Como Hiro Nakamura dijo que cuando el tiempo se inclinó primero a la tierra y el espacio en Times Square: “Yatta!”

Además de ganar en la categoría global más abierto Source CMS, WordPress fue nombrada primera finalista en el Best Open Source PHP CMS categoría. Esto es importante porque no estábamos ni siquiera en el top 5 años pasado, y ahora estamos # 2, por delante de Joomla! Como se indica en el sitio Award, “WordPress hecho su camino en los cinco primeros por primera vez. El hecho de que se superó con Drupal por un margen muy pequeño indica lo popular que se ha convertido con los usuarios, así como a los desarrolladores durante el año pasado “.

Cada día miles de personas nuevas están adoptando WordPress al poder no sólo en sus blogs pero los sitios y comunidades enteras, sin comprometer la facilidad de uso o de escalabilidad (como sería el caso de un legado CMS). Cada miembro de la comunidad de WordPress, de desarrollador principal al comienzo del usuario, debe estar orgulloso de ser parte de este impulso: Felicitaciones a todos nosotros!

Vía: wordpress

Concretamente, el primero de los dos fallos de seguridades una vulnerabilidad XSS en Press This (un enlace que podemos añadir a los favoritos (marcadores) de nuestro navegador para abrir una pequeña ventana con un editor para publicar un artículo sin necesidad de entrar en el Panel de Administración del blog), descubierta por Benjamin Flesch.

El segundo fallo lo descubrió Dawid Golunski, y se trata de un problema al renombrar los archivos que subimos al servidor, que pueden ser alterados en ciertas configuraciones de Apache.

Aunque son fallos que sólo se pueden ser explotados por usuarios con permisos de autores, es muy recomendable actualizar a esta versión.

Además, recomiendan que si sospechas que tu sitio ha sido víctima de uno de estos ataques, te asegures de eliminar cualquier rastro del exploit utilizando Wordpress Exploit Scanner, un plugin que analiza los ficheros de tu instalación de Wordpress, y en los posts y comentarios en la base de datos, y detecta cualquier tipo de contenido sospechoso. También revisa la lista de plugins, por si alguno no es lo que dice ser.

Personalmente desconocía este plugin, así que aprovecharé para echarle un vistazo. A medida que un gestor de contenidos se hace popular, aumenta el número de exploits dirigidos a él, y Wordpress lleva mucho tiempo siendo atacado, aunque afortunadamente, desde Automattic se mueven con bastante diligencia para protegerlo.

Actualizado: Como bien nos avisaba crises en los comentarios, este bug crítico en los trackbacks fue detectado por José Carlos Norte, nos lo ha confirmado él mismo. Lo curioso es que en Wordpress pasaron bastante del problema cuando se lo expuso, e incluso trataron de utilizar un parche que no resolvía el problema. Gracias a la insistencia de José Carlos, el parche correcto se incluye en esta versión, y no en la 2.9 como propuso el equipo de Wordpress en primera instancia. Es más, ni siquiera le mencionan en la noticia original.

Sitio oficial | Wordpress