WordPress 5.5.2 – Actualización de seguridad y mantenimiento

¡Ya está disponible WordPress 5.5.2!

Esta actualización de seguridad y manteniniento incluye 14 correcciones de fallos además de 10 correcciones de seguridad. Al ser una actualización de seguridad se recomienda que actualices tu ssitios inmediatamente. También se han actualizado todas las versiones desde WordPress 3.7.

WordPress 5.5.2 es una actualización de seguridad y mantenimiento de ciclo corto. La siguiente versión mayor será la 5.6.

Puedes descargar WordPress 5.5.2 desde WordPress.org, o visitar tu «Escritorio → Actualizaciones» y hacer clic en «Actualizar ahora».

Si tienes sitios con las actualizaciones en segundo plano activas ya ha empezado el proceso de actualización.

Actualizaciones de seguridad

Hay 10 problemas de seguridad que afectan a las versiones de WordPress 5.5.1 y anteriores. Si aún no has actualizado a la versión 5.5, todas las versiones de WordPress dese la 3.7 también se han actualizado para corregir los siguientes problemas de seguridad:

  • Gracias a Alex Concha del equipo de seguridad de WordPress por su trabajo en reforzar la deserialización de peticiones.
  • Gracias a David Binovec por una corrección para desactivar incrustados spam desde sitios desactivados en una red multisitio.
  • Gracias a Marc Montas de Sucuri por informar de un problema que podría llevar a un XSS de variables globales.
  • Gracias a Justin Tran que informó de un problema sobre el escalado de privilegios en XML-RPC. También descubrió e informó de un problema de escalado de privilegios al comentar a través de XML-RPC.
  • Gracias a Omar Ganiev que informó de un método por el que un ataque DoS podría llevar a RCE.
  • Gracias a Karim El Ouerghemmi de RIPS que mostró un método para almacenar XSS en slugs de entradas.
  • Gracias a Slavco por informar, y a Karim El Ouerghemmi por confirmarlo, de un método para saltarse metas protegidos que podrían llevar a un borrado arbitrario de archivos.
  • Gracias a Erwan LR de WPScan que difundió responsablemente un método que podría llevar a CSRF.
  • Y un agradecimiento especial a @zieladam que ha sido parte integral de muchas de las actualizaciones y parches de esta versión.

Gracias a todos los que han informado por divulgar de manera privada las vulnerabilidades. Esto dió al equipo de seguridad tiempo para corregir las vulnerabilidades antes que pudiesen atacarse los sitios WordPress.

Para más información revisa la lista completa de cambios en el Trac, o echa un vistazo a la página de documentación de la versión 5.5.2 en HelpHub.

¡Agradecimientos y reconocimientos!

La versión 5.5.2 la lideró @whyisjake y el siquiente equipo:  @audrasjb@davidbaumwald@desrosj@johnbillion@metalandcoffee@noisysocks @planningwrite@sarahricker y @sergeybiryukov.

Además de los investigadores de seguridad y miembros del equipo mencionados arriba, gracias a todos los que ayudaron a que WordPress 5.5.2 esté disponible:

Aaron JorbinAlex ConchaAmit DudhatAndrey “Rarst” SavchenkoAndy FragenAyesh KarunaratnebridgetwillardDaniel RichardsDavid BaumwaldDavis Shaverdd32Florian TIARHareeshHugh LashbrookeIan DunnIgor RadovanovJake SpurlockJb AudrasJohn BlackbournJonathan DesrosiersJon BrownJoyJuliette Reinders Folmerkellybleckmailnew2sterMarcus KazmierczakMarius L. J.Milan DinićMohammad JangdaMukesh PanchalPaal Joachim RomdahlPeter WilsonRegan KhadgiRobert AndersonSergey BiryukovSergey YakimovSyed Balkhiszaqal21TellyworthTimi WahalahtiTimothy JacobsTowhidul I. ChowdhuryVinayak Anivasezieladam.

WordPress 5.4.2: Actualización de seguridad y mantenimiento

¡Ya está disponible WordPress 5.4.2!

Esta actualización de seguridad y mantenimiento incluye 23 correcciones a fallos y mejoras. Además, añade una serie de correcciones de seguridad – ve la lista abajo.

Estos fallos afectan a las versiones de WordPress 5.4.1 y anteriores; la versión 5.4.2 las corrige, así que querrás actualizar.

Si todavía no has actualizado a la versión 5.4, también hay versiones actualizadas para las versiones 5.3 y anteriores que corrigen los fallos por ti.

Actualizaciones de seguridad

Las versiones de WordPress 5.4 y anteriores están afectadas por los siguientes fallos, que se corrigen en la versión 5.4.2. Si todavía no has actualizado a la versión 5.4, también hay versiones actualizadas para las versiones 5.3 y anteriores que corrigen los problemas de seguridad.

  • Gracias a Sam Thomas (jazzy2fives) por descubrir un problema de XSS por el que los usuarios identificados con bajos privilegios podían añadir JavaScript a las entradas en el editor de bloques.
  • Gracias a Luigi – (gubello.me) por descubrir un problema de XSS por el que los usuarios identificados con permisos de subida podían añadir JavaScript a los archivos de medios.
  • Gracias a Ben Bidner, del equipo de seguridad de WordPress por descubrir un problema de redirección abierta en wp_validate_redirect().
  • Gracias a Nrimo Ing Pandum por descubrir un problema de identificación XSS desde las subidas de temas.
  • Gracias a Simon Scannell of RIPS Technologies por descubrir un problema por el que set-screen-option podía ser mal utilizado por plugins para conseguir escalado de privilegios.
  • Gracias a Carolina Nymark por descubrir un problema por el que los comentarios en entradas y páginas protegidas por contraseña podrían mostrarse en ciertas condiciones.

Gracias a todos los que habéis informado por haber avisado de modo privado de las vulnerabilidades. Esto da al equipo de seguridad tiempo para corregir las vulnerabilidades antes de que los sitios WordPress puedan ser atacados.

También se ha lanzado una actualización de mantenimiento para las versiones 5.1, 5.2 y 5.3. Revisa la nota para desarrolladores para más información.

Puedes ver la lista completa de cambios en el Trac.

Para más información revisa la lista completa de cambios en el Trac o echa un vistazo a la página de documentación de la versión 5.4.2.

WordPress 5.4.2 es una actualización de mantenimiento de ciclo corto. La siguiente versión mayor será la 5.5.

Puedes descargar WordPress 5.4.2 descargándola desde es.WordPress.org, o visitar tu Escritorio → Actualizaciones y hacer clic en Actualizar ahora.

Si tienes sitios compatibles con actualizaciones automáticas en segundo plano ya ha empezado el proceso de actualización.

¡Agradecimientos y reconocimientos!

Además de los investigadores de seguridad mencionados arriba, gracias a todos los que hay ayudado a que salga WordPress 5.4.2:

Andrea FerciaargentiteM Asif RahmanJb AudrasAyesh KarunaratnebdcstrDelowar HossainRob MigchelsdonmhicoEhtisham SiddiquiEmilie LEBRUNfinomenogarethgillmanGiorgio25bGabriel MaldonadoHector FIan BelangerAaron JorbinMathieu VietJavier CasaresJoe McGilljonkolbertJono AldersonJoyTammie ListerKjell ReigstadKTmarkusthielMayank MajejiMel Choyce-DwanmislavjuricMukesh PanchalNikhil BhansioakesjoshDominik SchillingArslan AhmedPeter WilsonCarolina NymarkStephen BernhardtSam FullaloveAlain SchlesserSergey BiryukovskarabeqDaniel RichardsToni ViemerösuzylahTimothy JacobsTeBenachiJake Spurlock y yuhin.

WordPress 5.4.1

¡Ya está disponible WordPress 5.4.1!

Esta actualización de seguridad y mantenimiento contiene 17 correcciones a fallos además de 7 correcciones de seguridad. Al ser una actualización de seguridad es recomendable que actualices tus sitios de inmediato. Todas las versiones desde WordPress 3.7 también se han actualizado.

WordPress 5.4.1 es una versión de mantenimiento de ciclo corto. La siguiente versión mayor será la 5.5.

Puedes descargar WordPress 5.4.1 descargándola desde es.WordPress.org, o visitar tu Escritorio → Actualizaciones y hacer clic en Actualizar ahora.

Si tienes sitios compatibles con actualizaciones automáticas en segundo plano ya ha empezado el proceso de actualización.

Actualizaciones de seguridad

Son siete problemas de seguridad que afectan a WordPress 5.4 y anteriores. Si no has actualizado todavía a la versión 5.4 también se han actualizado todas las versiones de WordPress desde la 3.7 para corregir los siguientes problemas de seguridad:

  • Gracias a Muaz Bin Abdus Sattar y Jannes que informaron independientemente de un problema por el que los tokens de restablecimiento de contraseña no se invalidaban correctamente
  • Gracias a ka1n4t por descubrir un problema por el que ciertas entradas privadas podián verse sin identificarse
  • Gracias a Evan Ricafort por descubrir un problema de XSS en el personalizador
  • Gracias a Ben Bidner del equipo de seguridad de WordPress, que descubrió un problema de XSS en el bloque de búsqueda
  • Gracias a Nick Daugherty del equipo de WordPress VIP  y de seguridad de WordPress, que descubrió un problema de XSS en wp-object-cache
  • Gracias a Ronnie Goodrich (Kahoots) y Jason Medeiros que informaron independientementne de un problema de XSS en las subidas de archivos.
  • Gracias a Weston Ruter por corregir una vulnerabilidad de XSS almacenado en el personalizador
  • Además, Nguyen de Duc descubrió un problema de XSS identificado en el editor de bloques en las versiones de WordPress 5.4 RC1 y RC2. Se corrigió en la 5.4 RC5. Queríamos estar seguros de agradecer y reconocer todo su trabajo para hacer que WordPress sea más seguro

Gracias a todos los que habéis informado por haber avisado de modo privado de las vulnerabilidades. Esto da al equipo de seguridad tiempo para corregir las vulnerabilidades antes de que los sitios WordPress puedan ser atacados.

Para más información revisa la lista completa de cambios en el Trac, o echa un vistazo a la página de documentación en HelpHub de la versión 5.4.1.

ADemás de los investigadores de seguridad mencionados arriba, gracias a todos los que han ayudado a que WordPress 5.4.1 esté disponible:

Alex ConchaAndrea FerciaAndrew DuthieAndrew OzzAndy FragenAndy PeatlingarnaudbroesChris Van PattenDaniel RichardsDhrRobDono12dudoEhtisham SiddiquiElla van DurpeGarrett HyderIan BelangerIpstenu (Mika Epstein)Jake SpurlockJb AudrasJohn BlackbournJohn James JacobyJonathan DesrosiersJorge CostaK. Adam WhiteKelly Choyce-DwanMarkRHmattyrobMiguel FonsecaMohammad JangdaMukesh PanchalNick DaughertynoahtallenPaul BironPeter WestwoodPeter Wilsonpikamander2r-a-yRiad BenguellaRobert AndersonSamuel Wood (Otto)Sergey BiryukovSøren BrønstedStanimir StoyanovtellthemachinesTimothy JacobsToro_Unit (Hiroshi Urabe)treecutteryohannp.

WordPress 5.2.4. Actualización de seguridad

¡Ya está disponible WordPress 5.2.4! Esta actualización de seguridad corrige 6 problemas de seguridad.

Las versiones de WordPress 5.2.3 y anteriores están afectadas por estos fallos, que se solucionan en la versión 5.2.4. También hay versiones actualizadas de WordPress 5.1 y anteriores para cualquier usuario que aúno no haya actualizado a la versión 5.2.

Actualizaciones de seguridad

  • Gracias a Evan Ricafort por descubrir un problema por el que un XSS almacenado (script de sitios cruzados) podría añadirse al personalizador.
  • Gracias a J.D. Grimes, quien descubrió y divulgó un método de ver entradas sin identificación.
  • Gracias a Weston Ruter por descubrir un modo de crear un XSS almacenado con el que se podría inyectar Javascript en las etiquetas de estilo.
  • Gracias a David Newman por desvelar un método para intoxicar la caché de las peticiones JSON GET mediante Vary: Origin header.
  • Gracias a Eugene Kolodenker, que descubrió una falsificación de peticiones en el servidor en el método en que se validaban las URLs.
  • Gracias a Bidner, del equipo de seguridad de WordPress, que descubrió problemas relacionados con la validación de referentes en la administración.

Gracias a todos los que han informando mediante la divulgación privada de las vulnerabilidades, por habernos dados tiempo a corregirlas antes de que hayan podido atacarse sitios WordPress.

Para más información revisa la lista completa de cambios en el trac, o echa un vistazo a la página de documentación de la versión 5.2.4.

WordPress 5.2.4 es una actualización de seguridad de ciclo corto. La siguiente versión mayor será la 5.3.

Puedes descargar WordPress 5.2.4 o visitar tu Escritorio → Actualizaciones y hacer clic en Actualizar ahora. Los sitios compatibles con las actualizaciones automáticas en segundo plano ya se están empezando a actualizar automáticamente.

Además de los investigadores de seguridad mencionados arriba, gracias a todos los que han contribuido a WordPress 5.2.4:

Aaron D. CampbelldarthhexxDavid BinovecJonathan DesrosiersIan DunnJeff PaulNick DaughertyKonstantin ObenlandPeter WilsonSergey BiryukovStanimir StoyanovGarth MortensenvortfuWeston RuterJake SpurlockAlex Concha.

WordPress 5.2.3, actualización de seguridad y mantenimiento

¡Ya está disponible WordPress 5.2.3!

Esta actualización de seguridad y mantenimiento incluye 29 correcciones y mejoras. Además, añade una buena cantidad de correcciones de seguridad – ve la lista abajo.

Estos fallos afectan a las versiones de 5.2.2 y anteriores; la versión 5.2.3 los corrige, así que querrás actualizar.

Si aún no has actualizado a la versión 5.2, también hay versiones actualizadas de la versión 5.0 y anteriores para ti que corrigen los fallos.

Actualizaciones de seguridad

  • Gracias a Simon Scannell de RIPS Technologies por descubrir y revelar dos problemas. El primero, una vulnerabilidad de scripts de sitios cruzados (XSS) descubierta en las vistas previas de entradas creadas por usuarios con perfil de colaborador. La segunda era también una vulnerabilidad de scripts de sitios cruzados en los comentarios almacenados. 
  • Gracias a Tim Coen por desvelar un problema por el que la validación y saneado de una URL podría llevar a una redirección abierta. 
  • Gracias a Anshul Jain por desvelar un XSS durante la subida de medios.
  • Gracias a Zhouyuan Yang de Fortinet’s FortiGuard Labs que reveló una vulnerabilidad XSS en las vistas previas de shortcodes.
  • Gracias a Ian Dunn del equipo de seguridad del núcleo de WordPress por descubrir y revelar un caso por el que podría haber un XSS en el escritorio.
  • Gracias a Soroush Dalili (@irsdl) de NCC Group por desvelar un problema con el saneado de URLs que podría llevar a ataques XSS.
  • Además de los cambios anteriores, también estamos actualizando jQuery en las versiones anteriores de WordPress. Este cambio se añadió en la versión 5.2.1 y ahora se está llevando a las versiones más antiguas. 

Puedes ver la lista completa de cambios en el Trac.

Para más información revisa la lista de cambios en el Trac o echa un vistazo a la página de documentación de la versión 5.2.3¡.

WordPress 5.2.3 es una actualización de mantenimiento de ciclo corto. La siguiente versión mayor será la 5.3.

Puedes descargar WordPress 5.2.3 desde el botón de la parte superior de esta página, o visitar tu Escritorio → Actualizaciones y hacer clic en Actualizar ahora.

Si tienes sitios compatibles con las actualizaciones automáticas en segundo plano ya hemos empezado el proceso de actualización.

¡Agradecimientos y reconocimientos!

Esta versión aúna colaboraciones de más de 62 personas. ¡Gracias a todos los que habéis hecho posible esta actualización!

Adam SilversteinAlex ConchaAlex GollerAndrea FerciaAndrew DuthieAndrew OzzAndy FragenAshish ShuklaAslam Shekhbackermann1978Catalin DogaruChetan PrajapatiChris ApreaChristoph Herrdan@micamedia.comDaniel LlewellyndonmhicoElla van DurpeepiquerasFencer04flaviozavanGarrett HyderGary Pendergastgqevu6bsizHardik ThakkarIan BelangerIan DunnJake SpurlockJb AudrasJeffrey PauljikamensJohn BlackbournJonathan DesrosiersJorge Costa, karlgrovesKjell ReigstadlaurelfulfordMaje Media LLCMartin SpatovaliyskiMary BaumMonika RaoMukesh Panchalnayana123Ned ZimmermanNick DaughertyNilambar SharmanmenescardiPaul Vincent BeigangPedro MendonçaPeter WilsonSergey BiryukovSergey PredvoditelevSharaz ShahidStanimir StoyanovStefano MinoiaTammie ListertellthemachinestmatsuurVaishali PanchalvortfuWill West, y yarnboy.

WordPress 5.2 «Jaco»

Para que los sitios sean más seguros

La versión 5.2 de WordPress, denominada «Jaco» en honor al renombrado y revolucionario bajista de jazz Jaco Pastorius, está disponible para descargar o actualizar en el escritorio de tu WordPress.

Las nuevas características de esta actualización hacen que sea más fácil que nunca arreglar tu sitio si algo va mal.

Tiene herramientas aún más robustas para identificar y corregir problemas de configuración y errores fatales.

Tanto si eres un desarrollador que ayuda a clientes como si gestionas tu sitio en solitario, estas herramientas pueden ayudarte a obtener la información correcta cuando la necesites.

Comprobación de salud del sitio

Basada en las características de salud del sitio introducidas en la versión 5.1, esta versión añade dos nuevas páginas para ayudar a depurar problemas de configuración comunes.

También añade un espacio donde los desarrolladores pueden incluir información de depuración para los mantenedores del sitio.

Protección de errores PHP

Esta actualización centrada en el administrador te permitirá corregir o gestionar errores fatales de forma segura sin que necesites tiempo del desarrollador.

Ofrece una mejor gestión de la llamada «pantalla blanca de la muerte» y una forma de entrar en el modo de recuperación, que pone en pausa los plugins o temas que causen errores.

Mejoras para todos

Actualizaciones de accesibilidad

Una serie de cambios combinados para mejorar el conocimiento contextual y el flujo de navegación por el teclado para aquellos que utilizan lectores de pantalla y otras tecnologías de asistencia.

Nuevos iconos de escritorio

Trece nuevos iconos, incluido el de Instagram, un paquete de iconos para BuddyPress, e iconos de la tierra en rotación para una inclusión global. ¡Descúbrelos en el escritorio y diviértete!

Comprobaciones de compatibilidad de plugins

Ahora WordPress determinará automáticamente si la versión de PHP de tu sitio es compatible con los plugins instalados.

Si el plugin requiere una versión superior de PHP de la que usa tu sitio, WordPress no te permitirá activarlo, evitando así potenciales errores de compatibilidad.

Felicidad para el desarrollador

Evolución de versión de PHP

La versión mínima compatible con PHP es ahora la 5.6.20. ¡A partir de WordPress 5.2*, los temas y plugins pueden aprovechar con seguridad los «namespace», funciones anónimas y mucho más!

Actualizaciones en la privacidad

Una nueva plantilla de página para los temas, una función condicional y dos clases CSS facilitan el diseño y la personalización de la página de política de privacidad.

Nuevo gancho en la etiqueta «body»

La versión 5.2 introduce un gancho wp_body_open, que permite que los temas sean compatibles con la inyección de código justo al principio del elemento <body>.

Compilación de JavaScript

Con la incorporación de las configuraciones webpack y Babel en el paquete wordpress/scripts, los desarrolladores no tendrán que preocuparse de configurar herramientas de compilación complejas para escribir JavaScript moderno.

*Si estás ejecutando u na versión de PHP antigua (menor que la 5.6.20), actualiza tu PHP  antes de instalar la versión 5.2.

El equipo

Esta versión la lideraron Matt MullenwegJosepha Haden Chomphosy, y Gary Pendergast. Tuvieron el valioso apoyo de 327 generosos contribuidores voluntarios. Pon una lista de Jaco Pastorius en tu servicio de música favorito y echa un vistazo a sus perfiles:

Aaron D. CampbellAaron JorbinAdam SilversteinAdam SoucieAdil ÖztaşerAjit BohraAlain SchlesseraldavigdisAlex DenningAlex KirkAlex MillsAlex ShielsAlexisAlexis LloydallancoleAllen SnookAndréAndrésandraganescuAndrea FerciaAndrea MiddletonAndrei LupuAndrew DixonAndrew DuthieAndrew NacinAndrew OzzAndrey «Rarst» SavchenkoAndy FragenAndy MeerwaldtAniket PatelAnton TimmermansAnton VanyukovAntonio VillegasantonypuckeyAristeides StathopoulosAslam ShekhaxaakBego Mario GardeBen DunkleBen Ritner – Kadence ThemesBenjamin IntalBill EricksonBirgir ErlendssonBodo (Hugo) BarwichbongerBoone GorgesBradley TaylorBrandon KraftBrent SwisherbulletdigitalBurhan NasirCathi BoscoChetan PrajapatiChiara MagnaniChoubyChris Van PattenD.S. WebsterDamon CookDaniel BachhuberDaniel JamesDaniel LlewellynDaniel RichardsDaniele ScasciafratteDarren Ethier (nerrad)Dave WhitleyDaveFXdavetgreenDavid BaumwaldDavid BinovecDavid BinovecDavid HerreraDavid RoddickDavid SmithDavide ‘Folletto’ CasalidekervitDenis de BernardyDennis SnellDerek HermanDerrick HammerdesignsimplyDhanukanuwanDharmesh PatelDianediegoreymendezDilip BhedaDimaDion HulseDixita DusaraDmitry MayorovDominik SchillingDrew JaynesdsiffordElla van DurpeetoledomfabiankaegyFaisal AlviFarhad SakhaeiFelix ArntzFranklin TseFuegasGarrett HyderGary JonesGennady KovsheninGirish PanchalGrzegorz (Greg) ZiółkowskiGuido ScialfaGutenDev,  Hannah MalcolmHardik AmiparaHardik ThakkarHendrik LuehrsenHenryHenry WrightHooverIan BelangerIan Dunnice9jsIgor ZinovyevimathIxiumJ.D. GrimesjakeparisJamesjanak KaneriyaJarred KennedyJavier VillanuevaJay UpadhyayJaydip RamiJayman PandyajdeeburkeJean-Baptiste AudrasJeff PaulJeffrey de WitJenny WongJeremy FeltJeremy GreenJeremy Hervejitendrabanjara1991JJJJoe DolsonJoe McGillJoen AsmussenJohan FalkJohanna de VosJohn BlackbournJonathan DesrosiersJonathandejongjoneisemanJonny HarrisjonnybojanglesJoost de ValkjordesignJorge BernalJorge CostaJory HogeveenJose CastanedajosephwaJosh FeckJoshuaWoldJoyjploJR TashjianjrfJuhi PateljuliarrrK. Adam WhiteKamataRyoKarine DoKatyatinaKelin ChauhanKelly DwanKhokan Sardarkillua99KiteKjell ReigstadKnut SparhellKoji KunoKonstantin ObenlandKonstantinos XenosKʜᴀɴ (ಠ_ಠ)laurelfulfordlkraavLuke CarbisLuke GedeonLuke PettwayMaedah BatoolMaja BenkeMalaeManzoor WaniMarcinMarcin PietrzakMarco PeraltamarcofernandesMarcus KazmierczakmarekhrabeMarius JensenMariyan BelchevMark UrainemarkcallenMarkus EchterhoffMarty HelmickmarybaummattnyeusmdwolinskiMeet MakadiaMel ChoycemheikkilaMicah WoodmichelleweberMiguel FonsecaMiguel TorresMikael KorpelaMike AuteriMike Schinkel [WPLib Box project lead]Mike SchroderMike SelanderMikeNGarrettMilan DinićmirkaMobin GhasempoorMohadese GhasemiMohammed SaimonMorten Rand-HendriksenMorteza GeransayehMuhammad MuhsinMukesh PanchalMustafa UysalmzorzNahid F. MohitNaoki OhashiNate AllenNed ZimmermanNeokazis CharalamposNick CernisNick DiegoNick HalseyNidhi JainNiels LangenielsdeblaauwNikolay NikolovNilambar SharmaninionotnownikkipandeliszparagoninitiativeenterprisesPascal BirchlerPaul BearnePaul BironPedro MendonçaPeter BookerPeter Wilsonpfiledpilou69Pranali PatelPratik K. YadavPresskopppsealockPunit PatelRachel CherryRahmonRamananRami YushuvaevRamiz MankedramonopolyRiad BenguellaRinat KhazievRobert AndersonRudy SusantoRyan BorenRyan WelcherSaeed FardSal FerrarelloSamaneh MirrajabiSami KeijonenSamuel ElhSantiago GarzaSara Copesaracupsarah semarkScott ReillySebastian PisulaSekineh EbrahimzadehSergey BiryukovSergioEstevaosgastardsharifkiberushazdehShital Marakanasky_76Soren WredeStephen EdgarSteven WordSubrata SarkarSudar MuthuSudhir Yadavszepe.viktorTakayuki MiyauchiTammie ListerThemonicthomstarkThorsten FrommenThrijith ThankachanTim HedgefieldTim WrightTimothy JacobstimphtmatsuurtmdesignedtmdesignedTobias ZimpelTomHarriganTor-Bjorn FjellnerToro_Unit (Hiroshi Urabe)torres126Torsten LandsiedelTowhidul IslamTracy LevesqueUmang BhanvadiaVaishali PanchalWebFactoryWeston RuterWilliam ‘Bahia’ BayWilliam EarnhardtwilliampattonWillscrltWolly aka Paolo Valentiwrwrwr0Yoav FarhiYuiZebulan Stanphill.

También, muchas gracias a todos los voluntarios de la comunidad que contribuyen en los foros de soporte.

Responden preguntas de gente de todo el mundo, ya estén usando WordPress por primera vez o desde la última versión.

¡Estas actualizaciones tienen más éxito gracias a su esfuerzo!

Si quieres saber más acerca de cómo participar como voluntario, pásate por nuestra página de colaboración, echa un vistazo a Make WordPress o al blog de desarrollo del núcleo.

¡Gracias por elegir WordPress!

WordPress 5.1.1, actualización de seguridad y mantenimiento

¡Ya está disponible WordPress 5.1.1! Esta actualización de seguridad y mantenimiento introduce 10 correcciones y mejoras, incluyendo cambios diseñados para ayudar a los servidores a preparar a los usuarios para el salto a la versión mínima de PHP que llegará en la versión 5.2.

Esta versión también incluye un par de correcciones de seguridad que se ocupan de cómo se filtran los comentarios y luego se almacenan en la base de datos. Con un comentario malintencionado, una entrada de WordPress era vulnerable a los scripts entre sitios.

Las versiones 5.1 y anteriores de WordPress están afectadas por estos errores, que se han corregido en la versión 5.1.1. Las versiones actualizadas de WordPress 5.0 y anteriores también están disponibles para cualquier usuario que aún no haya actualizado a la versión 5.1.

Gracias a Simon Scannell de RIPS Technologies, quien descubrió este defecto independientemente de algún trabajo que estaban haciendo los miembros del equipo de seguridad principal. Gracias a todos los que han informado por revelar en privado las vulnerabilidades, lo que nos dio tiempo para arreglarlas antes de que los sitios de WordPress pudieran ser atacados.

Otros aspectos destacados de esta versión incluyen:

  • Los servidores ahora pueden ofrecer un botón para que sus usuarios actualicen PHP.
  • Ahora se puede filtrar la versión recomendada de PHP utilizada por el aviso de «Actualiza PHP».
  • Se han corregido varios errores menores.

Puedes revisar la lista completa de cambios en el trac.

WordPress 5.1.1 ha sido una actualización de ciclo corto. Se espera que la versión 5.1.2 siga una cadencia de lanzamiento similar de dos semanas.

Puedes descargar WordPress 5.1.1 o visitar tu Escritorio → Actualizaciones y hacer clic en Actualizar ahora. Los sitios compatibles con las actualizaciones automáticas en segundo plano ya están empezando a actualizarse automáticamente.

Además de al investigador de seguridad mencionado arriba, gracias a todos los que han contribuido a WordPress 5.1.1:

Aaron JorbinAlex ConchaAndrea FerciaAndy FragenAnton VanyukovBen BidnerbulletdigitalDavid BinovecDion HulseFelix ArntzGarrett HyderGary PendergastIan DunnJake SpurlockJb AudrasJeremy FeltJohan FalkJonathan DesrosiersLuke CarbisMike SchroderMilan DinićMukesh PanchalPaul BironPeter WilsonSergey BiryukovWeston Ruter.

WordPress 5.1 «Betty»

Un poco mejor cada día

La versión 5.1 de WordPress, denominada «Betty» en honor a la aclamada vocalista de jazz Betty Carter ya está disponible para descarga o para que la actualices en tu escritorio de WordPress.

Después de WordPress 5.0— una gran versión que introdujo el nuevo editor de bloques— la versión 5.1 se centra en pulir, en concreto mejorando el rendimiento global del editor. Además, esta versión asienta el camino para un WordPress más seguro, rápido y mejor, con algunas herramientas esenciales para administradores y desarrolladores de sitios.

Salud del sitio

Teniendo en cuenta la seguridad y la rapidez, esta version introduce la primera característica de salud del sitio de WordPress. WordPress comenzará a mostrar avisos a los administradores de sitios que ejecuten versiones obsoletas de PHP, el lenguaje de programación que utiliza WordPress.

Al instalar nuevos plugins, la características de la salud del sitio de WordPress comprobarán si un plugin requiere una versión de PHP que es incompatible con tu sitio. En ese caso, WordPress evitará que instales ese plugin.

Rendimiento del editor

Añadido en WordPress 5.0, el nuevo editor de bloques sigue mejorando. Más importante aún, WordPress 5.1 incluye sólidas mejoras de rendimiento dentro del editor. El editor debería notarse más rápido al iniciar, y al escribir, sentirse más fluido. Sin embargo, se esperan más mejoras de rendimiento en la siguiente versión.

Felicidad para el desarrollador

Metadatos de multisitio

La versión 5.1 añade una nueva tabla a la base de datos para almacenar metadatos asociados a sitios y permite el almacenamiento de datos relevantes de un sitio concreto en un multisitio / red.

API del Cron

Se ha actualizado la API del Cron nuevas funcionalidades para ayudar con la recepción de datos e incluye nuevos filtros para modificar el almacenamiento del Cron. Otros cambios en el comportamiento afectan al inicio del Cron en servidores que ejecutan FastCGI y PHP-FPM en versiones 7.0.16 y superiores.

Nuevos procesos de construcción de JS

WordPress 5.1 presenta una nueva opción de creación de JavaScript, tras la gran reorganización de código iniciada en la versión 5.0.

Otras ventajas para el desarrollador

Algunas de las mejoras incluyen:

  • Actualizaciones de los valores de la constante WP_DEBUG_LOG
  • Una nueva constante en el archivo de configuración de pruebas del paquete de pruebas
  • Nuevos ganchos de acción de los plugins
  • Filtros de cortocircuito para wp_unique_post_slug(), para WP_User_Query y para count_users()
  • Una nueva función human_readable_duration
  • Saneado mejorado de la caja meta de taxonomías
  • Compatibilidad limitada de LIKE con las claves meta cuando usan WP_Meta_Query
  • Un nuevo aviso de «haciendo algo incorrecto» cuando se registran las variables de las APIs de la REST
  • … ¡y mucho más!

El equipo

Esta versión la lideró Matt Mullenweg, junto con Gary Pendergast como reorganizador senior del código y poeta. Recibieron una maravillosa ayuda de los siguientes 561 colaboradores para este lanzamiento, ¡231 de los cuales estaban haciendo su primera contribución! Pon algo de Betty Carter en tu servicio de música preferido, y echa un vistazo a algunos de sus perfiles:

0x6f012655785191naveengiri360zenaardrianAaron JorbinAbdullah RamzanAbhay VishwakarmaAbhijit RakasAchal JainachbedAdam SilversteinAjit BohraAlain SchlesseraldavigdisalejandroxlopezAlexAlex ShielsAlexander BotteramAlexandru VornicescualexgsoAllallancoleAllen SnookAlvaro Gois dos SantosAna CirujanoAnantajit JGAndrésAndrea FerciaAndrea GandinoAndrea Middletonandrei0x309andreiglingeanuAndrew DuthieAndrew LimaAndrew NacinAndrew NevinsAndrew OzzAndrey SavchenkoAndy FragenAndy MeerwaldtAngelika ReisigerAntal TettingerantipoleAnton TimmermansAntonio VillegasantonioeatgoatAnwer ARArunAshar Irfanashokrd2013Ayesh KarunaratneAyub AdiputraBarry CeelenBehzod SaidovBen ByrnebenhubermanBenoit ChantrebenvaassenBhargav MehtabikecrazyyBirgir ErlendssonBjornWBlair jersyerblobBlobfoliobobbingwideboblinthorstBoone GorgesBoro SitnikovskiBrad ParbsBradleybramheijminkBrandon KraftBrandon PaytonBrent SwisherBrian RichardsbridgetwillardBrooke.bruceallenBurhan NasirBytes.coCaleb BurksCalin DoncampusboycarolinegevenccismaruchasewgChetan PrajapatiChoubyChriCochriscct7Christopher SpiresclaudiuClifford PaulickCode Cliniccodegraucolehconner_bwCorey McKrillcroceCsaba (LittleBigThings)Cyrus CollierDaniel BachhuberDaniel JamesDaniel KoskinenDaniel RichardsDaniele ScasciafrattedanimalbrownDanny CooperDanny de HaanDarko A7Darren Ethier (nerrad)Dave PulligDavid A. KennedyDavid AndersonDavid BinovecDavid CramerDavid HerreraDavid LingrenDavid ShanskeDavid StonedekervitDenis YanchevskiyDennis SnelldesignsimplydfangstromDhanendranDharmesh PatelDhaval kasavalaDhruvinDiedeExterkateDilip Bhedadingo-dDion HulsedipeshkakadiyaDominik SchillingDonncha O CaoimhdontstealmyfishDrew JaynesDrivingralledschalkdsiffordeamaxeArtboardedo888edocevElectricFeetElla Van DurpeEric Andrew LewisEric DaamsErich MunzErick HitterericmeyeretoledomEvan SolomonEvangelos AthanasiadisevereveryoneFaisal AlviFelipe EliaFelix ArntzFernando ClaussenflipkeijzerFlorian TIARfolioFPCSJamesFrank KleinfrOMfuchswsfullyintGabriel MaldonadoGarethGarrett HyderGary JonesGennady KovsheninGerhard PotgieterGirish PanchalGM_AlexgnifgraymousergregGrzegorz (Greg) ZiółkowskiGuidoGutenDevHafiz RahmanHai@LiteSpeedHans-Christiaan BraunHardeep AsraniHardik AmiparaHarsh PatelharuharuharubyHeather BurnsHelen Hou-SandiHenry WrightHerre GroenhitendraHitendra ChopdaIan BelangerIan DunnibantxilloIgnacio Cruz MorenoIgorIgor BenicimathionvvIrene Strikkersisabel104ishitakaIvan MudrikJ.D. GrimesJack ReichertJacob PeattieJames Nylenjanak KaneriyajanalwinJanki MoradiyajanthielJason CaldwelljavorszkyJaydip RamiJayman PandyaJb AudrasJeff FarthingJeffrey de WitJeffrey PaulJennifer M. DoddJennyJeremeyJeremy FeltJeremy HerveJeremy PryJeremy ScottJesper V NielsenJesse FriedmanJimmy ComackJip MoorsJiri HonJJJjoanrhoJobJoe Bailey-RobertsJoe DolsonJoe HoyleJoe McGillJoel JamesJoen AsmussenJohn BlackbournJohn GodleyjohnalarconjohnpgreenjohnschulzJonathan ChampJonathan DesrosiersjoneisemanJonny HarrisJoost de ValkJorge CostaJoseph ScottJoshuaWoldJoyjpurdy647jrdelarosajryancardJuhi PatelJulia AmosovajuliemoynatJuliette Reinders FolmerJunaid AhmedJustin SaintonJustin SternbergJustin TadlockK.Adam WhitekapteinblufkeesiemeijerKelly DwankelvinkkhaihongKiran PotphodeKitekjellrkkarpieszukkmezeKnut SparhellkonainmKonstantin ObenlandKonstantinos XenoskristastevenskrutidugadelagheeLaken HafnerLance WillettlaurelfulfordlbenicioLeander IversenleemonlenasterglisannekluitmanslizkarkoskiLuca GrandicelliLucasRolffLuciano CroceLuminusMário ValneymaartenleendersmacbookandrewMaja BenkeMakomallorydxw-oldManuel Augustinmanuel_84Marc Niliusmarcelo2605Marco Martinsmarco.marsalaMarcus Kazmierczakmarcwieland95Marius L. J.mariusvwMariyan BelchevMark JaquithMathieu SarrasinmathieuhaysMatt CromwellMatt GibbsMatt MartzMatthew BoynesMatthew Riley MacPhersonmattyrobmcmwebsolMel ChoycemensmaximusmermelmetalandcoffeeMicah WoodMichael NelsonMichiel HeijmansMigrated to @sebastienserreMiguel FonsecaMiguel TorresmihaiiceyromihdanMike GillihanMike JolleyMike SchroderMilan DinićMilan IvanovicMilana CapMilind MoremirkoschubertMonika RaoMonique Dubbelmanmoto hachi ( mt8.biz )mrmadhatMuhammad KashifMukesh PanchalMultiformeIngegnoMuntasir MahmudmunyaguMyThemeShopmzorznadim0988nandorskyNaoki OhashiNaoko TakanonataliashitovaNate AllenNathan JohnsonndavisonNed ZimmermanNextendwebNick DiegoNick HalseyNick MomrikNick the GeekNicolas FigueiraNicolas GUILLAUMENicolle HelgersNidhi JainNiels LangeNikhil ChavanNilambar SharmaNoam EppelnotnownikkiodysseyOmar ReissOmkar BhagatonothersOv3rflyPaal Joachim RomdahlpalmiakpanchenparbaughParham GhaffarianPascal BirchlerPascal CasierPaul BearnePaul BironPaul ParadisePaul SchreiberPerdaanPeter PutzerPeter WilsonPetter Walbø JohnsgårdPierre SaïkaliPieter DaalderPiyush PatelpoenaPramod JodhaniPrashant BaldhaPratik K. YadavPratik K. YadavpreciesPresskoppPresslabsPressTigersprogramminPunit PatelPurnendu DashqcmiaoRachel BakerRachel CherryRachel PeterRafsun ChowdhuryRahul PrajapatiRaja MohammedRamananRami YushuvaevRamiz MankedramonopolyRavanHredcastorremyvvrensw90rhetoricalRiad BenguellaRian RietveldRichard TapeRicky Lee WhittemoreRinku YRishi ShahRobbierobdxwRobert AndersonRobin CornettRobin van der VlietRyan McCueRyan PaulRyan WelcherryotsunSébastien SERRESašasagarnasitSami Ahmed SiddiquiSami KeijonenSamuel Wood (Otto)sarah semarkSayed TaquiScott LeeScott ReillySean HayesSebastian KurzynoswkiSebastian PisulaSergey BiryukovShamim HasanShane EckertSharaz ShahidShashwat MittalShawn HoopersherwoodShital MarakanaShiva PoudelSimon ProsserSjardoskoldinslilleyslushmanSonja LeixsonjanycSoren WredespartankspyderbytesStanimir StoyanovStanko MetodievstazdotioStephen EdgarStephen HarrisstevenlinxStorm RockwellStoyan KostadinovstrategioSubrata SarkarSultan Nasir UddinswiftTakahashi FumikiTakayuki MiyauchiTammie ListerTaylor LovettteddytimeTerri AnnterwdantharsheblowstheThemeZeeThomas Patrick LevyThomas VitalethomaswmThorsten FrommenThrijith ThankachanTiago HillebrandttigertechTim HavingaTim HengeveldTimmy CrawfordTimothy JacobstitodeveraTkamatoTobias ZimpelTom J NowellTomHarriganTommytonybogdanovTor-Bjorn FjellnerTorontoDigitsToshihiro KanaiTowhidul Islamtransl8orUlrichupadalavipulUsman KhalidUtsav tilavauttam007Vaishali PanchalValérie GalassivalchovskivishaldodiyavnsavagevoneffwarmlaundrywbrubakerWeston RuterwhoWill KwonWilliam EarnhardtwilliampattonwpcswpzincxhezairiYahil MadakiyaYoav FarhiYuiYuriVZane Matthew y zebulan.

Para finalizar, gracias a toda la comunidad de traductores que han trabajado en WordPress 5.1, por sus esfuerzos haciendo que WordPress 5.1 esté totalmente traducido a 34 idiomas en el momento del lanzamiento, y más en camino.

Si quieres seguir ayudando echa un vistazo a Make WordPress y a nuestro blog de desarrollo del núcleo.

¡Gracias por elegir WordPress!

WordPress 5.0.1, actualización de seguridad

Ya está disponible WordPress 5.0.1. Es una actualización de seguridad para todas las versiones desde WordPress 3.7. Te recomendamos encarecidamente que actualices tus sitios inmediatamente.

Se recomienda a los autores de plugins que lean las notas para desarrolladores de la versión 5.0.1 para obtener información sobre la compatibilidad con versiones anteriores.

Las versiones 5.0 y anteriores de WordPress están afectadas por los siguientes errores, que se han corregido en la versión 5.0.1. Las versiones actualizadas de WordPress 4.9 y versiones anteriores también están disponibles, para los usuarios que aún no han actualizado a la versión 5.0.

Gracias a todos los que han informado, por revelar en privado las vulnerabilidades, lo que nos dio tiempo para arreglarlas antes de que los sitios WordPress pudieran ser atacados.

  • Karim El Ouerghemmi descubrió que los autores podían alterar metadatos para borrar archivos para los que no estaban autorizados.
  • Simon Scannell de RIPS Technologies descubrió que los autores podían crear mensajes de tipos de mensajes no autorizados con información especialmente diseñada.
  • Sam Thomas descubrió que los contribuidores podían crear meta datos de modo que resulte en una inyección de objetos PHP.
  • Tim Coen descubrió que los contribuidores podían editar nuevos comentarios de usuarios con mayores privilegios, lo que potencialmente generaría a una vulnerabilidad de secuencias de comandos entre sitios.
  • Tim Coen también descubrió que las entradas de URL especialmente diseñadas podrían conducir a una vulnerabilidad de secuencias de comandos entre sitios en algunas circunstancias. WordPress en sí no se vio afectado, pero los plugins pueden estarlo en algunas situaciones.
  • El equipo Yoast descubrió que la pantalla de activación de usuarios podía ser indexada por los motores de búsqueda en algunas configuraciones poco comunes, lo que llevaba a la exposición de las direcciones de correo electrónico, y en algunos casos raros, contraseñas generadas por defecto.
  • Tim Coen y Slavco descubrieron que los autores de sitios servidos por Apache podían subir archivos específicamente diseñados para evitar la verificación MIME, lo que provocaba una vulnerabilidad de scripting entre sitios.

Descarga WordPress 5.0.1, o ve a «Escritorio → Actualizaciones» y haz clic en «Actualizar ahora». Los sitios compatibles con actualizaciones automáticas en segundo plano ya están comenzando a actualizarse automáticamente.

Además de los investigadores de seguridad mencionados anteriormente, gracias a todos los que contribuyeron a WordPress 5.0.1:

Alex ShielsAlex ConchaAnton TimmermansAndrew OzzAaron CampbellAndrea MiddletonBen BidnerBarry AbrahamsonChris ChristoffDavid NewmanDemitrious KellyDion HulseHannah NotessGary PendergastHerre GroenIan DunnJeremy FeltJoe McGillJohn James JacobyJonathan DesrosiersJosepha HadenJoost de ValkMo JangdaNick DaughertyPeter WilsonPascal BirchlerSergey Biryukov y Valentyn Pylypchuk.

WordPress 4.9.7, actualización de seguridad y mantenimiento

Ya está disponible WordPress 4.9.7. Es una actualización de seguridad y mantenimiento para todas las versiones desde WordPress 3.7. Te animamos a que actualices tus sitios inmediatamente.

Las versiones de WordPress 4.9.6 y anteriores están afectadas por un problema con los medios que podría, potencialmente, permitir a un usuario con ciertas capacidades tratar de borrar archivos fuera del directorio de subidas.

Gracias a Slavco por informar del problema original y a Matt Barry por informar de problemas relacionados.

Se han solucionado otros diecisiete fallos en WordPress 4.9.7. Anotamos aquí estos en particular:

  • Taxonomía: Mejora de la gestión de caché en las peticiones de términos.
  • Entradas, tipos de contenido: Limpieza de la cookie de contraseña perdida al salir de la sesión.
  • Widgets: Se permiten etiquetas HTML básicas en las descripciones de la barra lateral en la pantalla de administración de widgets.
  • Escritorio de eventos de la comunidad: Siempre se muestra la WordCamp cercana siguiente, aunque haya varias meetups antes.
  • Privacidad: Nos aseguramos de que el contenido por defecto de la política de privacidad no provoque un error fatal al modificar las reglas de rewrite fuera del contexto de la administración.

Descarga WordPress 4.9.7 o pásate por Escritorio → Actualizaciones y haz clic en “Actualizar ahora.” Los sitios compatibles con actualizaciones automáticas de fondo ya se están empezando a actualizar automáticamente.

La anteriormente programada como 4.9.7 ahora será la 4.9.8, y seguirá la programación de lanzamiento publicada ayer.

Gracias a todos los que han contribuido a WordPress 4.9.7:

1naveengiriAaron JorbinabdullahramzanalejandroxlopezAndrew OzzArunBirgir Erlendsson (birgire)BjornWBoone GorgesBrandon KraftChetan PrajapatiDavid HerreraFelix ArntzGarethIan DunnibelangerJohn BlackbournJonathan DesrosiersJoykhaihonglbenicioLeander IversenmermelmetalandcoffeeMigrated to @jeffpaulpalmiakSergey BiryukovskoldinSubrata SarkarTowhidul Islamwarmlaundry, y YuriV.