WordPress es seguro (parte 4/4)

Ya sabemos que WordPress es seguro, cómo mantenerlo actualizado y además como incrementar su seguridad. Ahora lo que nos queda saber es qué hacer en un caso de desastre total…

Prevenir antes que curar

Ya lo dice el refrán: más vale prevenir que curar. Y de esto va la información que vas a encontrar aquí. Como se decía al inicio, anteriormente hemos escrito sobre cómo incrementar la seguridad, pero no siempre es un problema de seguridad el que un sitio WordPress se rompa. Puede haber muchos factores, algo tan sencillo como que la máquina donde está tu web se estropee.

Para evitar llegar a un extremo al que no quiere nadie llegar, lo que vamos a tener que preparar es un sistema de plan de contingencia.

El plan de contingencia

Como en muchas situaciones, hemos de ponernos en lo peor, y en el caso de WordPress, es que nuestro sitio deje de funcionar o se borre, o nos lo consigan manipular y podamos llegar a perder la información.

Para esto debemos tener un plan de contingencia que puede ser de muchos niveles. Y que podríamos dividir en 3 niveles: copias de seguridad, sistemas redundados y alta disponibilidad.

Las copias de seguridad

Este es el sistema mínimo y básico que hemos de tener para nuestro WordPress. Por ahora WordPress no dispone de un sistema propio de copias de seguridad, por lo que necesitamos depender de un sistema tercero para realizar esas copias.

¿Qué hemos de copiar y guardar? Básicamente 4 elementos:

  • El programa (software). Es el contenido que incluye el núcleo de WordPress, los plugins y temas, además de todos los contenidos media que hayas podido subir.
  • La información (base de datos). En la base de datos se almacenan los contenidos y configuraciones de tu sitio, tus páginas, entradas y otros contenidos que hayas podido guardar y publicar.
  • La configuración del servidor web. Dependiendo del sistema que uses (Apache, nginx) pueden ser unos contenidos u otros. El más conocido es el fichero .htaccess. En caso de duda, consulta con tu proveedor de hosting para que te indique qué ficheros deberías guardar.
  • Los certificados TLS. Aunque los certificados se pueden regenerar, lo mejor es tener disponible y guardados los ficheros de los certificados para poder configurarlos de nuevo en caso extremo.

Para hacer copias de seguridad tenemos varias opciones. La primera de ellas suele estar en el proveedor de hosting, que suele disponer de sistemas propios para hacer copias de todo nuestro sitio y configuración. Es importante saber y preguntar cómo y qué se puede recuperar en caso de un desastre y haya que restaurarla, ya que en algunos casos se podrá recuperar fichero a fichero y en otros se tendrá que sobrescribir toda la información, perdiendo la información nueva que haya habido entre la copia y el momento actual.

En otros casos podemos configurar un plugin de copias de seguridad de los que hay en el repositorio de WordPress y que puedes encontrar entre los plugins etiquetados como backup.

Como última opción, siempre puedes realizar la copia manualmente. Por ejemplo, descargando los ficheros por FTP, la base de datos con algún panel del tipo a phpMyAdmin y el resto de las configuraciones dependerán del sistema o del hosting.

Existe una alternativa que es la de crear copias instantáneas de volumen (snapshots) en los que se hace una copia puntual en el tiempo de cómo se encuentra el sistema. En estos casos, a la hora de realizar la restauración podemos sobrescribir el sistema actual con el de ese momento, o podemos montar un nuevo sistema, acceder y recuperar la información que requiramos.

Sistemas redundados

Un sistema redundado es aquel en el que en realidad tienes dos o más veces tu WordPress funcionando, pero sólo lo hace uno a la vez. Además, estas instalaciones están configuradas mediante un sistema primario-secundario, en el que hay una instalación principal, y cualquier cambio que se haga, se va heredando al resto de versiones.

En caso de que el WordPress principal falle, pasaría a ponerse en marcha de forma manual o automática la segunda edición del sitio.

Normalmente estos sistemas se encuentran distribuidos o federados para no encontrarse físicamente en el mismo lugar. Por ejemplo, si hay un corte de electricidad en un centro de datos, se mandaría a los usuarios a otros centros de datos en otras localizaciones.

En cualquier caso, estos sistemas ya suelen tener sus propios mecanismos para hacer copias de seguridad de forma recurrente.

Alta disponibilidad

Sin duda es el sistema óptimo, pero el más complejo y caro (de precio) ya que requiere de bastante inversión y recursos.

En este caso, tendríamos varias copias de nuestro sitio web funcionando a la vez, en distintas localizaciones, y a los usuarios se les manda de forma independiente a cualquiera de ellas. Por norma general, para que esto funcione al menos ha de haber 3 localizaciones. De la misma manera que el caso anterior, aquí también es imprescindible tener copias de seguridad ya que toda la información se copia y replica a la vez en todos los sistemas.

WordPress es seguro (parte 3/4)

Previamente hemos visto cómo es la seguridad de WordPress y cómo realizar tareas de actualización.

¿Podemos hacer WordPress más seguro?

Sí, siempre se puede.

Navegando de forma segura con HTTPS

Hasta hace un tiempo las páginas web comenzaban mayormente por HTTP://. Este es el protocolo por el que se pueden ver las páginas web de forma “normal”. Porque existe otro sistema, ahora muy habitual, que es el de HTTPS://. Este sistema con esa S extra; una S de seguro. Es lo mismo que antes, pero la información va cifrada.

La diferencia entre un sistema y otro es que la información que va desde tu navegador hasta el servidor web (donde se encuentra la web), y del servidor web a tu navegador, en el segundo caso va cifrado mediante un certificado TLS (anteriormente SSL). Esto hace que todos los contenidos que van y vienen no puedan ser interceptados con ataques de intermediario o eavesdropping.

Si tu sitio web no aparece por defecto con https://, te recomendamos que escribas a tu empresa de hosting para preguntarles cómo conseguir hacerlo, ya que con un certificado Let’s Encrypt se puede hacer de forma sencilla y gratuita.

Usando contraseñas seguras

Cuando creas o te crean un usuario en WordPress suele aparecerte una contraseña “rara”. Esta contraseña suele tener letras en mayúsculas, en minúsculas, con números y símbolos. Una contraseña así, de unos 12 caracteres se suele considerar segura.

De todas formas, hoy en día tenemos facilidades para almacenar contraseñas distintas para cada sitio, ya que nuestro navegador de Internet suele incorporar la función de recordar contraseña, además de tener herramientas y Apps que nos permiten actuar como gestor de contraseñas.

Aunque las contraseñas que incorpora WordPress son seguras, lo más recomendable es disponer de una contraseña alfanumérica (como mínimo) lo más larga posible, y en este caso hablaríamos de un mínimo de 18 caracteres. Sin duda, una contraseña muy larga pero menos compleja, es más segura que una contraseña corta y compleja.

Pero no hemos de olvidar que a veces no estamos trabajando nosotros solos en nuestro WordPress, sino que tenemos otros Usuarios, y, para bien o para mal, no podemos obligar a otros usuarios a que tengan contraseñas seguras.

Es por esto que siempre es muy recomendable incluir en los usuarios de nivel Administrador y Editor un sistema de doble validación (también conocido como Autenticación de múltiples factores). Desde el equipo de colaboradores de WordPress podemos recomendarte un plugin de la Comunidad WordPress llamado Two-Factor que permitiría la activación de este sistema (además, puedes colaborar en él si te interesa desde su ficha).

Protegiéndote de ataques externos

En algunos casos, tanto si tu sitio es muy conocido como si no lo es, puede que algunos usuarios maliciosos (o ciberdelincuentes) quieran atacar tu sitio de forma masiva. En estos casos te recomendamos el uso de un cortafuegos (firewall) como capa de seguridad.

Existen muchos tipos de cortafuegos a muchos niveles. Los más avanzados son máquinas (servidores) físicos que se ponen entre los usuarios y los servidores web. En otros casos, existen aplicaciones en el sistema operativo que actúan, en este caso a nivel de programa. Como un nivel más cercano a WordPress, podemos encontrar los WAF (Web Application Firewall) como cortafuegos de aplicación web. Para los casos de WordPress existen multitud de ellos en forma de plugin y que puedes encontrar entre los plugins etiquetados como firewall.

WordPress es seguro (parte 2/4)

Como vimos en la entrada previa, WordPress es una herramienta considerada segura, siempre y cuando la mantengamos actualizada y al día.

¿Cuál es la mejor forma de mantener WordPress seguro?

Muy simple: las actualizaciones automáticas.

¿Cómo configuro las actualizaciones automáticas?

Antes de configurarlas, hemos de saber que WordPress está compuesto de 3 grandes partes: el núcleo (el propio WordPress), los plugins y los temas.

Cada una de estas partes es independiente cuando hablamos de las actualizaciones automáticas.

¿Cómo actualizo el núcleo?

Hay varias formas. La más moderna es configurar el sistema de actualizaciones automáticas para las versiones mayores (que incluye cualquier actualización que salga).

Para esto accederemos al menú de opciones del Escritorio y allí tenemos una subsección llamada Actualizaciones.

Desde WordPress 5.6, podrás decidir si quieres configurar que sólo se actualicen las versiones menores o se actualicen las versiones mayores. En general, la recomendación es tener la última versión del núcleo de WordPress.

Otras opciones más manuales son las de entrar en esa misma sección cuando haya una nueva versión y darle al botón de “Actualizar”. Recuerda siempre hacer una copia de seguridad de tu sitio.

Finalmente, un sistema más manual aún es la de descargarte la última versión desde la web (el fichero ZIP), descomprimirlo en tu ordenador, y subir todos los ficheros por FTP. No es lo mejor, pero funciona.

¿Cómo actualizo los plugins o temas?

Desde WordPress 5.4 existe la posibilidad que los plugins y temas se actualicen de forma automática. Si vamos al listado de plugins, veremos que en la parte derecha de cada uno de ellos tenemos la opción de “activar / desactivar actualizaciones automáticas”. Aquellos plugins simples en los que te sientas con seguridad de actualizar, actívalo.

En los temas ocurre algo similar, aunque en este caso la opción está viendo la ficha de uno de ellos. Si pulsas sobre el tema se abre una ventana y allí tendrás la misma opción para activar las actualizaciones automáticas.

En cualquier caso, siempre tendrás la opción de las actualizaciones pulsando en el botón de “Actualizar” de cada uno de ellos cuando haya una nueva versión.

Y, como no, el sistema más antiguo, es el de descargarte el plugin o tema y subirlo por FTP.

Como detalle interesante, desde hace ya unas versiones, si tienes un plugin externo sin actualizaciones automáticas, puedes descargar el ZIP y subirlo como “Añadir nuevo”. Si ya existe previamente, WordPress te dará un mensaje diciendo que ya existe, con información comparativa de la versión anterior y la nueva, y la posibilidad de continuar la actualización o cancelarla.

¿Qué pasa con los plugins o temas antiguos?

Este suele ser el mayor problema de seguridad, aquellos que no se actualizan desde hace tiempo y que, por norma general, no sabemos que están obsoletos.

Por esto es recomendable cada cierto tiempo (¿3 meses?) hacer una revisión de todos los plugins y temas, ver sus fichas en WordPress.org (o desde donde los hayas descargado) y comprobar que están actualizados, que la versión que tú tienes coincide con la última versión, y seguir los consejos que comentamos en el primero de los artículos.

Mi hosting es administrado ¿me hacen ellos las actualizaciones?

Por norma general la respuesta es “a medias”. Habitualmente las empresas de hosting que tienen soporte específico para WordPress se encargan de actualizar el núcleo de WordPress de forma más manual. Aunque salga una versión nueva, ellos se esperan unos días mientras hacen pruebas y simulaciones para validar que tu sitio va a funcionar sin problemas.

Pero de la misma forma que sí que suelen revisar el núcleo, no se encargan de revisar los plugins y temas. En cualquier caso, nunca está de más preguntarle a tu empresa de hosting de qué se encargan y de que no.

WordPress es seguro (parte 1/4)

Una de las preguntas habituales sobre WordPress hace referencia a la seguridad del software, a cómo está construido, y a porqué se anuncia por Internet que no lo es.

¿Es WordPress seguro?

Respuesta corta: sí.

En cualquier caso, siempre puedes leer la documentación de seguridad en nuestro sitio web.

Y ahora la respuesta larga…

Para empezar, hay que decir que nada, absolutamente nada, es 100% seguro, por lo que WordPress puede tener, como el resto de los gestores de contenido, situaciones derivadas de la seguridad.

¿Eso significa que no lo sea? No. Significa que como WordPress está hecho por humanos, los humanos se equivocan y puede llegar a haber algo. Pero con una ventaja a diferencia de otros sistemas: WordPress es GPL; y esto significa que el código fuente, todo lo que se ha creado, es público y accesible para cualquiera, lo que permite que cualquiera sea capaz de encontrar si algo está mal o puede fallar, e incluso que sea un problema de seguridad y aún más: sugerir la corrección.

Nuevo código

Cada vez que se crea una parte nueva de WordPress se hace pública y otras personas la revisan, la prueban, y se incorpora en una primera versión de desarrollo, que posteriormente se convierte en una versión beta, luego en la versión candidata y finalmente en el código general. Todos estos pasos intermedios permiten que muchas personas hagan una revisión tanto de las funcionalidades como del código, pudiendo encontrar errores y sugiriendo soluciones.

Revisiones automáticas

Además de las revisiones que se pueden realizar previas al lanzamiento, existen muchas herramientas que analizan la seguridad del código (principalmente PHP). Teniendo en cuenta que WordPress es muy utilizado, incluso estas empresas realizan y participan de la revisión del código de forma libre y altruista, por lo que tenemos tanto a personas como a máquinas revisando posibles problemas.

¿Cómo hago que mi sitio sea y siga siendo seguro?

Muy sencillo: actualízalo. Has de tener en cuenta que WordPress está formado de muchas piezas, y cuando se habla de seguridad se habla de la suma de todas esas piezas. Si falla una, fallan todas.

Para que WordPress funcione hacen falta 4 partes: el sistema operativo de la máquina donde se ejecuta (Ubuntu, CentOS…), el servidor web (Apache, nginx…), PHP y la base de datos (MySQL, MariaDB…).

¿Hay que tener las últimas versiones de todo esto? No, no es necesario tener las últimas versiones, pero sí tener las versiones estables (o de seguridad) actualizadas. En general, todas estas piezas funcionan con un sistema de versiones de 3 partes / números. Por ejemplo, si WordPress tiene la versión 5.5.3. Las dos primeras cifras (5.5) son la versión mayor, que suele incorporar grandes cambios con respecto a la anterior (5.4), y la siguiente cifra (5.5.3) indica que desde que salió la primera versión (la 5.5.0) se han hecho pequeñas mejoras para corregir problemas que se han encontrado, de seguridad, de rendimiento o de funcionalidad.

En este caso, si usas WordPress 5.5.x sí que te recomendamos que uses la última versión menor, porque no debe fallar nada de tu sistema, e incluye las mejoras de seguridad pertinentes.

Esto sirve para todo lo mencionado, sistema operativo, servidor web, base de datos o PHP. En cualquier caso, pregunta a tu empresa de alojamiento (hosting) cómo trabajan con las actualizaciones y quién se encarga de ellas.

¿Y qué pasa con los plugins y temas?

Aquí es donde encontramos la mayoría de los problemas relacionados con la seguridad de WordPress.

WordPress puede funcionar sin plugins, pero requiere un tema, y por eso se incorporan los temas llamados Twenty-algo. Estos temas vienen con WordPress y son seguros, ya que los mantiene el mismo equipo de desarrollo.

¿Cómo sé si un plugin o tema es seguro?

No hay una manera 100% segura de saberlo, pero puedes seguir algunas pistas para tomar la decisión de si el complemento puede serlo.

Para empezar, revisaremos la fecha de la última actualización del plugin. Normalmente no se recomienda usar plugins que lleven más de 6 meses sin actualizar; esto no significa que no funcionen, significa que pueden no estar adaptados a las nuevas versiones de WordPress y generar problemas.

Otra cosa que puedes revisar son los datos de compatibilidad. Por norma general todos los plugins incluyen las versiones de WordPress sobre las que funciona, además de las versiones de PHP sobre las que funciona. Si todo encaja correctamente no deberías tener problemas. Además, como el código fuente de plugins y temas también sigue la licencia GPL y es público, se puede revisar para hacer los mismos análisis que en el propio núcleo de WordPress.

WordPress 5.5.2 – Actualización de seguridad y mantenimiento

¡Ya está disponible WordPress 5.5.2!

Esta actualización de seguridad y manteniniento incluye 14 correcciones de fallos además de 10 correcciones de seguridad. Al ser una actualización de seguridad se recomienda que actualices tu ssitios inmediatamente. También se han actualizado todas las versiones desde WordPress 3.7.

WordPress 5.5.2 es una actualización de seguridad y mantenimiento de ciclo corto. La siguiente versión mayor será la 5.6.

Puedes descargar WordPress 5.5.2 desde WordPress.org, o visitar tu «Escritorio → Actualizaciones» y hacer clic en «Actualizar ahora».

Si tienes sitios con las actualizaciones en segundo plano activas ya ha empezado el proceso de actualización.

Actualizaciones de seguridad

Hay 10 problemas de seguridad que afectan a las versiones de WordPress 5.5.1 y anteriores. Si aún no has actualizado a la versión 5.5, todas las versiones de WordPress dese la 3.7 también se han actualizado para corregir los siguientes problemas de seguridad:

  • Gracias a Alex Concha del equipo de seguridad de WordPress por su trabajo en reforzar la deserialización de peticiones.
  • Gracias a David Binovec por una corrección para desactivar incrustados spam desde sitios desactivados en una red multisitio.
  • Gracias a Marc Montas de Sucuri por informar de un problema que podría llevar a un XSS de variables globales.
  • Gracias a Justin Tran que informó de un problema sobre el escalado de privilegios en XML-RPC. También descubrió e informó de un problema de escalado de privilegios al comentar a través de XML-RPC.
  • Gracias a Omar Ganiev que informó de un método por el que un ataque DoS podría llevar a RCE.
  • Gracias a Karim El Ouerghemmi de RIPS que mostró un método para almacenar XSS en slugs de entradas.
  • Gracias a Slavco por informar, y a Karim El Ouerghemmi por confirmarlo, de un método para saltarse metas protegidos que podrían llevar a un borrado arbitrario de archivos.
  • Gracias a Erwan LR de WPScan que difundió responsablemente un método que podría llevar a CSRF.
  • Y un agradecimiento especial a @zieladam que ha sido parte integral de muchas de las actualizaciones y parches de esta versión.

Gracias a todos los que han informado por divulgar de manera privada las vulnerabilidades. Esto dió al equipo de seguridad tiempo para corregir las vulnerabilidades antes que pudiesen atacarse los sitios WordPress.

Para más información revisa la lista completa de cambios en el Trac, o echa un vistazo a la página de documentación de la versión 5.5.2 en HelpHub.

¡Agradecimientos y reconocimientos!

La versión 5.5.2 la lideró @whyisjake y el siquiente equipo:  @audrasjb@davidbaumwald@desrosj@johnbillion@metalandcoffee@noisysocks @planningwrite@sarahricker y @sergeybiryukov.

Además de los investigadores de seguridad y miembros del equipo mencionados arriba, gracias a todos los que ayudaron a que WordPress 5.5.2 esté disponible:

Aaron JorbinAlex ConchaAmit DudhatAndrey “Rarst” SavchenkoAndy FragenAyesh KarunaratnebridgetwillardDaniel RichardsDavid BaumwaldDavis Shaverdd32Florian TIARHareeshHugh LashbrookeIan DunnIgor RadovanovJake SpurlockJb AudrasJohn BlackbournJonathan DesrosiersJon BrownJoyJuliette Reinders Folmerkellybleckmailnew2sterMarcus KazmierczakMarius L. J.Milan DinićMohammad JangdaMukesh PanchalPaal Joachim RomdahlPeter WilsonRegan KhadgiRobert AndersonSergey BiryukovSergey YakimovSyed Balkhiszaqal21TellyworthTimi WahalahtiTimothy JacobsTowhidul I. ChowdhuryVinayak Anivasezieladam.

WordPress 5.4.2: Actualización de seguridad y mantenimiento

¡Ya está disponible WordPress 5.4.2!

Esta actualización de seguridad y mantenimiento incluye 23 correcciones a fallos y mejoras. Además, añade una serie de correcciones de seguridad – ve la lista abajo.

Estos fallos afectan a las versiones de WordPress 5.4.1 y anteriores; la versión 5.4.2 las corrige, así que querrás actualizar.

Si todavía no has actualizado a la versión 5.4, también hay versiones actualizadas para las versiones 5.3 y anteriores que corrigen los fallos por ti.

Actualizaciones de seguridad

Las versiones de WordPress 5.4 y anteriores están afectadas por los siguientes fallos, que se corrigen en la versión 5.4.2. Si todavía no has actualizado a la versión 5.4, también hay versiones actualizadas para las versiones 5.3 y anteriores que corrigen los problemas de seguridad.

  • Gracias a Sam Thomas (jazzy2fives) por descubrir un problema de XSS por el que los usuarios identificados con bajos privilegios podían añadir JavaScript a las entradas en el editor de bloques.
  • Gracias a Luigi – (gubello.me) por descubrir un problema de XSS por el que los usuarios identificados con permisos de subida podían añadir JavaScript a los archivos de medios.
  • Gracias a Ben Bidner, del equipo de seguridad de WordPress por descubrir un problema de redirección abierta en wp_validate_redirect().
  • Gracias a Nrimo Ing Pandum por descubrir un problema de identificación XSS desde las subidas de temas.
  • Gracias a Simon Scannell of RIPS Technologies por descubrir un problema por el que set-screen-option podía ser mal utilizado por plugins para conseguir escalado de privilegios.
  • Gracias a Carolina Nymark por descubrir un problema por el que los comentarios en entradas y páginas protegidas por contraseña podrían mostrarse en ciertas condiciones.

Gracias a todos los que habéis informado por haber avisado de modo privado de las vulnerabilidades. Esto da al equipo de seguridad tiempo para corregir las vulnerabilidades antes de que los sitios WordPress puedan ser atacados.

También se ha lanzado una actualización de mantenimiento para las versiones 5.1, 5.2 y 5.3. Revisa la nota para desarrolladores para más información.

Puedes ver la lista completa de cambios en el Trac.

Para más información revisa la lista completa de cambios en el Trac o echa un vistazo a la página de documentación de la versión 5.4.2.

WordPress 5.4.2 es una actualización de mantenimiento de ciclo corto. La siguiente versión mayor será la 5.5.

Puedes descargar WordPress 5.4.2 descargándola desde es.WordPress.org, o visitar tu Escritorio → Actualizaciones y hacer clic en Actualizar ahora.

Si tienes sitios compatibles con actualizaciones automáticas en segundo plano ya ha empezado el proceso de actualización.

¡Agradecimientos y reconocimientos!

Además de los investigadores de seguridad mencionados arriba, gracias a todos los que hay ayudado a que salga WordPress 5.4.2:

Andrea FerciaargentiteM Asif RahmanJb AudrasAyesh KarunaratnebdcstrDelowar HossainRob MigchelsdonmhicoEhtisham SiddiquiEmilie LEBRUNfinomenogarethgillmanGiorgio25bGabriel MaldonadoHector FIan BelangerAaron JorbinMathieu VietJavier CasaresJoe McGilljonkolbertJono AldersonJoyTammie ListerKjell ReigstadKTmarkusthielMayank MajejiMel Choyce-DwanmislavjuricMukesh PanchalNikhil BhansioakesjoshDominik SchillingArslan AhmedPeter WilsonCarolina NymarkStephen BernhardtSam FullaloveAlain SchlesserSergey BiryukovskarabeqDaniel RichardsToni ViemerösuzylahTimothy JacobsTeBenachiJake Spurlock y yuhin.

WordPress 5.4.1

¡Ya está disponible WordPress 5.4.1!

Esta actualización de seguridad y mantenimiento contiene 17 correcciones a fallos además de 7 correcciones de seguridad. Al ser una actualización de seguridad es recomendable que actualices tus sitios de inmediato. Todas las versiones desde WordPress 3.7 también se han actualizado.

WordPress 5.4.1 es una versión de mantenimiento de ciclo corto. La siguiente versión mayor será la 5.5.

Puedes descargar WordPress 5.4.1 descargándola desde es.WordPress.org, o visitar tu Escritorio → Actualizaciones y hacer clic en Actualizar ahora.

Si tienes sitios compatibles con actualizaciones automáticas en segundo plano ya ha empezado el proceso de actualización.

Actualizaciones de seguridad

Son siete problemas de seguridad que afectan a WordPress 5.4 y anteriores. Si no has actualizado todavía a la versión 5.4 también se han actualizado todas las versiones de WordPress desde la 3.7 para corregir los siguientes problemas de seguridad:

  • Gracias a Muaz Bin Abdus Sattar y Jannes que informaron independientemente de un problema por el que los tokens de restablecimiento de contraseña no se invalidaban correctamente
  • Gracias a ka1n4t por descubrir un problema por el que ciertas entradas privadas podián verse sin identificarse
  • Gracias a Evan Ricafort por descubrir un problema de XSS en el personalizador
  • Gracias a Ben Bidner del equipo de seguridad de WordPress, que descubrió un problema de XSS en el bloque de búsqueda
  • Gracias a Nick Daugherty del equipo de WordPress VIP  y de seguridad de WordPress, que descubrió un problema de XSS en wp-object-cache
  • Gracias a Ronnie Goodrich (Kahoots) y Jason Medeiros que informaron independientementne de un problema de XSS en las subidas de archivos.
  • Gracias a Weston Ruter por corregir una vulnerabilidad de XSS almacenado en el personalizador
  • Además, Nguyen de Duc descubrió un problema de XSS identificado en el editor de bloques en las versiones de WordPress 5.4 RC1 y RC2. Se corrigió en la 5.4 RC5. Queríamos estar seguros de agradecer y reconocer todo su trabajo para hacer que WordPress sea más seguro

Gracias a todos los que habéis informado por haber avisado de modo privado de las vulnerabilidades. Esto da al equipo de seguridad tiempo para corregir las vulnerabilidades antes de que los sitios WordPress puedan ser atacados.

Para más información revisa la lista completa de cambios en el Trac, o echa un vistazo a la página de documentación en HelpHub de la versión 5.4.1.

ADemás de los investigadores de seguridad mencionados arriba, gracias a todos los que han ayudado a que WordPress 5.4.1 esté disponible:

Alex ConchaAndrea FerciaAndrew DuthieAndrew OzzAndy FragenAndy PeatlingarnaudbroesChris Van PattenDaniel RichardsDhrRobDono12dudoEhtisham SiddiquiElla van DurpeGarrett HyderIan BelangerIpstenu (Mika Epstein)Jake SpurlockJb AudrasJohn BlackbournJohn James JacobyJonathan DesrosiersJorge CostaK. Adam WhiteKelly Choyce-DwanMarkRHmattyrobMiguel FonsecaMohammad JangdaMukesh PanchalNick DaughertynoahtallenPaul BironPeter WestwoodPeter Wilsonpikamander2r-a-yRiad BenguellaRobert AndersonSamuel Wood (Otto)Sergey BiryukovSøren BrønstedStanimir StoyanovtellthemachinesTimothy JacobsToro_Unit (Hiroshi Urabe)treecutteryohannp.

WordPress 5.2.4. Actualización de seguridad

¡Ya está disponible WordPress 5.2.4! Esta actualización de seguridad corrige 6 problemas de seguridad.

Las versiones de WordPress 5.2.3 y anteriores están afectadas por estos fallos, que se solucionan en la versión 5.2.4. También hay versiones actualizadas de WordPress 5.1 y anteriores para cualquier usuario que aúno no haya actualizado a la versión 5.2.

Actualizaciones de seguridad

  • Gracias a Evan Ricafort por descubrir un problema por el que un XSS almacenado (script de sitios cruzados) podría añadirse al personalizador.
  • Gracias a J.D. Grimes, quien descubrió y divulgó un método de ver entradas sin identificación.
  • Gracias a Weston Ruter por descubrir un modo de crear un XSS almacenado con el que se podría inyectar Javascript en las etiquetas de estilo.
  • Gracias a David Newman por desvelar un método para intoxicar la caché de las peticiones JSON GET mediante Vary: Origin header.
  • Gracias a Eugene Kolodenker, que descubrió una falsificación de peticiones en el servidor en el método en que se validaban las URLs.
  • Gracias a Bidner, del equipo de seguridad de WordPress, que descubrió problemas relacionados con la validación de referentes en la administración.

Gracias a todos los que han informando mediante la divulgación privada de las vulnerabilidades, por habernos dados tiempo a corregirlas antes de que hayan podido atacarse sitios WordPress.

Para más información revisa la lista completa de cambios en el trac, o echa un vistazo a la página de documentación de la versión 5.2.4.

WordPress 5.2.4 es una actualización de seguridad de ciclo corto. La siguiente versión mayor será la 5.3.

Puedes descargar WordPress 5.2.4 o visitar tu Escritorio → Actualizaciones y hacer clic en Actualizar ahora. Los sitios compatibles con las actualizaciones automáticas en segundo plano ya se están empezando a actualizar automáticamente.

Además de los investigadores de seguridad mencionados arriba, gracias a todos los que han contribuido a WordPress 5.2.4:

Aaron D. CampbelldarthhexxDavid BinovecJonathan DesrosiersIan DunnJeff PaulNick DaughertyKonstantin ObenlandPeter WilsonSergey BiryukovStanimir StoyanovGarth MortensenvortfuWeston RuterJake SpurlockAlex Concha.

WordPress 5.2.3, actualización de seguridad y mantenimiento

¡Ya está disponible WordPress 5.2.3!

Esta actualización de seguridad y mantenimiento incluye 29 correcciones y mejoras. Además, añade una buena cantidad de correcciones de seguridad – ve la lista abajo.

Estos fallos afectan a las versiones de 5.2.2 y anteriores; la versión 5.2.3 los corrige, así que querrás actualizar.

Si aún no has actualizado a la versión 5.2, también hay versiones actualizadas de la versión 5.0 y anteriores para ti que corrigen los fallos.

Actualizaciones de seguridad

  • Gracias a Simon Scannell de RIPS Technologies por descubrir y revelar dos problemas. El primero, una vulnerabilidad de scripts de sitios cruzados (XSS) descubierta en las vistas previas de entradas creadas por usuarios con perfil de colaborador. La segunda era también una vulnerabilidad de scripts de sitios cruzados en los comentarios almacenados. 
  • Gracias a Tim Coen por desvelar un problema por el que la validación y saneado de una URL podría llevar a una redirección abierta. 
  • Gracias a Anshul Jain por desvelar un XSS durante la subida de medios.
  • Gracias a Zhouyuan Yang de Fortinet’s FortiGuard Labs que reveló una vulnerabilidad XSS en las vistas previas de shortcodes.
  • Gracias a Ian Dunn del equipo de seguridad del núcleo de WordPress por descubrir y revelar un caso por el que podría haber un XSS en el escritorio.
  • Gracias a Soroush Dalili (@irsdl) de NCC Group por desvelar un problema con el saneado de URLs que podría llevar a ataques XSS.
  • Además de los cambios anteriores, también estamos actualizando jQuery en las versiones anteriores de WordPress. Este cambio se añadió en la versión 5.2.1 y ahora se está llevando a las versiones más antiguas. 

Puedes ver la lista completa de cambios en el Trac.

Para más información revisa la lista de cambios en el Trac o echa un vistazo a la página de documentación de la versión 5.2.3¡.

WordPress 5.2.3 es una actualización de mantenimiento de ciclo corto. La siguiente versión mayor será la 5.3.

Puedes descargar WordPress 5.2.3 desde el botón de la parte superior de esta página, o visitar tu Escritorio → Actualizaciones y hacer clic en Actualizar ahora.

Si tienes sitios compatibles con las actualizaciones automáticas en segundo plano ya hemos empezado el proceso de actualización.

¡Agradecimientos y reconocimientos!

Esta versión aúna colaboraciones de más de 62 personas. ¡Gracias a todos los que habéis hecho posible esta actualización!

Adam SilversteinAlex ConchaAlex GollerAndrea FerciaAndrew DuthieAndrew OzzAndy FragenAshish ShuklaAslam Shekhbackermann1978Catalin DogaruChetan PrajapatiChris ApreaChristoph Herrdan@micamedia.comDaniel LlewellyndonmhicoElla van DurpeepiquerasFencer04flaviozavanGarrett HyderGary Pendergastgqevu6bsizHardik ThakkarIan BelangerIan DunnJake SpurlockJb AudrasJeffrey PauljikamensJohn BlackbournJonathan DesrosiersJorge Costa, karlgrovesKjell ReigstadlaurelfulfordMaje Media LLCMartin SpatovaliyskiMary BaumMonika RaoMukesh Panchalnayana123Ned ZimmermanNick DaughertyNilambar SharmanmenescardiPaul Vincent BeigangPedro MendonçaPeter WilsonSergey BiryukovSergey PredvoditelevSharaz ShahidStanimir StoyanovStefano MinoiaTammie ListertellthemachinestmatsuurVaishali PanchalvortfuWill West, y yarnboy.

WordPress 5.2 «Jaco»

Para que los sitios sean más seguros

La versión 5.2 de WordPress, denominada «Jaco» en honor al renombrado y revolucionario bajista de jazz Jaco Pastorius, está disponible para descargar o actualizar en el escritorio de tu WordPress.

Las nuevas características de esta actualización hacen que sea más fácil que nunca arreglar tu sitio si algo va mal.

Tiene herramientas aún más robustas para identificar y corregir problemas de configuración y errores fatales.

Tanto si eres un desarrollador que ayuda a clientes como si gestionas tu sitio en solitario, estas herramientas pueden ayudarte a obtener la información correcta cuando la necesites.

Comprobación de salud del sitio

Basada en las características de salud del sitio introducidas en la versión 5.1, esta versión añade dos nuevas páginas para ayudar a depurar problemas de configuración comunes.

También añade un espacio donde los desarrolladores pueden incluir información de depuración para los mantenedores del sitio.

Protección de errores PHP

Esta actualización centrada en el administrador te permitirá corregir o gestionar errores fatales de forma segura sin que necesites tiempo del desarrollador.

Ofrece una mejor gestión de la llamada «pantalla blanca de la muerte» y una forma de entrar en el modo de recuperación, que pone en pausa los plugins o temas que causen errores.

Mejoras para todos

Actualizaciones de accesibilidad

Una serie de cambios combinados para mejorar el conocimiento contextual y el flujo de navegación por el teclado para aquellos que utilizan lectores de pantalla y otras tecnologías de asistencia.

Nuevos iconos de escritorio

Trece nuevos iconos, incluido el de Instagram, un paquete de iconos para BuddyPress, e iconos de la tierra en rotación para una inclusión global. ¡Descúbrelos en el escritorio y diviértete!

Comprobaciones de compatibilidad de plugins

Ahora WordPress determinará automáticamente si la versión de PHP de tu sitio es compatible con los plugins instalados.

Si el plugin requiere una versión superior de PHP de la que usa tu sitio, WordPress no te permitirá activarlo, evitando así potenciales errores de compatibilidad.

Felicidad para el desarrollador

Evolución de versión de PHP

La versión mínima compatible con PHP es ahora la 5.6.20. ¡A partir de WordPress 5.2*, los temas y plugins pueden aprovechar con seguridad los «namespace», funciones anónimas y mucho más!

Actualizaciones en la privacidad

Una nueva plantilla de página para los temas, una función condicional y dos clases CSS facilitan el diseño y la personalización de la página de política de privacidad.

Nuevo gancho en la etiqueta «body»

La versión 5.2 introduce un gancho wp_body_open, que permite que los temas sean compatibles con la inyección de código justo al principio del elemento <body>.

Compilación de JavaScript

Con la incorporación de las configuraciones webpack y Babel en el paquete wordpress/scripts, los desarrolladores no tendrán que preocuparse de configurar herramientas de compilación complejas para escribir JavaScript moderno.

*Si estás ejecutando u na versión de PHP antigua (menor que la 5.6.20), actualiza tu PHP  antes de instalar la versión 5.2.

El equipo

Esta versión la lideraron Matt MullenwegJosepha Haden Chomphosy, y Gary Pendergast. Tuvieron el valioso apoyo de 327 generosos contribuidores voluntarios. Pon una lista de Jaco Pastorius en tu servicio de música favorito y echa un vistazo a sus perfiles:

Aaron D. CampbellAaron JorbinAdam SilversteinAdam SoucieAdil ÖztaşerAjit BohraAlain SchlesseraldavigdisAlex DenningAlex KirkAlex MillsAlex ShielsAlexisAlexis LloydallancoleAllen SnookAndréAndrésandraganescuAndrea FerciaAndrea MiddletonAndrei LupuAndrew DixonAndrew DuthieAndrew NacinAndrew OzzAndrey «Rarst» SavchenkoAndy FragenAndy MeerwaldtAniket PatelAnton TimmermansAnton VanyukovAntonio VillegasantonypuckeyAristeides StathopoulosAslam ShekhaxaakBego Mario GardeBen DunkleBen Ritner – Kadence ThemesBenjamin IntalBill EricksonBirgir ErlendssonBodo (Hugo) BarwichbongerBoone GorgesBradley TaylorBrandon KraftBrent SwisherbulletdigitalBurhan NasirCathi BoscoChetan PrajapatiChiara MagnaniChoubyChris Van PattenD.S. WebsterDamon CookDaniel BachhuberDaniel JamesDaniel LlewellynDaniel RichardsDaniele ScasciafratteDarren Ethier (nerrad)Dave WhitleyDaveFXdavetgreenDavid BaumwaldDavid BinovecDavid BinovecDavid HerreraDavid RoddickDavid SmithDavide ‘Folletto’ CasalidekervitDenis de BernardyDennis SnellDerek HermanDerrick HammerdesignsimplyDhanukanuwanDharmesh PatelDianediegoreymendezDilip BhedaDimaDion HulseDixita DusaraDmitry MayorovDominik SchillingDrew JaynesdsiffordElla van DurpeetoledomfabiankaegyFaisal AlviFarhad SakhaeiFelix ArntzFranklin TseFuegasGarrett HyderGary JonesGennady KovsheninGirish PanchalGrzegorz (Greg) ZiółkowskiGuido ScialfaGutenDev,  Hannah MalcolmHardik AmiparaHardik ThakkarHendrik LuehrsenHenryHenry WrightHooverIan BelangerIan Dunnice9jsIgor ZinovyevimathIxiumJ.D. GrimesjakeparisJamesjanak KaneriyaJarred KennedyJavier VillanuevaJay UpadhyayJaydip RamiJayman PandyajdeeburkeJean-Baptiste AudrasJeff PaulJeffrey de WitJenny WongJeremy FeltJeremy GreenJeremy Hervejitendrabanjara1991JJJJoe DolsonJoe McGillJoen AsmussenJohan FalkJohanna de VosJohn BlackbournJonathan DesrosiersJonathandejongjoneisemanJonny HarrisjonnybojanglesJoost de ValkjordesignJorge BernalJorge CostaJory HogeveenJose CastanedajosephwaJosh FeckJoshuaWoldJoyjploJR TashjianjrfJuhi PateljuliarrrK. Adam WhiteKamataRyoKarine DoKatyatinaKelin ChauhanKelly DwanKhokan Sardarkillua99KiteKjell ReigstadKnut SparhellKoji KunoKonstantin ObenlandKonstantinos XenosKʜᴀɴ (ಠ_ಠ)laurelfulfordlkraavLuke CarbisLuke GedeonLuke PettwayMaedah BatoolMaja BenkeMalaeManzoor WaniMarcinMarcin PietrzakMarco PeraltamarcofernandesMarcus KazmierczakmarekhrabeMarius JensenMariyan BelchevMark UrainemarkcallenMarkus EchterhoffMarty HelmickmarybaummattnyeusmdwolinskiMeet MakadiaMel ChoycemheikkilaMicah WoodmichelleweberMiguel FonsecaMiguel TorresMikael KorpelaMike AuteriMike Schinkel [WPLib Box project lead]Mike SchroderMike SelanderMikeNGarrettMilan DinićmirkaMobin GhasempoorMohadese GhasemiMohammed SaimonMorten Rand-HendriksenMorteza GeransayehMuhammad MuhsinMukesh PanchalMustafa UysalmzorzNahid F. MohitNaoki OhashiNate AllenNed ZimmermanNeokazis CharalamposNick CernisNick DiegoNick HalseyNidhi JainNiels LangenielsdeblaauwNikolay NikolovNilambar SharmaninionotnownikkipandeliszparagoninitiativeenterprisesPascal BirchlerPaul BearnePaul BironPedro MendonçaPeter BookerPeter Wilsonpfiledpilou69Pranali PatelPratik K. YadavPresskopppsealockPunit PatelRachel CherryRahmonRamananRami YushuvaevRamiz MankedramonopolyRiad BenguellaRinat KhazievRobert AndersonRudy SusantoRyan BorenRyan WelcherSaeed FardSal FerrarelloSamaneh MirrajabiSami KeijonenSamuel ElhSantiago GarzaSara Copesaracupsarah semarkScott ReillySebastian PisulaSekineh EbrahimzadehSergey BiryukovSergioEstevaosgastardsharifkiberushazdehShital Marakanasky_76Soren WredeStephen EdgarSteven WordSubrata SarkarSudar MuthuSudhir Yadavszepe.viktorTakayuki MiyauchiTammie ListerThemonicthomstarkThorsten FrommenThrijith ThankachanTim HedgefieldTim WrightTimothy JacobstimphtmatsuurtmdesignedtmdesignedTobias ZimpelTomHarriganTor-Bjorn FjellnerToro_Unit (Hiroshi Urabe)torres126Torsten LandsiedelTowhidul IslamTracy LevesqueUmang BhanvadiaVaishali PanchalWebFactoryWeston RuterWilliam ‘Bahia’ BayWilliam EarnhardtwilliampattonWillscrltWolly aka Paolo Valentiwrwrwr0Yoav FarhiYuiZebulan Stanphill.

También, muchas gracias a todos los voluntarios de la comunidad que contribuyen en los foros de soporte.

Responden preguntas de gente de todo el mundo, ya estén usando WordPress por primera vez o desde la última versión.

¡Estas actualizaciones tienen más éxito gracias a su esfuerzo!

Si quieres saber más acerca de cómo participar como voluntario, pásate por nuestra página de colaboración, echa un vistazo a Make WordPress o al blog de desarrollo del núcleo.

¡Gracias por elegir WordPress!