Blog Ascariz Web 2.0 » WordPress

WordPress 2.8.6: Actualización de seguridad

Ascariz — Mon, 23 Nov 2009 13:59:34 +0000

El pasado jueves 12 de noviembre se liberó la versión 2.8.6 de WordPress., una actualización de seguridad muy recomendable para aquellos blogs que tengan más de un autor, y es que esta versión soluciona dos fallos de seguridad que sólo se pueden explotar siendo un usuario registrado con permisos de autor y teniendo la sesión iniciada.

Concretamente, el primero de los dos fallos de seguridades una vulnerabilidad XSS en Press This (un enlace que podemos añadir a los favoritos (marcadores) de nuestro navegador para abrir una pequeña ventana con un editor para publicar un artículo sin necesidad de entrar en el Panel de Administración del blog), descubierta por Benjamin Flesch.

El segundo fallo lo descubrió Dawid Golunski, y se trata de un problema al renombrar los archivos que subimos al servidor, que pueden ser alterados en ciertas configuraciones de Apache.

Aunque son fallos que sólo se pueden ser explotados por usuarios con permisos de autores, es muy recomendable actualizar a esta versión.

Wordpress 2.8.5, actualización de seguridad

Ascariz — Wed, 21 Oct 2009 20:56:44 +0000

Aunque el equipo de desarrollo de Wordpress lleva dos meses trabajando en la versión 2.9, estas tareas también sirven para detectar problemas que necesitan ser parcheados en la rama 2.8. Por este motivo, se ha lanzado la actualización 2.8.5, que conviene instalar ya que sella varios fallos. Es especialmente delicada una vulnerabilidad crítica en los trackbacks que permitía ataques de denegación de servicio.

Además, recomiendan que si sospechas que tu sitio ha sido víctima de uno de estos ataques, te asegures de eliminar cualquier rastro del exploit utilizando Wordpress Exploit Scanner, un plugin que analiza los ficheros de tu instalación de Wordpress, y en los posts y comentarios en la base de datos, y detecta cualquier tipo de contenido sospechoso. También revisa la lista de plugins, por si alguno no es lo que dice ser.

Personalmente desconocía este plugin, así que aprovecharé para echarle un vistazo. A medida que un gestor de contenidos se hace popular, aumenta el número de exploits dirigidos a él, y Wordpress lleva mucho tiempo siendo atacado, aunque afortunadamente, desde Automattic se mueven con bastante diligencia para protegerlo.

Actualizado: Como bien nos avisaba crises en los comentarios, este bug crítico en los trackbacks fue detectado por José Carlos Norte, nos lo ha confirmado él mismo. Lo curioso es que en Wordpress pasaron bastante del problema cuando se lo expuso, e incluso trataron de utilizar un parche que no resolvía el problema. Gracias a la insistencia de José Carlos, el parche correcto se incluye en esta versión, y no en la 2.9 como propuso el equipo de Wordpress en primera instancia. Es más, ni siquiera le mencionan en la noticia original.

Sitio oficial | Wordpress

Importar RSS en WordPress sin usar un plugin

admin — Wed, 29 Apr 2009 19:04:30 +0000

Buen tutorial de rss que explica cómo importar los contenidos de un RSS en nuestro blog sin tener que usar un plugin, que sinceramente, hace bastante busqué un plugin que lo hiciera y no encontré nada que me llegara a gustar.

El tutorial es bastante completo, dividido en tres partes: importar usando WordPress de forma sencilla y de forma más avanzada, para lo cual utiliza las funciones de WordPress que hacen uso de Magpie. O utilizando SimplePie, para lo cual no es necesario WP.

Import and Display RSS Feeds in WordPress

Vía / Script & Style