Acaba de publicarse en el blog de desarrollo de WordPress, el anuncio de una nueva versión etiquetada como la 3.5.1 y que solventa 37 bugs respecto a la entrega anterior (3.5). Además, podemos encontrar mejoras en el editor, librería multimedia, posts programados, API, etc.

Respecto a cuestiones de seguridad, se ha solventado una de la que ya nos hicimos eco relativa a escaneos de puertos y pingbacks que afecta a todas las versiones anteriores, además de tres XSS de diferente impacto (rel: “shortcodes”, contenido de los post y la librería externa “Plupload”).

La actualización está ya disponible desde el panel de administrador o desde WordPress y os recomendamos revisar tanto nuestra guía de actualización para WordPress, como esta entrada en DaboBlog sobre medidas de seguridad, plugins y WordPress.

Tal y como podemos leer en Ayuda WordPress, se ha reportado una vulnerabilidad XSS explotable a través del plugin Jetpack para WordPress. Comprobad si se está ejecutando desde el navegador a través de tusitio.com/wp-content/plugins/jetpack/modules/custom-css/csstidy/css_optimiser.php.

En la fuente original se menciona un XSS en CSSTidy (css_optimiser.php) y se puede ver que data de julio de 2010...

Dicho fichero (más info en el trac) ha sido ya eliminado (borradlo en vuestro blog) el plugin funciona sin problemas.

Tal y como podemos leer en el blog de desarrollo de WordPress, la nueva versión 3.5 además corregir diversos fallos localizados en versiones anteriores, viene con importantes mejoras principalmente en la gestión de galerías, así como en el manejo de la biblioteca multimedia (organización, subida de ficheros, etc).

También hay mejoras en el tema por defecto (Twenty Twelve) que ahora está mejor adaptado a dispositivos móviles. Se han afinado los estilos del panel de administración (gráficos más depurados, selector de color y otros aspectos de menor utilización en el panel).

Desde este enlace podéis ver un vídeo con las nuevas funcionalidades. La lista al completo de cambios (ENG).

Descarga de WordPress 3.5 | Consulta nuestra guía de actualización de WordPress.

Desde el blog de desarrollo de WordPress, nos llega el aviso del lanzamiento de una nueva versión. Esta entrega del CMS (3.4.2) está catalogada como de mantenimiento / seguridad y viene a solventar 20 bugs, tal y como informan en el área de la administración una vez que se instala.

Debido al alcance de los problemas resueltos y las mejoras que aporta, es más que importante aplicar la actualización lo antes posible.

Lista de cambios:

• Fixes some issues in the admin area where some older browsers (IE7, in particular) may slow down, lag, or freeze.
• Fixes an issue where a theme may not preview correctly, or its screenshot may not be displayed.
• Fixes the use of multiple trackback URLs in a post.
• Prevents improperly sized images from being uploaded as headers from the customizer.
• Ensures proper error messages can be shown to PHP4 installs. (WordPress requires PHP 5.2.4 or later.)
• Fixes handling of oEmbed providers that only return XML responses.
• Addresses pagination problems with some category permalink structures.
• Adds more fields to be returned from the XML-RPC wp.getPost method.
• Avoids errors when updating automatically from very old versions of WordPress (pre-3.0).
• Fixes problems with the visual editor when working with captions.

Version 3.4.2 fixes a few security issues and contains some security hardening. These issues were discovered and addressed by the WordPress security team:

• Fix unfiltered HTML capabilities in multisite.
• Fix possible privilege escalation in the Atom Publishing Protocol endpoint.
• Allow operations on network plugins only through the network admin.
• Hardening: Simplify error messages when uploads fail.
• Hardening: Validate a parameter passed to wp_get_object_terms().

Nuestra guía para actualizar WordPress (aparte de la actualización a “un click” desde el Dashboard).

Ya tenemos entre nosotros la nueva y esperada versión de WordPress 3.4 con el nombre de versión “Green” en honor al guitarrista de Jazz Grant Green. En este caso, hablamos de una actualización “mayor” en cuanto a novedades para usuarios, editores y de más peso para la amplia comunidad de desarrolladores que actualmente apuesta por esta plataforma de gestión de contenidos.

Para la gran mayoría de administradores de un blog bajo WordPress, los cambios más visibles serán en el editor, la personalización de ciertos aspectos de los temas y la gestión de imágenes tanto insertadas, como las que ya están en tu biblioteca que podrás usarlas como cabecera del blog, Widgets, integración con Twitter, gestión de comentarios, idioma, navegación, etc (como siempre, en Ayuda WordPress está muy bien resumido).

Pero donde los cambios se pueden ver con detalle, es en la lista de nuevas funcionalidades de WordPress 3.4 (ENG) . Si te dedicas al desarrollo web con este CMS, verás que ha habido una gran actividad en cuanto al trabajo con los plugins, temas, llamadas a la base de datos y otras funciones de importancia, de ahí que se note que es una revisión “mayor”.

Si no optas por la actualización automática desde el escritorio, puedes consultar nuestra guía de actualización.

La historia es fácil de contar, dos de los integrantes de Daboweb con más “solera”, Danae y Destroyer, un día decidieron abrir un blog. Ya venían con mucha experiencia de aquí y de otros proyectos en común como DestroyerWeb, Windows Fácil y después, para los que empiezan, también como formato blog, “Básico y Fácil” (mucho mérito por cierto).

5 años después sólo podemos darles la enhorabuena ya que son muchos y además publicando día a día, con unas cifras en cuanto a visitas (cosa que no les obsesiona) que harían palidecer a más de un “Top Blogger”. Todo ello sin perder la frescura y variedad en los contenidos, la sinceridad cuando se ponen frente al teclado y con el único ánimo y fin de compartir con el resto lo que van aprendiendo.

Así que desde esta vuestra casa y a unos día de nuestro décimo aniversario, sólo podemos deciros un “a por otros 25 más” (por lo menos;).

Acceso a “Cajón Desastres” | Post de su aniversario.

Los lectores habituales de Daboweb y otros blogs dedicados a estas cuestiones, ya estaréis al tanto del bug que afectaba a temas y plugins de WordPress con versiones de “Timthumb” vulnerables. Esta herramienta tan utilizada, hace posible la redimensión de imágenes en WP y se reportó una vulnerabilidad que permitía subir cualquier fichero PHP al directorio “cache” de Timthumb, pudiendo ejecutar código y comprometiendo al sitio web afectado.

Hecha esta aclaración, nos hacemos eco de una noticia publicada hoy en “SC Magazine” (ENG), en la que se dan datos acerca de los miles de blogs afectados hasta la fecha, además de recordar que desde hace meses hay una versión de Timthumb corregida.

Como se puede ver, nuevos problemas en viejas vulnerabilidades. Esta es seria y fácil de solventar, os recomendamos revisar vuestras instalaciones de WordPress y reemplazar versiones vulnerables del script caso de haberlas, por otra actualizada (guardadlo en texto plano y renombrarlo como timthumb.php).

Desde el blog de desarrollo de WordPress nos llega el aviso de esta actualización de seguridad disponible desde vuestros tableros de admin.

Esta entrega de WP corrige un problema serio que podría permitir a un malintencionado usuario con permisos de Editor ganar mayores privilegios sobre el blog afectado.

También agradecen a Gudinavicius de SEC Consult por su atención prestada e informan de que esta Version 3.1.4 incorpora otras mejoras de seguridad además de medidas de protección adicionales gracias al trabajo de los desarrolladores de WordPress  Alexander Concha y Jon Cave además del equipo de seguridad de WP.

Para conocer todos los detalles y cambios de esta versión ve al “change log” (ENG)

Además, se ha liberado la versión 3.2 Release Candidate 3 (descarga directa y versión para desarrolladores, no para blogs “en producción”)

Método para actualizar;

Para actualizar haremos lo siguiente, previa copia de seguridad, especialmente de aquellos archivos que hayamos modificado y del archivo wp-config.php:

• Desactivamos los plugins.
• Renombramos las carpetas wp-admin/ y wp-includes/ como wp-adminOLD/ y wp-includesOLD/
• Subimos los ficheros nuevos y sobreescribimos todo.
• Ejecuta en el navegador http://tusitio/wp-admin/upgrade.php
• Si necesitas actualizar algún plugin hazlo ahora y reactívalos.

Eso es todo, si no falla nada puedes borrar las carpetas renombradas.

Podéis leer también nuestra guía para actualizar WordPress (sin sustos). Del mismo modo se puede actualizar automáticamente desde el Tablero pero sigue siendo recomendable una copia de seguridad previa a la actualización.