WordPress 4.9.1, actualización de seguridad y mantenimiento

Ya está disponible WordPress 4.9.1. Esta es una actualización de seguridad y mantenimiento para todas las versiones desde WordPress 3.7. Te recomendamos encarecidamente que actualices inmediatamente tus sitios.

Las versiones de WordPress 4.9 y anteriores están afectadas por problemas de seguridad que podrían, potencialmente, ser aprovechados como parte de un ataque en varios vectores. Como parte del lanzamiento en marcha del equipo principal del núcleo, para fortalecer las seguridad, se han implementado las siguientes soluciones en la versión 4.9.1:

  1. Uso de un hast generado correctamente en la clave newbloguser en vez de una subcadena determinada.
  2. Añadido un escape a los atributos de idioma utilizados en los elementos html.
  3. Asegurar que los cierres de atributos se escapan correctamente en los feeds RSS y Atom.
  4. Eliminada la posibilidad de subir archivos JavaScript por los usuarios que no tengan la capacidad de unfiltered_html.

Gracias a los que han informado de estos problemas por practicar la divulgación responsable: Rahul Pratap Singh y John Blackbourn.

Se han solucionado otros once fallos en WordPress 4.9.1. En concreto citamos estos:

  • Problemas relacionados con la caché de los archivos de plantillas de temas.
  • Un error de MediaElement JavaScript que impedía que usuarios de ciertos idiomas pudieran subir archivos de medios.
  • La imposibilidad de editar archivos de temas y plugins en servidores basados en Windows.

Si quieres aprender más esta entrada tiene más información sobre los problemas solucionados en la versión 4.9.1.

Descarga WordPress 4.9.1 o pásate por tu Escritorio → Actualizaciones y simplemente haz clic en “Actualizar ahora.”Los sitios compatibles con las actualizaciones automáticas en segundo plano ya se están actualizando a WordPress 4.9.1

Gracias a todos los que han colaborado con la versión 4.9.1

Alain SchlesserAndrea FerciaAngelika ReisigerBlobfoliobobbingwideChetan PrajapatiDion HulseDominik Schilling (ocean90)edo888Erich MunzFelix ArntzFlorian TIARGary PendergastIgor BenicJeff FarthingJeffrey PauljeremyescottJoe McGillJohn BlackbournjohnpgreenKelly DwanlenastergMarius L. J.Mel ChoyceMário ValneynatacadoodysseypreciesSašaSergey Biryukov y Weston Ruter.

WordPress 4.7.3: Actualización de seguridad y mantenimiento

Ya está disponible WordPress 4.7.3. Esta es una actualización de seguridad para todas las versiones previas y te animamos encarecidamente a actualizar inmediatamente tus sitios.

Todas las versiones de WordPress 4.7.2 y anteriores están afectadas por seis problemas de seguridad:

  1. Cross-site scripting (XSS) a través de metadatos de archivos de medios. Informado por Chris Andrè Dale, Yorick Koster y Simon P. Briggs.
  2. Los caracteres de control pueden engañar a la validación de redirección de la URL. Informado por Daniel Chatfield.
  3. Los administradores pueden borrar archivos sin querer al usar la funcionalidad de borrado de plugins.  Informado por xuliang.
  4. Cross-site scripting (XSS) a través de la URL del vídeo en incrustados de YouTube. Informado por Marc Montpas.
  5. Cross-site scripting (XSS) a través de nombres de términos de taxonomías. Informado por Delta.
  6. Cross-site request forgery (CSRF) en Publicar esto que lleva a un consumo excesivo de recursos del servidor. Informado por Sipke Mellema.

Gracias a los que informaron de estos problemas practicando la revelación responsable.

Además de los problemas de seguridad informados arriba, WordPress 4.7.3 contiene 39 ajustes de mantenimiento para toda la serie de versiones 4.7. Para más información revisa las notas de la versión o consulta la lista de cambios.

Descarga WordPress 4.7.3 o pásate por el escritorio de WordPress → Actualizaciones y simplemente haz clic en “Actualizar ahora”Los sitios compatibles con las actualizaciones automáticas en segundo plano ya se están actualizando solos a WordPress 4.7.3.

Gracias a todos los que han colaborado con la versión 4.7.3: Aaron D. Campbell, Adam Silverstein, Alex Concha, Andrea Fercia, Andrew Ozz, asalce, blobfolio, bonger, Boone Gorges, Boro Sitnikovski, Brady Vercher, Brandon Lavigne, Bunty, ccprog, chetansatasiya, David A. Kennedy, David Herrera, Dhanendran, Dion Hulse, Dominik Schilling (ocean90), Drivingralle, Ella Van Dorpe, Gary Pendergast, Ian Dunn, Ipstenu (Mika Epstein), James Nylen, jazbek, Jeremy Felt, Jeremy Pry, Joe Hoyle, Joe McGill, John Blackbourn, John James Jacoby, Jonathan Desrosiers, Kelly Dwan, Marko Heijnen, MatheusGimenez, Mike Nelson, Mike Schroder, Muhammet Arslan, Nick Halsey, Pascal Birchler, Paul Bearne, pavelevap, Peter Wilson, Rachel Baker, reldev, Robert O’Rourke, Ryan Welcher, Sanket Parmar, Sean Hayes, Sergey Biryukov, Stephen Edgar, triplejumper12, Weston Ruter y wpfo.

WordPress 4.7.2 – Actualización de seguridad

Ya está disponible WordPress 4.7.2. Es una actualización de seguridad para todas las versiones y te animamos encarecidamente a actualizar tus sitios de inmediato.

Las versiones de WordPress 4.7.1 y anteriores están afectadas por estos tres problemas de seguridad:

  1. La interfaz de usuario en la que se asignan términos a taxonomías en Publicar esto se muestra a usuarios que no tienen permisos para usarlas. Informado por David Herrera de Alley Interactive.
  2. WP_Query rs vulnerable a una inyección SQL (SQLi) al pasar datos no seguros. El núcleo de WordPress no es vulnerable directamente a este problema pero hemos añadido refuerzo para evitar que plugins y temas puedan provocar accidentalmente una vulnerabilidad. Informado por Mo Jangda (batmoo).
  3. Se ha descubierto una vulnerabilidad de cross-site scripting (XSS) en la tabla de lista de entradas. Informado por Ian Dunn del equipo de seguridad de WordPress.

Gracias a los que informaron de estos problemas practicando la revelación responsable.

Descarga WordPress 4.7.2 o pásate por el escritorio de WordPress → Actualizaciones y simplemente haz clic en “Actualizar ahora”Los sitios compatibles con las actualizaciones automáticas en segundo plano ya se están actualizando solos a WordPress 4.7.2.

WordPress 4.7.1 Actualización de mantenimiento y seguridad

WordPress 4.7 se ha descargado ya más de 10 millones de veces desde su lanzamiento el 6 de diciembre de 2016, y estamos encantados de anunciar la disponibilidad inmediata de WordPress 4.7.1. Esta es una actualización de seguridad de todas las versiones anteriores y te animamos encarecidamente a actualizar tus sitios de inmediato.

Las versiones de WordPress 4.7 y anteriores están afectadas por ocho problemas de seguridad:

  1. Ejecución de código remoto en PHPMailer – No hay ningún problema específico que afecte a WordPress o a los principales plugins que hemos investigado pero, por precaución, hemos actualizado PHPMailer en esta versión Este problema lo informaron a PHPMailer Dawid Golunski y Paul Buonopane.
  2. La REST API exponía datos de usuario de todos los usuarios autores de una entrada o un tipo de contenido público. WordPress 4.7.1 limita esto solo a los tipos de contenido que se especifique que deban mostrarse en la REST API. Informaron Krogsgard y Chris Jean.
  3. Vulnerabilidad XSS a través del nombre del plugin o la cabecera de la versión en update-core.php. Informado por Dominik Schilling, del equipo de seguridad de WordPress.
  4. Vulnerabilidad CSRF al subir un archivo flash. Informado por Abdullah Hussam.
  5. Vulnerabilidad XSS mediante la retirada del nombre del tema. Informado por Mehmet Ince.
  6. La publicación por correo electrónico revisa mail.example.com si no han cambiado los ajustes por defecto. Informado por John Blackbourn, del equipo de seguridad de WordPress.
  7. Vulnerabilidad CSRF descubierta en e modo de accesibilidad de la edición de widgets. Informada por Ronnie Skansing.
  8. Seguridad criptográfica débil en la clave de activación de multisitio. Informado por Jack.

Gracias a todos los que han informado por practicar la revelación responsable.

Además de los anteriores problemas de seguridad, WordPress 4.7.1 soluciona 62 fallos desde la versión 4.7. Para más información revisa las notas de la versión o consulta la lista completa de cambios.

Descarga WordPress 4.7.1 o pásate por tu Escritorio → Actualizar y simplemente haz cic en «Actualizar ahora». Los sitios compatibles con las actualizaciones automáticas en segundo plano ya se están actualizando solos a WordPress 4.7.1.

Gracias a todos los que han colaborado con la versión 4.7.1: Aaron D. Campbell, Aaron Jorbin, Adam Silverstein, Andrea Fercia, Andrew Ozz, bonger, Boone Gorges, Chandra Patel, David Herrera, David Shanske, Dion Hulse, Dominik Schilling (ocean90), DreamOn11, Edwin Cromley, Ella van Dorpe, Gary Pendergast, James Nylen, Jeff Bowen, Jeremy Felt, Jeremy Pry, Joe McGill, John Blackbourn, Keanan Koppenhaver, Konstantin Obenland, laurelfulford, Marin Atanasov, mattyrob, monikarao, Nate Reist, Nick Halsey, Nikhil Chavan, nullvariable, Payton Swick, Peter Wilson, Presskopp, Rachel Baker, Ryan McCue, Sanket Parmar, Sebastian Pisula, sfpt, shazahm1, Stanimir Stoyanov, Steven Word, szaqal21, timph, voldemortensen, vortfu y Weston Ruter.

WordPress 4.4.1 – Actualización de seguridad y mantenimiento

WordPress 4.4.1 ya está disponible para actualizarse. Esta es una actualización de seguridad para todas las versiones previas, y te animamos encarecidamente a que actualices tus sitios inmediatamente.

Las versiones de WordPress 4.4 y anteriores están afectadas por  una vulnerabilidad de scripts cruzados que podría permitir que un sitio quedase comprometido. El aviso lo dió Crtc4L.

También incluye diversas soluciones de errores no relacionados con la seguridad:

  • El soporte de emoji se ha actualizado para incluir los últimos caracteres emoji, como las nuevas variaciones de emoji 👍🏿👌🏽👏🏼
  • Algunos sitios con versiones anteriores de Open SSL instaladas eran incapaces de comunicarse con otros servicios ofrecidos en plugins.
  • Si la URL de una publicación se reutilizaba el sito podría redirigir a la publicación incorrecta.

WordPress 4.4.1 soluciona 52 fallos desde la versión 4.4. Para más información echa un vistazo a las notas de la versión o consulta la lista de cambios.

Descarga WordPress 4.4.1 o pásate por ·Escritorio → Actualizaciones y simplemente haz clic en «Actualizar ahora». Los sitios que tengan activas las actualizaciones automáticas en segundo plano ya están actualizándose a WordPress 4.4.1.

Gracias a todos los que han colaborado con la versión 4.4.1:

Aaron D. CampbellAaron JorbinAndrea FerciaAndrew NacinAndrew OzzBoone GorgesComputeDaniel Jalkut (Red Sweater)Danny van KootenDion HulseDominik Schilling (ocean90)Dossy ShiobaraEvan HermanGary PendergastgblsmHinaloeIgnacio Cruz MorenojadpmJeff Pye BrookJoe McGillJohn BlackbournjprKonstantin ObenlandKrissieVMarin AtanasovMatthew EllMeitarPascal BirchlerPeter WilsonRoger ChenRyan McCueSal FerrarelloScott TaylorscottbrownconsultingSergey BiryukovShinichi NishikawasmerrimanStephen EdgarStephen Harristharsheblowsvoldemortensen, and webaware.

3.9.2, 3.8.4, y 3.7.4. Actualizaciones de seguridad

Si tu sitio WordPress estaba en la versión 3.9.1 o en la versión 3.8.3, esta noche se te debe haber actualizado automáticamente. Para los que tengáis las versiones 3.7.3, o tengáis las actualizaciones automáticas desactivadas, es muy recomendable actualizar WordPress cuanto antes.

 Esta actualización de seguridad arregla un problema de posible acceso remoto que puede llegar a daros problemas, así que volvemos a recomendaros actualizar cuanto antes.

WordPress 3.6.1 (Actualización de mantenimiento y seguridad)

Acaba de ser liberada la versión 3.6.1 de WordPress, una actualización que resuelve 13 errores y algunos fallos de seguridad:

  • Bloquea «deserializaciones» de PHP  no seguras que podrían, en algunas instalaciones y configuraciones, conducir a ejecución de código remoto. Reportado por Tom Van Goethem.
  • Previene que un usuario con rol de Autor, utilizando una llamda muy elaborada, pueda crear una entrada «escrita por» otro usuario. Reportado por Anakorn Kyavatanakij.
  • Arregla validaciones de entrada insuficiente que podría conllevar una redirección a otras webs. Reportado por Dave Cummo, de Northrup Grumman subcontratados por  U.S. Centers for Disease Control and Prevention.

También se han ajustado algunas restricciones de la subida de archivos para limitar el riesgo de «cross-site scripting».

Al ser una versión de seguridad, se recomienda encarecidamente actualizar las instalaciones. Basta con ir a Escritorio –> Actualizaciones.

(Esta entrada es una adaptación de la oficial en inglés).

Puedes encontrar más información sobre actualizaciones en el Codex.

WordPress 3.3.2 (actualización de seguridad)

Ya está disponible la actualización 3.3.2, una actualización de seguridad que soluciona diversas vulnerabilidades:

  • Plupload (versión 1.5.4), que WordPress utiliza para subir archivos.
  • SWFUpload, que WordPress utilizaba antes para subir archivos y puede seguir en uso por parte de plugins.
  • SWFObject, que WordPress utilizaba antes para incrustar contenido Falsh y puede seguir en uso por parte de plugins y temas.
  • Escalado limitado de privilegios cuando un administrador de sitio podía desactivar plugins para toda la red al ejecutar una red WordPress en ciertas circunstancias
  • Vulnerabilidad XSS al hacer URLs clicables
  • Vulnerabilidad XSS en redirecciones tras publicar comentarios en navegadores antiguos, y al filtrar URLs

Reseteo de contraseñas

Esta mañana el equipo de WordPress ha encontrado actualizaciones sospechosas de algunos de los plugins más populares (AddThis, WPtouch, y W3 Total Cache) que contenían puertas traseras hábilmente disfrazadas. Hemos determinado que las actualizaciones no fueron de los autores, por lo que las eliminamos, avisamos de una nueva actualización de cada plugin, y cerramos el acceso al repositorio de plugins mientras revisábamos el sistema.

Todavía estamos investigando qué ha pasado, pero como medida de control hemos decidido forzar un reseteo para todas las contraseñas de WordPress.org [esto incluye las de GlotPress]. Para usar los foros, el trac, o actualizar por SVN un plugin o un tema, tendrás que resetear tu contraseña. (Tendrás que hacer lo mismo para bbPress.org y BuddyPress.org.)

Como usuario, asegúrate de que nunca utilizas la misma contraseña para dos servicios diferentes, y te aconsejamos encarecidamente que, al cambiar tu contraseña, no utilices la misma que antiguamente.

Segundo, si utilizas AddThisWPtouch, o W3 Total Cache y hay posibilidad de que lo hayas actualizado en el día de ayer, asegúrate de visitar tu página de actualizaciones y actualizar todos los plugins a su última versión.

Original en https://wordpress.org/news/2011/06/passwords-reset/

Actualización de seguridad

Como muchos ya sabréis, WordPress hace poco tuvo una actualización de seguridad que se liberó en la versión 3.0.2.

Esta versión tenía un error en el setup que hacía que la instalación automática no funcionara correctamente. David Lluna reportó el problema en el trac y ya está solucionado.

Hemos vuelto a compilar la versión 3.0.2 y ponerla disponible para descarga. Para los que habéis tenido problemas en la instalación, esta vez la instalación automática os funcionará correctamente.