WordPress 5.1.1, actualización de seguridad y mantenimiento

¡Ya está disponible WordPress 5.1.1! Esta actualización de seguridad y mantenimiento introduce 10 correcciones y mejoras, incluyendo cambios diseñados para ayudar a los servidores a preparar a los usuarios para el salto a la versión mínima de PHP que llegará en la versión 5.2.

Esta versión también incluye un par de correcciones de seguridad que se ocupan de cómo se filtran los comentarios y luego se almacenan en la base de datos. Con un comentario malintencionado, una entrada de WordPress era vulnerable a los scripts entre sitios.

Las versiones 5.1 y anteriores de WordPress están afectadas por estos errores, que se han corregido en la versión 5.1.1. Las versiones actualizadas de WordPress 5.0 y anteriores también están disponibles para cualquier usuario que aún no haya actualizado a la versión 5.1.

Gracias a Simon Scannell de RIPS Technologies, quien descubrió este defecto independientemente de algún trabajo que estaban haciendo los miembros del equipo de seguridad principal. Gracias a todos los que han informado por revelar en privado las vulnerabilidades, lo que nos dio tiempo para arreglarlas antes de que los sitios de WordPress pudieran ser atacados.

Otros aspectos destacados de esta versión incluyen:

  • Los servidores ahora pueden ofrecer un botón para que sus usuarios actualicen PHP.
  • Ahora se puede filtrar la versión recomendada de PHP utilizada por el aviso de «Actualiza PHP».
  • Se han corregido varios errores menores.

Puedes revisar la lista completa de cambios en el trac.

WordPress 5.1.1 ha sido una actualización de ciclo corto. Se espera que la versión 5.1.2 siga una cadencia de lanzamiento similar de dos semanas.

Puedes descargar WordPress 5.1.1 o visitar tu Escritorio → Actualizaciones y hacer clic en Actualizar ahora. Los sitios compatibles con las actualizaciones automáticas en segundo plano ya están empezando a actualizarse automáticamente.

Además de al investigador de seguridad mencionado arriba, gracias a todos los que han contribuido a WordPress 5.1.1:

Aaron JorbinAlex ConchaAndrea FerciaAndy FragenAnton VanyukovBen BidnerbulletdigitalDavid BinovecDion HulseFelix ArntzGarrett HyderGary PendergastIan DunnJake SpurlockJb AudrasJeremy FeltJohan FalkJonathan DesrosiersLuke CarbisMike SchroderMilan DinićMukesh PanchalPaul BironPeter WilsonSergey BiryukovWeston Ruter.

WordPress 5.1 «Betty»

Un poco mejor cada día

La versión 5.1 de WordPress, denominada «Betty» en honor a la aclamada vocalista de jazz Betty Carter ya está disponible para descarga o para que la actualices en tu escritorio de WordPress.

Después de WordPress 5.0— una gran versión que introdujo el nuevo editor de bloques— la versión 5.1 se centra en pulir, en concreto mejorando el rendimiento global del editor. Además, esta versión asienta el camino para un WordPress más seguro, rápido y mejor, con algunas herramientas esenciales para administradores y desarrolladores de sitios.

Salud del sitio

Teniendo en cuenta la seguridad y la rapidez, esta version introduce la primera característica de salud del sitio de WordPress. WordPress comenzará a mostrar avisos a los administradores de sitios que ejecuten versiones obsoletas de PHP, el lenguaje de programación que utiliza WordPress.

Al instalar nuevos plugins, la características de la salud del sitio de WordPress comprobarán si un plugin requiere una versión de PHP que es incompatible con tu sitio. En ese caso, WordPress evitará que instales ese plugin.

Rendimiento del editor

Añadido en WordPress 5.0, el nuevo editor de bloques sigue mejorando. Más importante aún, WordPress 5.1 incluye sólidas mejoras de rendimiento dentro del editor. El editor debería notarse más rápido al iniciar, y al escribir, sentirse más fluido. Sin embargo, se esperan más mejoras de rendimiento en la siguiente versión.

Felicidad para el desarrollador

Metadatos de multisitio

La versión 5.1 añade una nueva tabla a la base de datos para almacenar metadatos asociados a sitios y permite el almacenamiento de datos relevantes de un sitio concreto en un multisitio / red.

API del Cron

Se ha actualizado la API del Cron nuevas funcionalidades para ayudar con la recepción de datos e incluye nuevos filtros para modificar el almacenamiento del Cron. Otros cambios en el comportamiento afectan al inicio del Cron en servidores que ejecutan FastCGI y PHP-FPM en versiones 7.0.16 y superiores.

Nuevos procesos de construcción de JS

WordPress 5.1 presenta una nueva opción de creación de JavaScript, tras la gran reorganización de código iniciada en la versión 5.0.

Otras ventajas para el desarrollador

Algunas de las mejoras incluyen:

  • Actualizaciones de los valores de la constante WP_DEBUG_LOG
  • Una nueva constante en el archivo de configuración de pruebas del paquete de pruebas
  • Nuevos ganchos de acción de los plugins
  • Filtros de cortocircuito para wp_unique_post_slug(), para WP_User_Query y para count_users()
  • Una nueva función human_readable_duration
  • Saneado mejorado de la caja meta de taxonomías
  • Compatibilidad limitada de LIKE con las claves meta cuando usan WP_Meta_Query
  • Un nuevo aviso de «haciendo algo incorrecto» cuando se registran las variables de las APIs de la REST
  • … ¡y mucho más!

El equipo

Esta versión la lideró Matt Mullenweg, junto con Gary Pendergast como reorganizador senior del código y poeta. Recibieron una maravillosa ayuda de los siguientes 561 colaboradores para este lanzamiento, ¡231 de los cuales estaban haciendo su primera contribución! Pon algo de Betty Carter en tu servicio de música preferido, y echa un vistazo a algunos de sus perfiles:

0x6f012655785191naveengiri360zenaardrianAaron JorbinAbdullah RamzanAbhay VishwakarmaAbhijit RakasAchal JainachbedAdam SilversteinAjit BohraAlain SchlesseraldavigdisalejandroxlopezAlexAlex ShielsAlexander BotteramAlexandru VornicescualexgsoAllallancoleAllen SnookAlvaro Gois dos SantosAna CirujanoAnantajit JGAndrésAndrea FerciaAndrea GandinoAndrea Middletonandrei0x309andreiglingeanuAndrew DuthieAndrew LimaAndrew NacinAndrew NevinsAndrew OzzAndrey SavchenkoAndy FragenAndy MeerwaldtAngelika ReisigerAntal TettingerantipoleAnton TimmermansAntonio VillegasantonioeatgoatAnwer ARArunAshar Irfanashokrd2013Ayesh KarunaratneAyub AdiputraBarry CeelenBehzod SaidovBen ByrnebenhubermanBenoit ChantrebenvaassenBhargav MehtabikecrazyyBirgir ErlendssonBjornWBlair jersyerblobBlobfoliobobbingwideboblinthorstBoone GorgesBoro SitnikovskiBrad ParbsBradleybramheijminkBrandon KraftBrandon PaytonBrent SwisherBrian RichardsbridgetwillardBrooke.bruceallenBurhan NasirBytes.coCaleb BurksCalin DoncampusboycarolinegevenccismaruchasewgChetan PrajapatiChoubyChriCochriscct7Christopher SpiresclaudiuClifford PaulickCode Cliniccodegraucolehconner_bwCorey McKrillcroceCsaba (LittleBigThings)Cyrus CollierDaniel BachhuberDaniel JamesDaniel KoskinenDaniel RichardsDaniele ScasciafrattedanimalbrownDanny CooperDanny de HaanDarko A7Darren Ethier (nerrad)Dave PulligDavid A. KennedyDavid AndersonDavid BinovecDavid CramerDavid HerreraDavid LingrenDavid ShanskeDavid StonedekervitDenis YanchevskiyDennis SnelldesignsimplydfangstromDhanendranDharmesh PatelDhaval kasavalaDhruvinDiedeExterkateDilip Bhedadingo-dDion HulsedipeshkakadiyaDominik SchillingDonncha O CaoimhdontstealmyfishDrew JaynesDrivingralledschalkdsiffordeamaxeArtboardedo888edocevElectricFeetElla Van DurpeEric Andrew LewisEric DaamsErich MunzErick HitterericmeyeretoledomEvan SolomonEvangelos AthanasiadisevereveryoneFaisal AlviFelipe EliaFelix ArntzFernando ClaussenflipkeijzerFlorian TIARfolioFPCSJamesFrank KleinfrOMfuchswsfullyintGabriel MaldonadoGarethGarrett HyderGary JonesGennady KovsheninGerhard PotgieterGirish PanchalGM_AlexgnifgraymousergregGrzegorz (Greg) ZiółkowskiGuidoGutenDevHafiz RahmanHai@LiteSpeedHans-Christiaan BraunHardeep AsraniHardik AmiparaHarsh PatelharuharuharubyHeather BurnsHelen Hou-SandiHenry WrightHerre GroenhitendraHitendra ChopdaIan BelangerIan DunnibantxilloIgnacio Cruz MorenoIgorIgor BenicimathionvvIrene Strikkersisabel104ishitakaIvan MudrikJ.D. GrimesJack ReichertJacob PeattieJames Nylenjanak KaneriyajanalwinJanki MoradiyajanthielJason CaldwelljavorszkyJaydip RamiJayman PandyaJb AudrasJeff FarthingJeffrey de WitJeffrey PaulJennifer M. DoddJennyJeremeyJeremy FeltJeremy HerveJeremy PryJeremy ScottJesper V NielsenJesse FriedmanJimmy ComackJip MoorsJiri HonJJJjoanrhoJobJoe Bailey-RobertsJoe DolsonJoe HoyleJoe McGillJoel JamesJoen AsmussenJohn BlackbournJohn GodleyjohnalarconjohnpgreenjohnschulzJonathan ChampJonathan DesrosiersjoneisemanJonny HarrisJoost de ValkJorge CostaJoseph ScottJoshuaWoldJoyjpurdy647jrdelarosajryancardJuhi PatelJulia AmosovajuliemoynatJuliette Reinders FolmerJunaid AhmedJustin SaintonJustin SternbergJustin TadlockK.Adam WhitekapteinblufkeesiemeijerKelly DwankelvinkkhaihongKiran PotphodeKitekjellrkkarpieszukkmezeKnut SparhellkonainmKonstantin ObenlandKonstantinos XenoskristastevenskrutidugadelagheeLaken HafnerLance WillettlaurelfulfordlbenicioLeander IversenleemonlenasterglisannekluitmanslizkarkoskiLuca GrandicelliLucasRolffLuciano CroceLuminusMário ValneymaartenleendersmacbookandrewMaja BenkeMakomallorydxw-oldManuel Augustinmanuel_84Marc Niliusmarcelo2605Marco Martinsmarco.marsalaMarcus Kazmierczakmarcwieland95Marius L. J.mariusvwMariyan BelchevMark JaquithMathieu SarrasinmathieuhaysMatt CromwellMatt GibbsMatt MartzMatthew BoynesMatthew Riley MacPhersonmattyrobmcmwebsolMel ChoycemensmaximusmermelmetalandcoffeeMicah WoodMichael NelsonMichiel HeijmansMigrated to @sebastienserreMiguel FonsecaMiguel TorresmihaiiceyromihdanMike GillihanMike JolleyMike SchroderMilan DinićMilan IvanovicMilana CapMilind MoremirkoschubertMonika RaoMonique Dubbelmanmoto hachi ( mt8.biz )mrmadhatMuhammad KashifMukesh PanchalMultiformeIngegnoMuntasir MahmudmunyaguMyThemeShopmzorznadim0988nandorskyNaoki OhashiNaoko TakanonataliashitovaNate AllenNathan JohnsonndavisonNed ZimmermanNextendwebNick DiegoNick HalseyNick MomrikNick the GeekNicolas FigueiraNicolas GUILLAUMENicolle HelgersNidhi JainNiels LangeNikhil ChavanNilambar SharmaNoam EppelnotnownikkiodysseyOmar ReissOmkar BhagatonothersOv3rflyPaal Joachim RomdahlpalmiakpanchenparbaughParham GhaffarianPascal BirchlerPascal CasierPaul BearnePaul BironPaul ParadisePaul SchreiberPerdaanPeter PutzerPeter WilsonPetter Walbø JohnsgårdPierre SaïkaliPieter DaalderPiyush PatelpoenaPramod JodhaniPrashant BaldhaPratik K. YadavPratik K. YadavpreciesPresskoppPresslabsPressTigersprogramminPunit PatelPurnendu DashqcmiaoRachel BakerRachel CherryRachel PeterRafsun ChowdhuryRahul PrajapatiRaja MohammedRamananRami YushuvaevRamiz MankedramonopolyRavanHredcastorremyvvrensw90rhetoricalRiad BenguellaRian RietveldRichard TapeRicky Lee WhittemoreRinku YRishi ShahRobbierobdxwRobert AndersonRobin CornettRobin van der VlietRyan McCueRyan PaulRyan WelcherryotsunSébastien SERRESašasagarnasitSami Ahmed SiddiquiSami KeijonenSamuel Wood (Otto)sarah semarkSayed TaquiScott LeeScott ReillySean HayesSebastian KurzynoswkiSebastian PisulaSergey BiryukovShamim HasanShane EckertSharaz ShahidShashwat MittalShawn HoopersherwoodShital MarakanaShiva PoudelSimon ProsserSjardoskoldinslilleyslushmanSonja LeixsonjanycSoren WredespartankspyderbytesStanimir StoyanovStanko MetodievstazdotioStephen EdgarStephen HarrisstevenlinxStorm RockwellStoyan KostadinovstrategioSubrata SarkarSultan Nasir UddinswiftTakahashi FumikiTakayuki MiyauchiTammie ListerTaylor LovettteddytimeTerri AnnterwdantharsheblowstheThemeZeeThomas Patrick LevyThomas VitalethomaswmThorsten FrommenThrijith ThankachanTiago HillebrandttigertechTim HavingaTim HengeveldTimmy CrawfordTimothy JacobstitodeveraTkamatoTobias ZimpelTom J NowellTomHarriganTommytonybogdanovTor-Bjorn FjellnerTorontoDigitsToshihiro KanaiTowhidul Islamtransl8orUlrichupadalavipulUsman KhalidUtsav tilavauttam007Vaishali PanchalValérie GalassivalchovskivishaldodiyavnsavagevoneffwarmlaundrywbrubakerWeston RuterwhoWill KwonWilliam EarnhardtwilliampattonwpcswpzincxhezairiYahil MadakiyaYoav FarhiYuiYuriVZane Matthew y zebulan.

Para finalizar, gracias a toda la comunidad de traductores que han trabajado en WordPress 5.1, por sus esfuerzos haciendo que WordPress 5.1 esté totalmente traducido a 34 idiomas en el momento del lanzamiento, y más en camino.

Si quieres seguir ayudando echa un vistazo a Make WordPress y a nuestro blog de desarrollo del núcleo.

¡Gracias por elegir WordPress!

WordPress 5.0.1, actualización de seguridad

Ya está disponible WordPress 5.0.1. Es una actualización de seguridad para todas las versiones desde WordPress 3.7. Te recomendamos encarecidamente que actualices tus sitios inmediatamente.

Se recomienda a los autores de plugins que lean las notas para desarrolladores de la versión 5.0.1 para obtener información sobre la compatibilidad con versiones anteriores.

Las versiones 5.0 y anteriores de WordPress están afectadas por los siguientes errores, que se han corregido en la versión 5.0.1. Las versiones actualizadas de WordPress 4.9 y versiones anteriores también están disponibles, para los usuarios que aún no han actualizado a la versión 5.0.

Gracias a todos los que han informado, por revelar en privado las vulnerabilidades, lo que nos dio tiempo para arreglarlas antes de que los sitios WordPress pudieran ser atacados.

  • Karim El Ouerghemmi descubrió que los autores podían alterar metadatos para borrar archivos para los que no estaban autorizados.
  • Simon Scannell de RIPS Technologies descubrió que los autores podían crear mensajes de tipos de mensajes no autorizados con información especialmente diseñada.
  • Sam Thomas descubrió que los contribuidores podían crear meta datos de modo que resulte en una inyección de objetos PHP.
  • Tim Coen descubrió que los contribuidores podían editar nuevos comentarios de usuarios con mayores privilegios, lo que potencialmente generaría a una vulnerabilidad de secuencias de comandos entre sitios.
  • Tim Coen también descubrió que las entradas de URL especialmente diseñadas podrían conducir a una vulnerabilidad de secuencias de comandos entre sitios en algunas circunstancias. WordPress en sí no se vio afectado, pero los plugins pueden estarlo en algunas situaciones.
  • El equipo Yoast descubrió que la pantalla de activación de usuarios podía ser indexada por los motores de búsqueda en algunas configuraciones poco comunes, lo que llevaba a la exposición de las direcciones de correo electrónico, y en algunos casos raros, contraseñas generadas por defecto.
  • Tim Coen y Slavco descubrieron que los autores de sitios servidos por Apache podían subir archivos específicamente diseñados para evitar la verificación MIME, lo que provocaba una vulnerabilidad de scripting entre sitios.

Descarga WordPress 5.0.1, o ve a «Escritorio → Actualizaciones» y haz clic en «Actualizar ahora». Los sitios compatibles con actualizaciones automáticas en segundo plano ya están comenzando a actualizarse automáticamente.

Además de los investigadores de seguridad mencionados anteriormente, gracias a todos los que contribuyeron a WordPress 5.0.1:

Alex ShielsAlex ConchaAnton TimmermansAndrew OzzAaron CampbellAndrea MiddletonBen BidnerBarry AbrahamsonChris ChristoffDavid NewmanDemitrious KellyDion HulseHannah NotessGary PendergastHerre GroenIan DunnJeremy FeltJoe McGillJohn James JacobyJonathan DesrosiersJosepha HadenJoost de ValkMo JangdaNick DaughertyPeter WilsonPascal BirchlerSergey Biryukov y Valentyn Pylypchuk.

WordPress 4.9.7, actualización de seguridad y mantenimiento

Ya está disponible WordPress 4.9.7. Es una actualización de seguridad y mantenimiento para todas las versiones desde WordPress 3.7. Te animamos a que actualices tus sitios inmediatamente.

Las versiones de WordPress 4.9.6 y anteriores están afectadas por un problema con los medios que podría, potencialmente, permitir a un usuario con ciertas capacidades tratar de borrar archivos fuera del directorio de subidas.

Gracias a Slavco por informar del problema original y a Matt Barry por informar de problemas relacionados.

Se han solucionado otros diecisiete fallos en WordPress 4.9.7. Anotamos aquí estos en particular:

  • Taxonomía: Mejora de la gestión de caché en las peticiones de términos.
  • Entradas, tipos de contenido: Limpieza de la cookie de contraseña perdida al salir de la sesión.
  • Widgets: Se permiten etiquetas HTML básicas en las descripciones de la barra lateral en la pantalla de administración de widgets.
  • Escritorio de eventos de la comunidad: Siempre se muestra la WordCamp cercana siguiente, aunque haya varias meetups antes.
  • Privacidad: Nos aseguramos de que el contenido por defecto de la política de privacidad no provoque un error fatal al modificar las reglas de rewrite fuera del contexto de la administración.

Descarga WordPress 4.9.7 o pásate por Escritorio → Actualizaciones y haz clic en “Actualizar ahora.” Los sitios compatibles con actualizaciones automáticas de fondo ya se están empezando a actualizar automáticamente.

La anteriormente programada como 4.9.7 ahora será la 4.9.8, y seguirá la programación de lanzamiento publicada ayer.

Gracias a todos los que han contribuido a WordPress 4.9.7:

1naveengiriAaron JorbinabdullahramzanalejandroxlopezAndrew OzzArunBirgir Erlendsson (birgire)BjornWBoone GorgesBrandon KraftChetan PrajapatiDavid HerreraFelix ArntzGarethIan DunnibelangerJohn BlackbournJonathan DesrosiersJoykhaihonglbenicioLeander IversenmermelmetalandcoffeeMigrated to @jeffpaulpalmiakSergey BiryukovskoldinSubrata SarkarTowhidul Islamwarmlaundry, y YuriV.

WordPress 4.9.5, actualización de seguridad y mantenimiento

Ya está disponible WordPress 4.9.5. Esta es una actualización de seguridad y mantenimiento para todas las versiones desde WordPress 3.7. Te animamos encarecidamente a que actualices tus sitios de inmediato.

Las versiones de WordPress 4.9.4 y anteriores están afectadas por tres problemas de seguridad. Como parte del compromiso del equipo del núcleo con el refuerzo de la seguridad se han implementado los siguientes arreglos en la versión 4.9.5:

  1. No tratar localhost como el mismo host por defecto.
  2. Uso de redirecciones seguras al redirigir la página de acceso si se ha forzado el SSL.
  3. Asegurar que la cadena de la versión se escapa correctamente para usarla en las etiquetas generator.

Gracias a los que han informado de estos problemas por practicar la divulgación coordinada de seguridadxknownNitin Venkatesh (nitstorm) y Garth Mortensen del equipo de seguridad de WordPress.

Se han solucionado otros veinticinco fallos en la versión de WordPress 4.9.5. Queremos destacar algunos:

  • Se han restaurado los anteriores estilos en los shortcodes de leyenda.
  • Ahora se puede recortar en dispositivos de pantalla táctil.
  • Se  ha actualizado diversas cadenas como por ejemplo mensajes de error para que sean más claras.
  • Se ha solucionado la posición del marcador de posición del adjunto durante la carga de archivos.
  • La funcionalidad de nonces personalizados en el cliente JavaScript de la REST API se ha hecho que sea consistent en todo el código base.
  • Compatibilidad mejorada con PHP 7.2.

Esta entrada tiene más información (en inglés) sobre todos los problemas solucionados en la versión 4.9.5, por si quieres aprender más.

Descarga WordPress 4.9.5 o pásate por tu Escritorio → Actualizaciones y haz clic en “Actualizar ahora.” Los sitios compatibles con las actualizaciones automáticas en segundo plano ya están empezando a actualizarse automáticamente.

Gracias a todos los que han contribuido a WordPress 4.9.5:

1265578519Aaron JorbinAdam SilversteinAlain SchlesseralexgsoAndrea Ferciaandrei0x309antipoleAnwer ARBirgir Erlendsson (birgire)Blair jersyerBrooke.Chetan Prajapaticodegrauconner_bwDavid A. KennedydesignsimplyDion HulseDominik Schilling (ocean90)ElectricFeetericmeyerFPCSJamesGarrett HyderGary PendergastGennady KovsheninHenry WrightJb AudrasJeffrey PaulJip MoorsJoe McGillJoen AsmussenJohn BlackbournjohnpgreenJunaid AhmedkristastevensKonstantin ObenlandLaken HafnerLance WillettleemonMel ChoyceMike SchrodermrmadhatnandorskyNidhi JainPascal BirchlerqcmiaoRachel BakerRachel PeterRavanHSamuel Wood (Otto)Sebastien SERRESergey BiryukovShital MarakanaStephen EdgarTammie ListerThomas VitaleWill Kwon, y Yahil Madakiya.

WordPress 4.9.2, actualización de seguridad y mantenimiento

WordPress 4.9.2 está disponible. Esta es una actualización de seguridad y mantenimiento para todas las versiones desde WordPress 3.7. Te recomendamos encarecidamente que actualices inmediatamente tus sitios.

Se ha descubierto una vulnerabilidad XSS en los archivos Flash de MediaElement, una biblioteca incluida en WordPress.Como los archivos Flash ya no se necesitan en la mayoría de las ocasiones se han eliminado de WordPress.

MediaElement ha lanzado una nueva versión que contiene una solución para el fallo, y hay un  plugin WordPress que contiene los archivos arreglados disponible en el directorio de plugins.

Gracias a los que han informado de estos problemas por practicar la divulgación responsable: Enguerran Gillier y Widiz.

Se ha solucionado otros 21 fallos en WordPress 4.9.2. Merecen especial atención estos:

  • Se han solucionado errores JavaScript que impedían guardar entradas en Firefox.
  • Se ha restaurado el anterior comportamiento independiente de la taxonomía de get_category_link() y category_description().
  • Al cambiar de temas ahora se tratará de restaurar las asignaciones de widgets previas, incluso aunque no haya barras laterales que coincidan.

El Codex tienen más información de todos los problemas solucionados en la versión 4.9.2, por si quieres aprender más.

Descarga WordPress 4.9.2 o pásate por tu Escritorio → Actualizaciones y simplemente haz clic en “Actualizar ahora.”Los sitios compatibles con las actualizaciones automáticas en segundo plano ya se están actualizando.

Gracias a todos los que han colaborado con WordPress 4.9.2:

0x6f0Aaron JorbinAndrea FerciaAndrew DuthieAndrew OzzBlobfolioBoone GorgesCaleb BurksCarolina NymarkchasewgChetan PrajapatiDion HulseHardik AmiparaionvvJason CaldwellJeffrey PaulJeremy FeltJoe McGilljohnschulzJuhi PatelKonstantin ObenlandMark JaquithNilambar SharmaPeter WilsonRachel BakerRinku YSergey Biryukov, and Weston Ruter.

WordPress 4.9.1, actualización de seguridad y mantenimiento

Ya está disponible WordPress 4.9.1. Esta es una actualización de seguridad y mantenimiento para todas las versiones desde WordPress 3.7. Te recomendamos encarecidamente que actualices inmediatamente tus sitios.

Las versiones de WordPress 4.9 y anteriores están afectadas por problemas de seguridad que podrían, potencialmente, ser aprovechados como parte de un ataque en varios vectores. Como parte del lanzamiento en marcha del equipo principal del núcleo, para fortalecer las seguridad, se han implementado las siguientes soluciones en la versión 4.9.1:

  1. Uso de un hast generado correctamente en la clave newbloguser en vez de una subcadena determinada.
  2. Añadido un escape a los atributos de idioma utilizados en los elementos html.
  3. Asegurar que los cierres de atributos se escapan correctamente en los feeds RSS y Atom.
  4. Eliminada la posibilidad de subir archivos JavaScript por los usuarios que no tengan la capacidad de unfiltered_html.

Gracias a los que han informado de estos problemas por practicar la divulgación responsable: Rahul Pratap Singh y John Blackbourn.

Se han solucionado otros once fallos en WordPress 4.9.1. En concreto citamos estos:

  • Problemas relacionados con la caché de los archivos de plantillas de temas.
  • Un error de MediaElement JavaScript que impedía que usuarios de ciertos idiomas pudieran subir archivos de medios.
  • La imposibilidad de editar archivos de temas y plugins en servidores basados en Windows.

Si quieres aprender más esta entrada tiene más información sobre los problemas solucionados en la versión 4.9.1.

Descarga WordPress 4.9.1 o pásate por tu Escritorio → Actualizaciones y simplemente haz clic en “Actualizar ahora.”Los sitios compatibles con las actualizaciones automáticas en segundo plano ya se están actualizando a WordPress 4.9.1

Gracias a todos los que han colaborado con la versión 4.9.1

Alain SchlesserAndrea FerciaAngelika ReisigerBlobfoliobobbingwideChetan PrajapatiDion HulseDominik Schilling (ocean90)edo888Erich MunzFelix ArntzFlorian TIARGary PendergastIgor BenicJeff FarthingJeffrey PauljeremyescottJoe McGillJohn BlackbournjohnpgreenKelly DwanlenastergMarius L. J.Mel ChoyceMário ValneynatacadoodysseypreciesSašaSergey Biryukov y Weston Ruter.

WordPress 4.8.3, actualización de seguridad

WordPress 4.8.3 está disponible. Es una actualización de seguridad para todas las versiones previas y te animamos encarecidamente a actualizar inmediatamente tus sitios.

Las versiones de WordPress 4.8.2 y anteriores están afectadas por un problema por el que $wpdb->prepare() puede crear peticiones inseguras e inesperadas que podrían generar potenciales inyecciones SQL (SQLi). El núcleo de WordPress no es vulnerable por sí mismo a este problema, pero hemos añadido esta actualización para fortalecerlo y evitar que plugins y temas provoquen accidentalmente una vulnerabilidad. Informado por Anthony Ferrara.

Esta versión incluye un cambio en el comportamiento de la función esc_sql(). La mayoría de los desarrolladores no se verán afectados por este cambio, y puedes leer más detalles en la nota de desarrollo.

Gracias a quien ha informado por practicar la divulgación responsable.

Descarga WordPress 4.8.3 o pásate por tu Escritorio → Actualizaciones y simplemente haz clic en “Actualizar ahora.”Los sitios compatibles con las actualizaciones automáticas en segundo plano ya se están actualizando a WordPress 4.8.3.

WordPress 4.8.2, actualización de seguridad y mantenimiento

WordPress 4.8.2 está disponible. Es una actualización de seguridad de todas las versiones anteriors y te animamos encarecidamente a que actualices tus sitios de inmediato.

Las versiones de WordPress 4.8.1 y anteriores están afectadas por estos problemas de seguridad:

  1. $wpdb->prepare() puede crear peticiones inseguras e inesperadas que lleven a una inyección SQL (SQLi). El núcleo de WordPress no es directamente vulnerable a este problema pero hemos añadido un refuerzo para evitar que plugins y temas provoquen accidentalmente una vulnerabilidad. Informado por Slavco
  2. Se ha descubierto una vulnerabilidad de cross-site scripting (XSS) en oEmbed discovery. Informado por xknown del equipo de seguridad de WordPress.
  3. Se ha descubierto una vulnerabilidad cross-site scripting (XSS) en el editor visual. Informado por Rodolfo Assis (@brutelogic) de Sucuri Security.
  4. Se ha descubierto una vulnerabilidad de ruta transversal en el código de descompresión de archivos. Informado por Alex Chapman (noxrnet).
  5. Se ha descubierto una vulnerabilidad cross-site scripting (XSS) en el editor de plugins. Informado por 陈瑞琦 (Chen Ruiqi).
  6. Se ha descubierto una redirección abierta en las pantallas de edición de usuarios y términos. Informado por Yasin Soliman (ysx).
  7. Se ha descubierto una vulnerabilidad de ruta transversal en el personalizador. Informado por Weston Ruter del equipo de seguridad de WordPress.
  8. Se ha descubierto una vulnerabilidad cross-site scripting (XSS) en los nombres de plantilla. Informado por Luka (sikic).
  9. Se ha descubierto una vulnerabilidad cross-site scripting (XSS) en la ventana emergente de añadir enlaces. Informado por Anas Roubi (qasuar).

Gracias a los que han informado por practicar la divulgación responsable.

Además de los problemas de seguridad de arriba, WordPress 4.8.2 contiene 6 mejoras de mantenimiento para las versiones 4.8. Para más información revisa las notas de la versión o consulta la lista de cambios.

Descarga WordPress 4.8.2 o pásate por tu Escritorio → Actualizaciones y simplemente haz clic en “Actualizar ahora.”Los sitios compatibles con las actualizaciones automáticas en segundo plano ya se están actualizando a WordPress 4.8.2.

Gracias a todos los que han colaborado con la versión 4.8.2.

WordPress 4.7.5, actualización de seguridad y mantenimiento

Ya está disponible WordPress 4.7.5. Esta es una actualización de seguridad para todas las versiones anteriores, y recomendamos encarecidamente que actualices tus sitios de inmediato.

Las versiones de WordPress 4.7.4 y anteriores están afectadas por seis problemas de seguridad:

  1. Validación insuficiente en redirecciones en la clase HTTP. Informado por Ronni Skansing.
  2. Gestión incorrecta de los valores de datos de los meta de entrada en la API XML-RPC. Informado por Sam Thomas.
  3. Falta de comprobaciones de capacidad en los datos meta de entrada de la API XML-RPC. Informado por Ben Bidner del equipo de seguridad de WordPress.
  4. Una vulnerabilidad Cross Site Request Forgery (CRSF) descubierta en el cuadro de diálogo de las credenciales del sistema de archivos. Informado por Yorick Koster.
  5. Una vulnerabilidad cross-site scripting (XSS) descubierta al tratar de subir archivos muy grandes. Informado por Ronni Skansing.
  6. Una vulnerabilidad cross-site scripting (XSS) descubierta relacionada con el Personalizador. Informado por Weston Ruter del equipo de seguridad de WordPress.

Gracias a los que han informado por practicar la divulgación responsable.

Además de los problemas de seguridad anteriores, WordPress 4.7.5 contiene 3 arreglos de mantenimiento de la versión 4.7.  Para más información revisa las notas de la versión o consulta la lista de cambios.

Descarga WordPress 4.7.5 o pásate por tu Escritorio → Actualizaciones y simplemente haz clic en “Actualizar ahora.”  Los sitios compatibles con actualizaciones en segundo plano ya están empezando a actualizarse a WordPress 4.7.5.

Gracias a todos los que han colaborado con la versión 4.7.5.