mal utilizado por plugins para conseguir escalado de privilegios.
  • Gracias a Carolina Nymark por descubrir un problema por el que los comentarios en entradas y páginas protegidas por contraseña podrían mostrarse en ciertas condiciones.

Gracias a todos los que habéis informado por haber avisado de modo privado de las vulnerabilidades. Esto da al equipo de seguridad tiempo para corregir las vulnerabilidades antes de que los sitios WordPress puedan ser atacados.

También se ha lanzado una actualización de mantenimiento para las versiones 5.1, 5.2 y 5.3. Revisa la nota para desarrolladores para más información.

Puedes ver la lista completa de cambios en el Trac.

Para más información revisa la lista completa de cambios en el Trac o echa un vistazo a la página de documentación de la versión 5.4.2.

WordPress 5.4.2 es una actualización de mantenimiento de ciclo corto. La siguiente versión mayor será la 5.5.

Puedes descargar WordPress 5.4.2 descargándola desde es.WordPress.org, o visitar tu Escritorio → Actualizaciones y hacer clic en Actualizar ahora.

Si tienes sitios compatibles con actualizaciones automáticas en segundo plano ya ha empezado el proceso de actualización.

¡Agradecimientos y reconocimientos!

Además de los investigadores de seguridad mencionados arriba, gracias a todos los que hay ayudado a que salga WordPress 5.4.2:

Andrea FerciaargentiteM Asif RahmanJb AudrasAyesh KarunaratnebdcstrDelowar HossainRob MigchelsdonmhicoEhtisham SiddiquiEmilie LEBRUNfinomenogarethgillmanGiorgio25bGabriel MaldonadoHector FIan BelangerAaron JorbinMathieu VietJavier CasaresJoe McGilljonkolbertJono AldersonJoyTammie ListerKjell ReigstadKTmarkusthielMayank MajejiMel Choyce-DwanmislavjuricMukesh PanchalNikhil BhansioakesjoshDominik SchillingArslan AhmedPeter WilsonCarolina NymarkStephen BernhardtSam FullaloveAlain SchlesserSergey BiryukovskarabeqDaniel RichardsToni ViemerösuzylahTimothy JacobsTeBenachiJake Spurlock y yuhin.