WordPress 3.6.1 (Actualización de mantenimiento y seguridad)

Acaba de ser liberada la versión 3.6.1 de WordPress, una actualización que resuelve 13 errores y algunos fallos de seguridad:

  • Bloquea “deserializaciones” de PHP  no seguras que podrían, en algunas instalaciones y configuraciones, conducir a ejecución de código remoto. Reportado por Tom Van Goethem.
  • Previene que un usuario con rol de Autor, utilizando una llamda muy elaborada, pueda crear una entrada “escrita por” otro usuario. Reportado por Anakorn Kyavatanakij.
  • Arregla validaciones de entrada insuficiente que podría conllevar una redirección a otras webs. Reportado por Dave Cummo, de Northrup Grumman subcontratados por  U.S. Centers for Disease Control and Prevention.

También se han ajustado algunas restricciones de la subida de archivos para limitar el riesgo de “cross-site scripting”.

Al ser una versión de seguridad, se recomienda encarecidamente actualizar las instalaciones. Basta con ir a Escritorio –> Actualizaciones.

(Esta entrada es una adaptación de la oficial en inglés).

Puedes encontrar más información sobre actualizaciones en el Codex.

Error de página en blanco tras actualizar

Varios usuarios han informado que estaban teniendo errores de página en blanco tras actualizar a la versión en español de WordPress 2.9.

Algunos usuarios lo han solucionado subiendo la versión en inglés y luego subiendo el fichero es_ES.mo de la traducción a la carpeta ‘/wp-content/languages/

Pues bien, esto es un problema que veníamos heredando de versiones anteriores y parece que era debido a versiones de ficheros “core” (los básicos del sistema) que se habían modificado y ya no funcionaban correctamente.

Acabo de subir una versión limpia, eliminando los ficheros que provocaban conflictos y, tras unas cuantas pruebas, he podido comprobar que tanto la versión disponible como descarga como la actualización ya funcionan correctamente sin provocar ese error.

No obstante, con unas cuantas pruebas puede que no sea suficiente, pero os invito a actualizar de nuevo porque creo que ya está solucionado.

Perdón por las molestias ocasionadas.

WordPress 2.6.2

Esta última actualización nos cogió un poco a trasmano, pero aquí está ya la versión en castellano. Se trata de una actualización de seguridad para corregir una vulnerabilidad que afecta también a otras aplicaciones de PHP y, en el caso concreto de WordPress, a los blogs que permiten el registro de nuevos usuarios. En el blog oficial está toda la información en inglés.

Revisión de la versión 2.6

Gracias a este comentario de Sandro Franchi, hemos corregido un error en el paquete español de la versión 2.6. Como advierte Sandro, el archivo wp-config-sample.php de este paquete no correspondía al de la versión 2.6 de WordPress, sino al de la 2.5; ahora ya está actualizado en el paquete de descarga.

Si ya has actualizado tu blog, lo más probable es que hayas mantienido intacto tu archivo wp-config.php, por lo que este error no te afecta en absoluto. Los cambios en wp-config-sample.php están dirigidos a quienes deseen acceder a las páginas de administración de su blog por medio de una conexión segura SSL, como podéis leer (en inglés) en esta entrada de Ryan Boren. Si ese es tu caso y ya has actualizado tu blog, puedes descargar este único archivo haciendo clic derecho en este enlace y seleccionando “Guardar como…”. Después, ya sabes, ábrelo en un editor de texto, escribe tus datos y guárdalo como wp-config.php.

En esta revisión también se ha corregido el archivo akismet.php, que había quedado sin actualizar. Aunque tampoco supone un problema mayor para quienes ya hayan actualizado su blog, es recomendable descargar el archivo (clic derecho, “Guardar como…”) y sustituir el que se encuentra en /wp-content/plugins/akismet/.