WordPress 4.4.1 – Actualización de seguridad y mantenimiento

WordPress 4.4.1 ya está disponible para actualizarse. Esta es una actualización de seguridad para todas las versiones previas, y te animamos encarecidamente a que actualices tus sitios inmediatamente.

Las versiones de WordPress 4.4 y anteriores están afectadas por  una vulnerabilidad de scripts cruzados que podría permitir que un sitio quedase comprometido. El aviso lo dió Crtc4L.

También incluye diversas soluciones de errores no relacionados con la seguridad:

  • El soporte de emoji se ha actualizado para incluir los últimos caracteres emoji, como las nuevas variaciones de emoji 👍🏿👌🏽👏🏼
  • Algunos sitios con versiones anteriores de Open SSL instaladas eran incapaces de comunicarse con otros servicios ofrecidos en plugins.
  • Si la URL de una publicación se reutilizaba el sito podría redirigir a la publicación incorrecta.

WordPress 4.4.1 soluciona 52 fallos desde la versión 4.4. Para más información echa un vistazo a las notas de la versión o consulta la lista de cambios.

Descarga WordPress 4.4.1 o pásate por ·Escritorio → Actualizaciones y simplemente haz clic en “Actualizar ahora”. Los sitios que tengan activas las actualizaciones automáticas en segundo plano ya están actualizándose a WordPress 4.4.1.

Gracias a todos los que han colaborado con la versión 4.4.1:

Aaron D. CampbellAaron JorbinAndrea FerciaAndrew NacinAndrew OzzBoone GorgesComputeDaniel Jalkut (Red Sweater)Danny van KootenDion HulseDominik Schilling (ocean90)Dossy ShiobaraEvan HermanGary PendergastgblsmHinaloeIgnacio Cruz MorenojadpmJeff Pye BrookJoe McGillJohn BlackbournjprKonstantin ObenlandKrissieVMarin AtanasovMatthew EllMeitarPascal BirchlerPeter WilsonRoger ChenRyan McCueSal FerrarelloScott TaylorscottbrownconsultingSergey BiryukovShinichi NishikawasmerrimanStephen EdgarStephen Harristharsheblowsvoldemortensen, and webaware.

WordPress 4.3.1 Actualización de mantenimiento y seguridad

WordPress 4.3.1 está ya disponible. Esta es una actualización de seguridad para todas las versiones anteriores así que es importante que actualices tus sitios de inmediato.

Esta versión soluciona tres problemas, incluidas dos vulnerabilidades de scripts cruzados (XSS) y un escalado potencial de privilegios

  • Las versiones de WordPress 4.3 y anteriores son vulnerables a una vulnerabilidad XSS al procesar tags de shortcode (CVE-2015-5714). Avisado por Shahar Tal y Netanel Rubin de Check Point.
  • Se ha encontrado otra vulnerabilidad XSS en la tabla de la lista de usuarios. Avisado por Ben Bidner del Equipo de seguridad de WordPress.
  • Por último, en ciertos casos, usuarios sin los permisos adecuados podrían publicar entradas privadas y hacerlas fijas (CVE-2015-5715). Avisado por Shahar Tal y Netanel Rubin de Check Point.

Todo nuestro agradecimiento a los que han hecho una divulgación responsable de problemas de seguridad.

WordPress 4.3.1 también arregla otros 26 fallos. Para más información revisa las notas de la versión o consulta la lista de cambios.

Descarga WordPress 4.3.1 o pásate por Escritorio → Actualizaciones y haz clic en  “Actualizar ahora.” Los sitios que tengan activas las actualizaciones automáticas desatendidas ya están empezando a actualizarse a WordPress 4.3.1.

Gracias a todos los que han contribuido a la versión 4.3.1:

Adam SilversteinAndrea FerciaAndrew OzzBoone GorgesBrandon Kraftchriscct7Daisuke TakahashiDion HulseDominik SchillingDrew JaynesdustinboltonGary PendergasthauvongJames HuffJeremy FeltjobstMarin AtanasovNick HalseynikeoNikolay BachiyskiPascal BirchlerPaul RyanPeter WilsonRobert ChapinSamuel WoodScott TaylorSergey BiryukovtmatsuurTracy LevesqueUmesh NevasevortfuwelcherWeston Ruter

3.9.2, 3.8.4, y 3.7.4. Actualizaciones de seguridad

Si tu sitio WordPress estaba en la versión 3.9.1 o en la versión 3.8.3, esta noche se te debe haber actualizado automáticamente. Para los que tengáis las versiones 3.7.3, o tengáis las actualizaciones automáticas desactivadas, es muy recomendable actualizar WordPress cuanto antes.

 Esta actualización de seguridad arregla un problema de posible acceso remoto que puede llegar a daros problemas, así que volvemos a recomendaros actualizar cuanto antes.

WordPress 3.6.1 (Actualización de mantenimiento y seguridad)

Acaba de ser liberada la versión 3.6.1 de WordPress, una actualización que resuelve 13 errores y algunos fallos de seguridad:

  • Bloquea “deserializaciones” de PHP  no seguras que podrían, en algunas instalaciones y configuraciones, conducir a ejecución de código remoto. Reportado por Tom Van Goethem.
  • Previene que un usuario con rol de Autor, utilizando una llamda muy elaborada, pueda crear una entrada “escrita por” otro usuario. Reportado por Anakorn Kyavatanakij.
  • Arregla validaciones de entrada insuficiente que podría conllevar una redirección a otras webs. Reportado por Dave Cummo, de Northrup Grumman subcontratados por  U.S. Centers for Disease Control and Prevention.

También se han ajustado algunas restricciones de la subida de archivos para limitar el riesgo de “cross-site scripting”.

Al ser una versión de seguridad, se recomienda encarecidamente actualizar las instalaciones. Basta con ir a Escritorio –> Actualizaciones.

(Esta entrada es una adaptación de la oficial en inglés).

Puedes encontrar más información sobre actualizaciones en el Codex.

WordPress 3.4.1 (actualización de seguridad)

Se ha publicado la primera actualización de seguridad de WordPress 3.4 (Green). Resuelve algunos problemas y vulnerabilidades:

  1. Las plantillas de los temas que, en determinados casos, no se detectaban
  2. La estructura de los enlaces permanentes de algunas categorías
  3. La carga de Javascript en algunos plugins y temas
  4. Mejora la subida de contenidos en iOS 6,
  5. Permite algunas acciones para detectar activaciones en redes
  6. Mejor compatibilidad con servidores que van sobre algunas versiones de PHP (5.2.4 ó 5.4) con configuraciones poco comunes  (safe mode, open_basedir), que creaba alertas o impedía que se enviaran algunos correos

También se resuelven algunas vulnerabilidades más serias: la revelación de información y un error con usuarios no seguros de instalaciones multisite.  El equipo de seguridad de WordPress las ha detectado y arreglado.

Podéis verlo en detalle en la entrada original el inglés y los cambios específicos en el trac.

Descarga la versión 3.4.1  (es_ES)  o dirigete a tu Escritorio → Actualizaciones en la administración de tu sitio para actualizar WordPress.

WordPress 3.3.2 (actualización de seguridad)

Ya está disponible la actualización 3.3.2, una actualización de seguridad que soluciona diversas vulnerabilidades:

  • Plupload (versión 1.5.4), que WordPress utiliza para subir archivos.
  • SWFUpload, que WordPress utilizaba antes para subir archivos y puede seguir en uso por parte de plugins.
  • SWFObject, que WordPress utilizaba antes para incrustar contenido Falsh y puede seguir en uso por parte de plugins y temas.
  • Escalado limitado de privilegios cuando un administrador de sitio podía desactivar plugins para toda la red al ejecutar una red WordPress en ciertas circunstancias
  • Vulnerabilidad XSS al hacer URLs clicables
  • Vulnerabilidad XSS en redirecciones tras publicar comentarios en navegadores antiguos, y al filtrar URLs

Reseteo de contraseñas

Esta mañana el equipo de WordPress ha encontrado actualizaciones sospechosas de algunos de los plugins más populares (AddThis, WPtouch, y W3 Total Cache) que contenían puertas traseras hábilmente disfrazadas. Hemos determinado que las actualizaciones no fueron de los autores, por lo que las eliminamos, avisamos de una nueva actualización de cada plugin, y cerramos el acceso al repositorio de plugins mientras revisábamos el sistema.

Todavía estamos investigando qué ha pasado, pero como medida de control hemos decidido forzar un reseteo para todas las contraseñas de WordPress.org [esto incluye las de GlotPress]. Para usar los foros, el trac, o actualizar por SVN un plugin o un tema, tendrás que resetear tu contraseña. (Tendrás que hacer lo mismo para bbPress.org y BuddyPress.org.)

Como usuario, asegúrate de que nunca utilizas la misma contraseña para dos servicios diferentes, y te aconsejamos encarecidamente que, al cambiar tu contraseña, no utilices la misma que antiguamente.

Segundo, si utilizas AddThisWPtouch, o W3 Total Cache y hay posibilidad de que lo hayas actualizado en el día de ayer, asegúrate de visitar tu página de actualizaciones y actualizar todos los plugins a su última versión.

Original en https://wordpress.org/news/2011/06/passwords-reset/