Daboweb | Seguridad y ayuda informática |

Nueva versión de nuestro CMS favorito, Wordpess 2.9 llega bajo el nombre en clave de Carmen, en honor a la vocalista de Jazz Carmen McRae. Esta nueva versión soluciona del orden de los 500 tickets y montones de bugs y pequeños problemillas y ha sido posible gracias a 140 personas que han contribuido a la mejora del sistema.

Entre las novedades más destacadas de esta nueva versión tenemos las siguientes:

• Deshacer/Papelera global, se eliminan los comentarios de confirmación para eliminar contenidos y se hacen recuperables desde la papelera.
• Editor de imágenes, permite recortar, editar, rotar, voltear, y escalar imágenes sin necesidad de ir a un editor externo o instalado en el equipo.
• Actualizar plugins en lote; ahora se pueden actualizar hasta 10 plugins de un golpe sin necesidad de ir uno por uno en la página de plugins. También se añade un comprobador de compatibilidad con las nuevas versiones.
• Easier video embeds; simplemente con añadir la url de un vídeo en su campo correspondiente el sistema genera el código para mostrar el vídeo, de momento soporta los siguientes sitios: YouTube, Daily Motion, Blip.tv, Flickr, Hulu, Viddler, Qik, Revision3, Scribd, Google Video, Photobucket, PollDaddy, y WordPress.tv. En el futuro añadirán más.

Se recomienda actualizar a la mayor brevedad posible. Y como siempre, el Dabo-how-to de actualización de WP.

Para actualizar haremos lo siguiente, previa copia de seguridad, especialmente de aquellos archivos que hayamos modificado y del archivo wp-config.php:

• Desactivamos los plugins.
• Renombramos las carpetas wp-admin/ y wp-includes/ como wp-adminOLD/ y wp-includesOLD/
• Subimos los ficheros nuevos y sobreescribimos todo.
• Ejecuta en el navegador http://tusitio/wp-admin/upgrade.php
• Si necesitas actualizar algún plugin hazlo ahora y reactívalos.

Eso es todo, si no falla nada puedes borrar las carpetas renombradas.

Podéis leer también nuestra guía para actualizar WordPress (sin sustos). Del mismo modo se puede actualizar automáticamente desde el Tablero pero sigue siendo recomendable una copia de seguridad previa a la actualización.

Página de descarga. Entrada en WP.org.

Se ha reportado por parte de jcarlosn desde «desvaríos informáticos» un grave fallo de seguridad que afecta WordPress 2.8.4 y anteriores.

Este bug puede llevar a la caída del servidor web que lo aloje al no poder tramitar correctamente las peticiones y aumentar el uso de CPU y memoria hasta hacerlo caer.

Solución al fallo;

1º) Buscad en «wp-trackback.php» (línea 45);

$charset = $_POST['charset'];

2º) Sustituid por;

$charset = str_replace(",","",$_POST['charset']);
if(is_array($charset)) { exit; }

El autor ha publicado también un exploit a modo de prueba de concepto y tal y como he comentado en mi blog, el bug es tal y como lo describe y la seriedad de dicho fallo también. Os recomendamos por lo tanto parchear lo antes posible vuestros blogs con la solución que propone el autor (que como también he comprobado, lo solventa).

Por David Hernández (Dabo).

Como viene siendo habitual,  os recomendamos el recopilatorio de entradas publicadas en Daboweb (mes de Agosto) por si en el día a día de la publicación, alguna que pudiera interesarte se te ha pasado por alto.

Todos los comentarios los vamos recogiendo en el foro de noticias que hemos creado para opinar sobre ellas. También te invitamos a participar en nuestros foros para exponer tus dudas o ayudar a despejar las que tengan otros. (Te recomendamos ver nuestro archivos de contenidos publicados).

Agosto 2009

• Actualizar Google Chrome
  
• Cifrado Wi-Fi bajo WPA roto en 60 seg.
  
• Vulnerabilidad en Google Chrome, actualización disponible
  
• Se crean más de 3.500 sitios web al día para difundir malware.
  
• Vulnerabilidades en servidor web Apache (APR y APR-util)
  
• Actualizaciones de Microsoft Agosto 2009
  
• WordPress 2.8.4 actualización de seguridad
  
• Bug en WordPress 2.8.3 y anteriores (info y solución)
  
• Vulnerabilidades en Safari, nueva versión que las solventa (4.0.3)
  
• Mac OS X 10.5.8, ya disponible.
  
• Mozilla Firefox 3.5.2 ya disponible, actualización de seguridad
  
• WordPress 2.8.3; actualización de seguridad
  
• Descargar Nero gratis
  
• Joomla! 1.5.14, actualización de seguridad

Nueva actualización para WP que corrige una vulnerabilidad  detectada reciéntemente según el cual se podía resetear la contraseña del último usuario con un url especial.

Actualización muy recomendada. Y como siempre, el Dabo-how-to 😉

Para actualizar haremos lo siguiente, previa copia de seguridad, especialmente de aquellos archivos que hayamos modificado y del archivo wp-config.php:

• Desactivamos los plugins.
• Renombramos las carpetas wp-admin/ y wp-includes/ como wp-adminOLD/ y wp-includesOLD/
• Subimos los ficheros nuevos y sobreescribimos todo.
• Ejecuta en el navegador http://tusitio/wp-admin/upgrade.php
• Si necesitas actualizar algún plugin hazlo ahora y reactívalos.

Eso es todo, si no falla nada puedes borrar las carpetas renombradas.

Podéis leer también nuestra guía para actualizar WordPress (sin sustos). Del mismo modo se puede actualizar automáticamente desde el Tablero pero sigue siendo recomendable una copia de seguridad previa a la actualización.

Página de descarga. Entrada en WP.org.

Saludos y buenas instalaciones/actualizaciones.

Hoy he visto el exploit en milw0rm y afecta a WordPress versión 2.8.3 y anteriores. No es que realmente sea algo peligroso para vuestros blogs, pero si muy molesto ya que es posible resetear la contraseña del primer usuario creado en WordPress según hemos podido comprobar.

El problema es que si el ataque se hace de una forma automatizada, te obligaría a estar continuamente mirando el correo para ver la nueva contraseña de dicho usuario lo cual como he comentado antes es muy molesto y siempre hay un peligro potencial en estos casos.

¿la solución? podemos encontrarla según me ha comentado Destroyer vía una información de arturogoga.com y como hemos visto funciona. Simplemente hasta que salga una nueva versión que corrija el bug, hay que cambiar la siguiente línea de código.

Buscar en wp-login.php, la línea 190 y cambiar

if ( empty( $key ) )

Por

if ( empty( $key ) || is_array( $key ) )

Después podéis comprobar que estáis a salvo del bug tipeando lo siguiente en vuestro navegador (que hace que se resetee el pasword)

http://nombrededominio.com/wp-login.php?action=rp&key[]=

****************************************************************
EDITADO:

Disponible Actualización versión 2.8.4

****************************************************************

Nueva actualización para WP que viene a corregir, definitivamente (o eso se espera), un fallo que ya había sido corregido en la versión 2.8.1. El fallo solucionado viene a corregir un problema de permisos en el panel de administración mediante el cual usuarios sin privilegios podían realizar algunos cambios no autorizados en el sitio (más info, en inglés).

Actualización muy recomendada. Y como siempre, el Dabo-how-to 😉

Para actualizar haremos lo siguiente, previa copia de seguridad, especialmente de aquellos archivos que hayamos modificado y del archivo wp-config.php:

• Desactivamos los plugins.
• Renombramos las carpetas wp-admin/ y wp-includes/ como wp-adminOLD/ y wp-includesOLD/
• Subimos los ficheros nuevos y sobreescribimos todo.
• Ejecuta en el navegador http://tusitio/wp-admin/upgrade.php
• Si necesitas actualizar algún plugin hazlo ahora y reactívalos.

Eso es todo, si no falla nada puedes borrar las carpetas renombradas.

Podéis leer también nuestra guía para actualizar WordPress (sin sustos). Del mismo modo se puede actualizar automáticamente desde el Tablero pero sigue siendo recomendable una copia de seguridad previa a la actualización.

Página de descarga. Entrada en WP.org.

Saludos y buenas instalaciones/actualizaciones.

Nueva versión de WordPress que corrige una vulnerabilidad XSS que afectaba a las url’s de los comentaristas en el Panel de Admin (Tablero para los amigos) que hacía posible poder ser redirigido a un tercer sitio web.

Actualización muy recomendada. Y como siempre, el Dabo-how-to 😉

Para actualizar haremos lo siguiente, previa copia de seguridad, especialmente de aquellos archivos que hayamos modificado y del archivo wp-config.php:

• Desactivamos los plugins.
• Renombramos las carpetas wp-admin/ y wp-includes/ como wp-adminOLD/ y wp-includesOLD/
• Subimos los ficheros nuevos y sobreescribimos todo.
• Ejecuta en el navegador http://tusitio/wp-admin/upgrade.php
• Si necesitas actualizar algún plugin hazlo ahora y reactívalos.

Eso es todo, si no falla nada puedes borrar las carpetas renombradas.

Podéis leer también nuestra guía para actualizar WordPress (sin sustos). Del mismo modo se puede actualizar automáticamente desde el Tablero (en este momento no sale el aviso) pero sigue siendo recomendable una copia de seguridad previa a la actualización.

Página de descarga.

Saludos y buenas instalaciones/actualizaciones.

Como agua de Mayo (en pleno Julio) y recién salida del horno llega la actualización, la primera, de la última versión estable de WordPress corrigiendo un buen puñado de errores detectados, como aquel dice, según estaban pariendo al niño.

En lo particular hemos de decir que ninguno de los componentes del Team de Daboweb hemos tenido problemas con nuestros blogs personales y este en el que escribo, y que también corre sobre WordPress, tampoco ha habido ningún problema destacable.

En cuanto al mayor problema existente con algunos plugins y los permisos de usuario se ha corregido y se ha añadido un extra en seguridad sobre este tema como novedad, además destaca también la reducción del uso de memoria del Tablero y más cosas que puedes ver aquí.

Para actualizar haremos lo siguiente, previa copia de seguridad, especialmente de aquellos archivos que hayamos modificado y del archivo wp-config.php:

• Desactivamos los plugins.
• Renombramos las carpetas wp-admin/ y wp-includes/ como wp-adminOLD/ y wp-includesOLD/
• Subimos los ficheros nuevos y sobreescribimos todo.
• Ejecuta en el navegador http://tusitio/wp-admin/upgrade.php
• Si necesitas actualizar algún plugin hazlo ahora y reactívalos.

Eso es todo, si no falla nada puedes borrar las carpetas renombradas.

Podéis leer también nuestra guía para actualizar WordPress (sin sustos). Del mismo modo se puede actualizar automáticamente desde el Tablero pero sigue siendo recomendable una copia de seguridad previa a la actualización.

Página de descarga.

Saludos y buenas instalaciones/actualizaciones.

Bajo el nombre del trompetista y vocalista Chet Baker, ha sido liberada para descarga, instalación y/o actualización la versión estable y, de momento, definitiva de WordPress, la 2.8

Como es costumbre por estos lares recordamos como actualizar el más popular de los CMS para su uso en blogs:

Para actualizar haremos lo siguiente, previa copia de seguridad, especialmente de aquellos archivos que hayamos modificado y del archivo wp-config.php:

• Desactivamos los plugins.
• Renombramos las carpetas wp-admin/ y wp-includes/ como wp-adminOLD/ y wp-includesOLD/
• Subimos los ficheros nuevos y sobreescribimos todo.
• Ejecuta en el navegador http://tusitio/wp-admin/upgrade.php
• Si necesitas actualizar algún plugin hazlo ahora y reactívalos.

Eso es todo, si no falla nada puedes borrar las carpetas renombradas.

Podéis leer también nuestra guía para actualizar WordPress (sin sustos)

Página de descarga.

Saludos y buenas instalaciones/actualizaciones.

Recién salido del horno llega WordPress.tv, un videoblog del team de WordPress en el que pretenden recopilar videotutoriales y todo tipo de información relacionada con el popular CMS de gestión de blogs.

Videotutoriales de instalación, uso, entrevistas, etc … el sitio se divide en dos partes principales, el videoblog y el blog; este último no parece tener categorías así que es posible que solo publiquen noticias o anuncios sobre el sitio, por el contrario el videoblog se divide en dos categorías principales y luego en subcategorías.

La categoría WorldCampTV dividida en 6 subcategorías y la categoría How To dividida en otras 12 categorías, esta última es la más interesante ya que es donde están los tutoriales de uso del sitio, administración, publicación, etc..

Como todo tiene que pegar en esta vida y esto no iba a ser la excepción para mucha gente el idioma puede ser un problema, el sitio es en inglés, pero quien sabe si en un futuro no muy lejano harán lo mismo pero en español.
¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias