wordpress

Problemas de seguridad en foros y otros servicios de WordPress.org

por

Según informan en el blog de WordPress debido a un posible fallo de seguridad se ha forzado un reseteado de las contraseñas de los servicios en WordPress.org: los foros, el trac, bbPress.org o BuddyPress.org. El motivo es que según parece algunos populares plugins como AddThis, WPTouch y W3 Total Cache podrían tener puertas traseras. Aún están investigando estos posibles problemas y la posibilidad de que haya otras desagradables sorpresas. Mientras tanto que siguen las investigaciones se ha bloqueado el acceso a estos plugins en sus versiones antiguas e invitan a actualizarlos lo antes posible. También puede ser un buen momento para cambiar nuestras claves de usuario de WordPress (especialmente si son las mismas que las utilizadas en otros servicios), siempre es preferible prevenir.

 

WordPress 3.1.3

por

Uno de los CMS más populares para la gestión de blogs, WordPress se ha actualizado recientemente (bueno, con el parón en la web, quizás no tan recientemente) a la versión 3.1.3. Como siempre recomendamos que cualquiera que emplee este popular CMS de gestión de blogs se actualice cuanto antes a la última versión, en la cual se han incluido los siguientes cambios.

  • Se han incrementado las medidas de seguridad, resultado del trabajo de  Alexander Concha.
  • Se ha endurecido la taxonomía de consultas, por John Lamansky.
  • Prevenir que se puedan extraer los nombres de los no-autores utilizando redirecciones canónicas. Propuesto por Verónica Valeros.
  • Revisiones de seguridad en medios multimedia por Richard Lundeen de Microsoft, Jesse Ou de Microsoft, y el Laboratorio de Vulnerabilidades de Microsoft.
  • Mejorar la seguridad en la subida de archivos en servidores con configuraciones de seguridad peligrosas.
  • Limpiar archivos de importación antiguos de WordPress si la importación no concluye.
  • Introducir la protección de “clickjacking”  en navegadores modernos para las páginas de administración y de login.

 

WordPress 3.1.2

por

El martes de la semana se publico la actualización 3.1.2 del gestor de contenidos WordPress que vendría a corregir algunos fallos detectados entre los que se encuentran la posibilidad de que usuarios con nivel de Colaborador puedan publicar inapropiadamente posts, corregir algunas consultas sobre múltiples etiquetas, evitar fallos en los títulos de los posts cuando se utiliza la edición rápida. Si queréis ver toda la información sobre esta actualización podéis hacerlo desde aquí y por supuesto si tenéis un blog gestionado con WordPress os recomendamos que instaléis esta actualización cuanto antes.

Ataque a los servidores de WordPress podrían haber revelado datos

por

Logo WordPressEn el día de ayer, se informo de un ataque a los servidores de WordPress, el cual podría haber permitido acceder según informan a «cualquier posible información almacenada en los servidores». Así pues eso podría suponer el acceso a contraseñas y otros datos, aunque según se dice la información que se habría revelado no sería mucha, el acceso a contraseñas podría extenderse a las contraseñas de Facebook o Twitter, lo cual podría aumentar la peligrosidad del ataque. Así pues desde WordPress recomiendan revisar las contraseñas, haciendo especial hincapié en que sus usuarios Vip (posiblemente los más afectados en este ataque, al tratarse de los servidores donde se almacenaban sus datos) extremen el cuidado. Así pues, se trata del segundo gran ataque contra WordPress (al anterior se trató de un ataque de denegación del servicio que impidió el acceso al servicio durante varias horas).

Nos gustaría recordar que el tema de las contraseñas en internet es cada día más importante, siendo fundamental usar contraseñas seguras, cambiarlas cada cierto tiempo y si es posible usar contraseñas distintas para cada servicio (o al menos tener dos o tres variaciones para que en caso que nos roben la contraseña de un servicio no puedan acceder a los demás). Así pues siempre es conveniente tener esto en cuenta, y queda más patente cuando se descubren ataques de este tipo.

Actualizacion de WordPress 3.1.1

por

Ya está disponible la primera actualización para la última versión del CMS para blogs WordPress. Esta actualización, la 3.1.1, viene a corregir varios fallos de seguridad además de incorporar algunas mejoras.

En total se corrigen 29 fallos de seguridad, siendo los más importantes la corrección de una vulnerabilidad XSS, un problema con los enlaces en los comentarios relacionado con PHP y un problema CSRF.

En cuanto al tema de mejoras esta nueva actualización nos trae las siguientes:

  • Mejora la seguridad en la carga de imágenes
  • Mejoras de rendimiento
  • Mejora el soporte de  IIS6
  • Soluciona los enlaces de taxonomías y PATHINFO (/index.php/), enlaces permanentes (permalinks).
  • Soluciona varios problemas en que consultas a la base de datos y taxonomías podrían provocar problemas de compatibilidad con plugins.

No podemos sino recomendaros que actualicéis cuanto antes vuestro sistema WordPress, para lo cual no tenéis más que entrar en el panel de administración y seguir los pasos correspondientes (eso si recomendable antes hacer una copia de seguridad por si acaso). Si queréis ver la noticia publicada por el equipo de WordPress podéis hacerlo aquí.

WordPress en dispositivos móviles

por

Si cuentas con un blog basado en WordPress y cuentas con un dispositivo móvil desde donde actualizas el blog, contar con una app que te facilite la labor es casi imprescindible puesto que la interfaz web en estos dispositivos es poco usable.

Y la gente de WordPress lo sabe, por lo que han creado una para esa función, tanto para iOs como Android. De esta forma podremos mejorar nuestra productividad cuando nos veamos necesitados de gestionar el blog desde uno de estos dispositivos.

El único requisito necesario para poder usar la aplicación es activar en el panel de administración la publicación remota (en Ajustes / Escritura). Y podremos comenzar a gestionar el blog desde nuestro dispositivo móvil.

Esta entrada ha sido creada con la app desde un iPod, aunque luego se ha editado desde un ordenador para darle un mejor aspecto algo complicado en la pequeña pantalla del iPod, no obstante su manejo en dispositivos tables con una pantalla un poco más grande quizás sea más adecuado. Por ahora se le echan en falta algunas opciones aunque seguramente en futuras versiones se irán añadiendo mejoras, por lo que más que una herramienta para el trabajo diario se plantea como un complemento para trabajos más puntuales. Por último añadir, que esta app, permite trabajar tanto con un blog alojado en el servicio de WordPress como en un servidor propio.

WordPress 3.0.5 disponible para actualizar

por

Si tienes instalado un blog con WordPress conviene siempre tener instalada la última versión, y en este caso se ha anunciado la versión 3.0.5 que conviene actualizar cuanto antes. Esto es especialmente recomendable en el caso de que tengamos usuarios que no sean de total confianza, ya que uno de los fallos que se corrigen en esta nueva versión es evitar que usuarios con nivel de Autor o Colaborador puedan realizar una escalada de privilegios y poder así causar daño en nuestro sistema. También se corrige un fallo por el cual un usuario con privilegio de Autor podría acceder a contenidos que en principio no estarían autorizados para el como podrían ser borradores o entradas privadas. En caso que el blog lo gestionemos unicamente nosotros y no haya más usuarios, esta actualización no aporta grandes mejoras o soluciones, pero siempre conviene tener nuestro sistema de gestión de blogs convenientemente actualizado así que os recomendamos que actualicéis cuanto antes desde vuestro panel de gestión o desde el sitio de WordPress.

Urgente: Actualiza a WordPress 3.0.4

por

Si usas wordpress en tu blog, no dudes en actualizar cuanto antes a la nueva versión liberada, ya que esta corrige un fallo de seguridad con la librería de saneamiento de HTML que se encuentra en /wp-includes/kses.php. Esta vulnerabilidad podría permitir un ataque XSS que podría comprometer a los visitantes de vuestro blog, así pues velando por su seguridad y la reputación de nuestros blogs, no dudéis en actualizar cuanto antes. Más info sobre la versión 3.0.4 aquí.

Enlaces internos a temas relacionados en wordpress

por

Si quieres contribuir a mejorar el posicionamiento de tu blog, un aspecto muy interesante es lograr que este ofrezca no solo enlaces externos a otros sitios webs, sino que convendría también que tengas enlaces a otras partes de tu blog. No solo los usuarios agradecerán, encontrar enlaces a otros contenidos dentro de tu blog, sino que los buscadores indexarán más páginas y eso contribuirá a mejorar un poco más como nos ven.

Si tienes un blog con WordPress, existen varios plugins que te permitirán añadir enlaces a Posts relacionados de una forma muy comoda, lo cual es sin duda una muy buena forma de añadir esos enlaces «internos». Entre estos nos gustaría destacar Efficient Related Posts, un plugin que te generará esos enlaces a temas relacionados. El motivo para recomendar este, es que plantea un enfoque diferente, en tanto en cuanto la generación de estos temas relacionados se traslada a la parte administrativa del blog, lo cual evitará relentizar el blog con plugins que generan los temas relacionados sobre la consulta del propio post. Como siempre todo tiene su pro y su contra. El pro, que se evita entorpecer la velocidad de cara a los usuarios, el contra, que si hayq eu hacer una actualización de los temas relacionados, puede tardarse cierto tiempo. Sin embargo, este aspecto negativo, podría no serlo tanto, si eres de los que pocas veces modificas tus posts ya publicados.

Así pues esta es nuestra recomendación, y de hecho la hemos puesto a prueba en el blog.