Daboweb | Seguridad y ayuda informática |

El equipo de desarrollo de Drupal acaba de anunciar la disponibilidad de Drupal 7.7, otra entrega del CMS que no trae nuevas funcionalidades, pero que solventa varios problemas de seguridad localizados en Drupal. En esta nueva versión hay un salto de versiones desde la 7.4 ya que sobre la 7.5 (la actualización de seguridad) se han lanzado dos nuevas actualizaciones que solventan algunos bugs, la lista completa de corrección de errores se puede leer sobre las notas de la versión 7.6

Por ello, es más que recomendable su inmediata actualización, para más información sobre este lanzamiento puedes consultar el anuncio de esta «release». Descarga de Drupal 7.7. (tar.gz).

Así empieza el anuncio original del lanzamiento de WordPress 3.2; Are You Ready for WordPress 3.2? Quizás ese «¿y tu servidor web? debería ir en el título, los requisitos mínimos han cambiado y debes saber que la versión 3.2 pide que se ejecute PHP 5.2.4 y MySQL 5.0.

Si tu plan de alojamiento no cumple esos mínimos, no te saldrá el aviso de actualización en tu tablero o panel de administración, si vas a «actualizaciones» verás el aviso de que no se cumplen las características anteriormente comentadas.

Este detalle de los requisitos, no es algo para no tener en cuenta, ya que si bien en la mayoría de los casos con MySQL no habrá tanto problema al estar la mayoría con 5.0x, hay servidores que no están con PHP 5.2.4 o superior (ya hay usuarios comentando este hecho) aunque a «fuerza» de demandarlo, las empresas de hosting que alojan entre muchos otros CMS (gestores de contenidos) WordPress, por su propio interés irán poniendo al día PHP y MySQL aunque quizás no hablemos ni de un 5% de los casos.

Hablando de requerimientos, comentan que dejan de dar soporte a Internet Explorer 6, un navegador ya con 10 años de vida y ampliamente superado por nuevas versiones y si tu navegador es antiguado te saldrá un mensaje en el panel de admin (dicen que eso sí, amigable;) «amarillo anaranjado» indicando que hay una versión más reciente del mismo. De todos modos, se entiende que además lo harán con versiones obsoletas de navegadores como Firefox, Chrome o Safari.

¿Novedades más destacadas?

El editor TinyMCE se ha hecho más «2.0», ahora es más moderno y se puede combinar la vista habitual con otra más minimalista y que no distrae tanto cuando escribes (a Matt, creador de WordPress es una de las novedades que más le gustan, la visión «zen» con un click).

El panel de administración también ha tenido un nuevo rediseño y ahora es también más rápido cuando se accede, hablando de velocidad, es un punto en el que comentan que han trabajado a fondo (es cierto que se ve todo más fluido según he podido comprobar).

El tema por defecto, Twenty Eleven, todo bajo HTML5 y la verdad con muy buena pinta además de con variadas opciones de configuración. También habrá mejoras visibles en las actualizaciones, los enlaces internos vía el editor HTML, etc.

Hay que tener en cuenta que quizás en este momento no todos los plugins que estás usando puedan hacerlo bajo la versión 3.2 pero los más populares ya están preparados y el resto se entiende que estos días irán actualizándose.

Podéis actualizar vía vuestro panel de admin o desde la página de descargas de WordPress.

El equipo de desarrollo de Drupal acaba de anunciar la disponibilidad de Drupal 7.4, otra entrega del CMS que no trae nuevas funcionalidades, pero que solventa varios problemas de seguridad localizados en Drupal.

Por ello, es más que recomendable su inmediata actualización, para más información sobre este lanzamiento puedes consultar el anuncio de esta «release». Descarga de Drupal 7.4. (tar.gz).

Desde el blog de WordPress han anunciado la disponibilidad de la primera «Release Candidate» de la futura versión estable etiquetada como «3.2». Dándole un vistazo al «trac» podéis comprobar el gran trabajo de toda la comunidad que trabaja en torno a este popular CMS (Gestor de contenidos) con más de 350 tickets (mejoras y bugs de diversa índole) solventados.

Aunque lo decimos en el título, no está de más avisar de que se trata de una versión de desarrollo, no para blogs en producción y aún hay muchos plugins sin soporte. Os recordamos que el pasado día 26 de Mayo anunciamos el lanzamiento de la versión 3.1.3 (estable) de WordPress catalogada como «Actualización de seguridad».

Todas las novedades en Ayuda WordPress.

Han sido liberadas cuatro actualizaciones nuevas de las dos ramas de desarrollo de Drupal. Las versiones 7.1 y 6.21 solo solucionan los problemas de seguridad mientras que las versiones 7.2 y 6.22 incluyen además corrección de errores.

No se entiende muy bien por qué lanzar dos versiones diferenciadas en el mismo momento cuando tanto una cosa, corregir problemas de seguridad, y la otra, corrección de errores, deben ir unidas de la mano en busca de un correcto funcionamiento de los sitios.

El archivo .htaccess ha cambiado en la versión 7.2, es importante tener una copia del que tengamos actualmente con las modificaciones que hayamos hecho. settings.php y el robots.txt no se modifican en esta actualización aunque es conveniente también tener una copia, como del resto de archivos.

En la versión 6.22 el que cambia es el robots.txt, así que cuidado a la hora de actualizar.

• Anuncio oficial.
• Descarga versión 7.2
• Descarga versión 6.22

Nueva actualización de seguridad para WordPress, la nueva versión 3.1.3 que mejora la seguridad con aportaciones de Alexander Concha (buayacorp).

Incluye diferentes mejoras y soluciona problemas de seguridad que podemos ver en el changelog. Además se ha anunciado también el lanzamiento del segunda beta de WordPress 3.2, una versión de pruebas que no debemos poner en un sitio en producción.

Como toda actualización de seguridad es importante y muy conveniente actualizar a la mayor brevedad posible.

Entre las mejoras no explicadas detalladamente en el anuncio oficial tenemos las siguientes:

• La vulnerabilidad SA44409 fue corregida por el changeset 18014. Esto autorizaba a subir archivos que permitían la ejecución de código php, siempre y cuando la configuración de Apache permita aceptar múltiples extensiones. Esto es una variante de un falla anterior.
• El changeset 18018 corrige uno de los varios problemas que reporté, en principio permitía al igual que el anterior, la ejecución de código php, con la diferencia de que no es necesario ningún tipo de configuración en especial. Tal vez dentro de un tiempo llegue a publicar el exploit que hice. También corrige fallas que permitían realizar ataques XSS.
• El changeset 18019 corrige problemas que permiten realizar ataques XSS.
• El changeset 18023 está relacionado con un problema relacionado a la privacidad de los backups de wordpress.

Vía: buayacorp.

Y como siempre, el Dabo-how-to de actualización de WP.

Para actualizar haremos lo siguiente, previa copia de seguridad, especialmente de aquellos archivos que hayamos modificado y del archivo wp-config.php:

• Desactivamos los plugins.
• Renombramos las carpetas wp-admin/ y wp-includes/ como wp-adminOLD/ y wp-includesOLD/
• Subimos los ficheros nuevos y sobreescribimos todo.
• Ejecuta en el navegador http://tusitio/wp-admin/upgrade.php
• Si necesitas actualizar algún plugin hazlo ahora y reactívalos.

Eso es todo, si no falla nada puedes borrar las carpetas renombradas.

Podéis leer también nuestra guía para actualizar WordPress (sin sustos). Del mismo modo se puede actualizar automáticamente desde el Tablero pero sigue siendo recomendable una copia de seguridad previa a la actualización.

Noticia en WordPress.org | Descarga.

Reseñamos en esta entrada un artículo de nuestro compañero Shicefgo en el que veremos como instalar Drupal 7.0 en español y como solucionar el mensaje de error «no puede guardar archivos en sites/default/files/tmp.»

Lo básico no tiene ningún misterio: Preparas tu base de datos MySQL, anotas el nombre del usuario y la contraseña, descomprimes el paquete de Drupal 7, que puedes descargar de aquí, lo subes y entras a tu sitio por la url para empezar la instalación. Sobre lo básico hay mucha información en la Red.

Pero pueden surgir un par de problemillas que desde aquí vamos a tratar de ayudarte a solucionar y que son el motivo principal de esta entrada: uno es configurarlo para el idioma español y el otro un mensaje de error que puede dar una vez instalado, diciendo que no puede guardar unos archivos en sites/default/files/tmp.

Instalando en español

Una vez que hayas subido el core y antes de empezar la instalación propiamente dicha, tienes que descargar el archivo de la traducción de aquí (al menos a la fecha en que escribo esto). Pincha en el “Download” que hay a continuación del “Drupal core 7.0″ y en la misma línea. Súbelo a la carpeta profiles/standard/translations y ya está todo listo para que te presente la opción de instalar en español.

Hay que tener presente que, cuando la instalación llegue a “Configurar traducciones” puede que se quede ahí “pillada”. En local no me lo ha hecho, pero en remoto sí. Si se queda, pues nada, a prepararse tranquilamente una infusión dándole su tiempo, y después recargar la página e ir al enlace de la página de error. A mí me funcionó, así que lo mismo a tí también. El motivo de este “parón” parece ser algo relacionado con la tecnología AJAX.

El mensaje de error relativo a tmp

Esto puede ocurrir porque drupal 7 necesita no sólo acceso total a las carpetas sites/default/files y sites/default/files/tmp, sino que el propietario y el grupo de las mismas sean los “del dueño del sitio y su grupo”, o como un ejemplo vale más que mil palabras, el mismo usuario y grupo que tenga el archivo sites/default/default.settings.php. Como yo tengo acceso root al servidor, pues cambio lo que me da la gana como quiero sin problemas, pero una posible solución para quienes no son tan pringados afortunados puede ser la que sugiero a continuación. De todas formas, ten presente que el objetivo es conseguir que sites/default/files y sites/default/files/tmp tengan permisos 777 (totales) y pertenezcan al usuario y al grupo que dijimos.

La solución  sugerida es entrar por ftp a nuestro sitio y crear estas carpetas antes de que las cree el propio Drupal (es decir, antes de ir a nuestra url para empezar la instalación), con lo que ya pertenecerán directamente al usuario y grupo adecuados. No nos olvidemos de darles los permisos.

Luego copiamos el archivo sites/default/default.settings.php con el nombre sites/default/settings.php y le damos permisos 666 para la instalación (más tarde habrá que reponer los permisos de ese archivo a 644, cosa de la que nos avisará el propio drupal).

Resumen de comandos a utilizar una vez que hemos subido todos los archivos de Drupal 7  y antes de ir a nuestra url (suponemos que ya estamos dentro de la carpeta raíz de nuestra instalación):

cd sites/default
cp default.settings.php settings.php
chmod 666 settings.php
mkdir -p files/tmp
chmod 777 files
chmod 777 files/tmp

Ahora entramos a nuestra url, realizamos la instalación y cuando haya terminado:

chmod 644 settings.php

Y esto es todo, rapidito y práctico, para no entretener demasiado al personal.

Artículo original.

Primera actualización disponible para la versión 3.1 de WordPress. Esta actualización corrige varios problemas de seguridad, 4 de prioridad alta, 20 de prioridad normal y 2 de prioridad baja.

Además corrige 3 problemas de seguridad detectados por dos de los principales de desarrollo de WordPress, concretamente del equipo de seguridad que afectan a una vulnerabilidad XSS, un problema relacionado con los enlaces publicados en comentarios directamente relacionado con PHP y un problema CSRF.

Entre las mejoras aportadas encontramos las siguientes:

• Mejora la seguridad en la carga de imágenes
• Mejoras de rendimiento
• Mejora el soporte de  IIS6
• Soluciona los enlaces de taxonomías y PATHINFO (/index.php/), enlaces permanentes (permalinks).
• Soluciona varios problemas en que consultas a la base de datos y taxonomías podrían provocar problemas de compatibilidad con plugins.

Imprescindible actualizar. Y como siempre, el Dabo-how-to de actualización de WP.

Para actualizar haremos lo siguiente, previa copia de seguridad, especialmente de aquellos archivos que hayamos modificado y del archivo wp-config.php:

• Desactivamos los plugins.
• Renombramos las carpetas wp-admin/ y wp-includes/ como wp-adminOLD/ y wp-includesOLD/
• Subimos los ficheros nuevos y sobreescribimos todo.
• Ejecuta en el navegador http://tusitio/wp-admin/upgrade.php
• Si necesitas actualizar algún plugin hazlo ahora y reactívalos.

Eso es todo, si no falla nada puedes borrar las carpetas renombradas.

Podéis leer también nuestra guía para actualizar WordPress (sin sustos). Del mismo modo se puede actualizar automáticamente desde el Tablero pero sigue siendo recomendable una copia de seguridad previa a la actualización.

Noticia en WordPress.org | Descarga.

Nueva actualización, de seguridad, disponible para el CMS Joomla!

Se ha corregido un problema de seguridad catalogado de prioridad baja que afecta a todas las versiones de Joomla! anteriores a la 1.5.22, incluida ésta última.

También se han corregido un buen número de errores.

Se recomienda actualizar a la mayor brevedad.

Anuncio oficial. Descarga completa. Actualización.

Publicada una nueva actualización del gestor de contenidos Joomla!, la versión 1.6.1 viene a corregir 210 problemas del sistema de subversiones y 12 cuestiones de seguridad, 10 de ellas catalogadas como de prioridad moderada y las dos restantes de prioridad baja.

Es importante actualizar ya que son muchas las correciones de esta nueva actualización.

Esta vez, a diferencia del lanzamiento de la versión 1.6, no hay queja sobre la información, en el propio anuncio oficial está la información necesaria con los enlaces correspondientes sobre las vulnerabilidades corregidas y los tickets cerrados.

Anuncio oficial. Descarga completa. Actualización.

Después de una larga y seguro que merecida espera llega por fín la actualización a la versión 3.1 de WordPress cargadita de novedades, son tantas y tan variadas que casi pareciese que tendremos que aprender de nuevo a utilizar el sistema.

La lista completa puede verse en el Codex de Worpress. Aquí os dejo una lista de las principales, publicadas por Fernando de Ayudawordpress en el blog oficial en español y para no perder las buenas costumbres la guía para actualizar.

• Enlaces internos – con un clic en el nuevo botón para enlaces internos podrás buscar una entrada o revisar el contenido existente para enlazarlo.
• Barra de admin – contiene varios enlaces para acceder a diversas pantallas de administración. Por defecto, la barra de admin se muestra cuando un usuario ha accedido y está visitando el sitio, y no se muestra en las pantallas de administración en las instalaciones simples (sin multisitio activado). Para las instalaciones con multisitio se muestra tanto cuando estás visitando el sitio como en las pantallas de administración
• Mejoras en la interfaz de escritura – Los nuevos usuarios de WordPress encontrarán la pantalla de escritura mucho más limpia que antes, con la mayoría de las opciones ocultas por defecto. (puedes hacer clic en Opciones de pantalla de la parte superior para volverlas a mostrar)
• Formatos de entrada – La información de los formatos pueden usarla los temas para personalizar la presentación de una entrada. Tienes más información en  Formatos de entrada (en inglés todavía).
• Administrador de la red – Se han movido los menús del Super administrador y las páginas relacionadas de la pantalla de admin habitual a la nueva Pantalla de administrador de la red.
• Pantallas de administración en modo de lista – puedes ordenar las columnas de las pantallas con listados (páginas, entradas, comentarios, etc) para mejorar la paginación.
• Mejoras del exportador/importador – Hay muchos cambios en la información del autor, mejora en el manejo de taxonomías y términos, soporte correcto de menús de navegación, etc.
• Mejoras en el tipo de contenido personalizado – Permite a los desarrolladores crear páginas de archivo y disponer de más controles de las capacidades y mejores menús. Aprende más en Tipos de entrada (en inglés todavía).
• Consultas avanzadas – Permite a los desarrolladores realizar consultas múltiples de taxonomías y campos personalizados.
• Un esquema de color azul para la administración más fresco que centra la atención en tu contenido.

Imprescindible actualizar. Y como siempre, el Dabo-how-to de actualización de WP.

Para actualizar haremos lo siguiente, previa copia de seguridad, especialmente de aquellos archivos que hayamos modificado y del archivo wp-config.php:

• Desactivamos los plugins.
• Renombramos las carpetas wp-admin/ y wp-includes/ como wp-adminOLD/ y wp-includesOLD/
• Subimos los ficheros nuevos y sobreescribimos todo.
• Ejecuta en el navegador http://tusitio/wp-admin/upgrade.php
• Si necesitas actualizar algún plugin hazlo ahora y reactívalos.

Eso es todo, si no falla nada puedes borrar las carpetas renombradas.

Podéis leer también nuestra guía para actualizar WordPress (sin sustos). Del mismo modo se puede actualizar automáticamente desde el Tablero pero sigue siendo recomendable una copia de seguridad previa a la actualización.

Noticia en WordPress.org | Descarga.

Disponible una nueva actualización de WordPress, la 3.0.5, considerada de seguridad y recomendada para actualizar todas las versiones precedentes.

Es especialmente necesaria la actualización en aquellas instalaciones que tengan usuarios que no sean de confianza, uno de los errores corregidos de seguridad moderada permite precisamente a un usuario con nivel de Autor o Colaborador hacer una escalada de privilegios.

Otra de las correcciones afecta también a los usuarios con privilegios de Autor de tal modo que podrían acceder a contenido para el que en principio no estaban autorizados como borradores o entradas privadas.

Recomendable actualizar. Y como siempre, el Dabo-how-to de actualización de WP.

Para actualizar haremos lo siguiente, previa copia de seguridad, especialmente de aquellos archivos que hayamos modificado y del archivo wp-config.php:

• Desactivamos los plugins.
• Renombramos las carpetas wp-admin/ y wp-includes/ como wp-adminOLD/ y wp-includesOLD/
• Subimos los ficheros nuevos y sobreescribimos todo.
• Ejecuta en el navegador http://tusitio/wp-admin/upgrade.php
• Si necesitas actualizar algún plugin hazlo ahora y reactívalos.

Eso es todo, si no falla nada puedes borrar las carpetas renombradas.

Podéis leer también nuestra guía para actualizar WordPress (sin sustos). Del mismo modo se puede actualizar automáticamente desde el Tablero pero sigue siendo recomendable una copia de seguridad previa a la actualización.

En la misma noticia anuncian también la salida de la 4 RC de WordPress 3.1, recordamos que las RC (Release Candidate o versiones candidatas) no están aconsejadas para utilizar en sitios en producción ya que al no ser versiones definitivas pueden contener errores graves y de difícil solución.

Noticia en WordPress.org | Descarga.

Esta entrada es solo un recordatorio sobre lo que comentábamos hace tiempo sobre el fín del soporte oficial de Drupal a la rama 5 de desarrollo del popular CMS. 3 años y dos semanas después del lanzamiento de esta versión se va a dejar de dar soporte con todo lo que ellos incluye.

Desde el propio sitio recomiendan actualizar a la versión 6 ya que la 7 es demasiado joven y podría no hacer la migración correctamente; también informan de que si pretendes continuar con tu versión 5 hay un grupo que pretende dar soporte a esta versión como si fuese una LTS (por la noticia en sí parece que se jactan de que este grupo no tenga demasiado éxito).

Nota en Drupal.

Recién salida del horno y lista para descarga e instalación nos llega una nueva versión de uno de los CMS más populares y que durante tanto tiempo utilizamos aquí en Daboweb.

Una novedad parca en palabras y es que parece que últimamente los desarrolladores (o los responsables del tema) están más interesados en dar a conocer al mundo la gran cantidad de fiestas que montan por el mundo para celebrar sus lanzamientos que hablar de los lanzamientos propiamente dichos.

Sin duda debe de ser una nueva versión cargada de mejoras y novedades, porque como dicen en mi tierra, haberlas hailas, seguro.

Anuncio oficial. Página de la nueva versión con descarga y demo.

Salió por fín la nueva versión de Drupal, como toda nueva rama de desarrollo incluye una gran cantidad de novedades, la nota de prensa con el lanzamiento de la nueva versión se ha publicado en 11 idiomas incluido el español.

Recordamos como en la última actualización disponible de la rama 6 que es conveniente, casi obligatorio, actualizar a las versiones 6 ó 7 para seguir disfrutando del soporte por parte de la comunidad de desarrollo y evitar en la medida de lo posible agujeros de seguridad que puedan presentarse en versiones desatendidas.

Principales nuevas características de Drupal 7.

• Mejoras en la experiencia de usuario gracias a un diseño enfocado en el 80% de los usuarios que hace las tareas comunes más sencillas, opciones por defecto más inteligentes, facilita la tarea del creador de contenido y simplifica la administración
• Gestión de imágenes listo para usar, redimensionar, cortar, etc.
• Entorno de test automatizado incluido en el núcleo que proporciona un sistema de integración continua que comprueba cada parche y favorece la estabilidad del proyecto a largo plazo.
• Gestor de actualizaciones y migración de Drupal 6 a Drupal 7.
• Mejoras en el rendimiento y la escalabilidad que responde a los visitantes de la web más rápido mediante el uso de caché avanzada, content delivery networks (CDN) y replicación maestro-esclavo.
• Personalización de campos incluida en el núcleo, campos nativos de datos para cualquier tipo de contenido, pero también para usuarios, vocabularios y otras entidades, además de soporte para las traducciones.
• Capa de abstracción de la base de datos que habilita el uso de muchas bases de datos, como MariaDB [http://mariaDB.org], Microsoft SQL Server [http:/www.microsoft.com], MongoDB [http:/www.mongodb.org], Oracle [http://oracle.com], MySQL [http:/www.mysql.com], PostgreSQL [http:/www.postgreSQL.org] o SQLite [http:/www.sqlite.org].

Nota oficial. Descarga. En español.