El Boletín de Seguridad de WordPress 2.5 era Falso

Parece que al final no era mas que un rumor malintencionado el pretendido informe de una posible vulnerabilidad de inyección SQL en la pantalla de login de WordPress 2.5. O eso es lo que ha dicho Matt, con profusión de detalles, en su blog.

Y Matt, que parece molesto por este tipo de rumores, no se ha limitado a cuestionar el rumor, pues recuerda que un reporte de error debe ir siempre acompañado del código afectado y una descripción del problema.

Además, aprovecha para recordar y matizar los problemas de hackeo de sitios, mayoritariamente con las versiónes 2.1 y 2.2 de WordPress. Hay mucha y buena información al respecto de que hacer si tu blog ha sido hackeado, pero Matt apunta algunos consejos específicos para WordPress:

  1. Actualiza tu blog a la última versión de WP. Esto no debería darte problemas. Hay plugins que te pueden ayudar, si eres un usuario avanzado puedes usar Subversion, luego está el método estándar oficial, y también hay proveedores de alojamiento que tienen scripts para realizar actualizaciones en un par de clics.
    • Si necesitas la ayuda de alguien para actualizar sabes que nos tienes en el Foro, donde hay cientos de usuarios de WordPress deseando compartir conocimientos contigo, o también puedes revisar las guías que hemos elaborado en Ayuda WordPress (esto no lo dice Matt – de momento). Toma nota de los pasos y la próxima vez lo harás tu solo e incluso podrás ayudar a otros, es muy fácil.
  2. Cambia tus claves, tanto las tuyas como la de otros usuarios que estén registrados en tu sistema. Si el atacante robó tu clave cuando estabas en la versión anterior a la actualización, todavía podrá entrar si no la cambias. Utiliza el comprobador de contraseñas de WP 2.5 para crear una clave segura.
  3. Busca en tus entradas para ver que puede haber sido modificado, y revisa las carpetas de tu servidor para buscar algo que sea distinto de lo habitual. En esto último puedes pedirle ayuda a tu proveedor de alojamiento.

Pero, además de estos buenos consejos, Matt también hace una especie de argumentario para aquellos que aún no se atreven a actualizar. A mi me gusta mas el que yo hice, pero el bueno de Matt también expone buenas razones en una serie de preguntas y respuestas:

  • Me da pavor de que se estropee algo, o no sepa como hacerlo. Pregunta a un amigo o pide ayuda en el Foro. Si quieres, también puedes usar el plugin WPAU o los instaladores automáticos de los hosting para hacerlo.
  • Uno de mis plugins no funciona con la nueva versión. Cada vez es mas raro este caso pues hay un ciclo de comprobación pública de plugins para probar los plugins en las últimas versiones. Puedes buscar una actualización en la página del autor del plugin, contactar con el creador o incluso donar algo de dinero para que se anime a hacerlo compatible. También puedes buscar plugins alternativos que ya estén actualizados y te ofrezcan una funcionalidad similar. Pero, hablando de palabras mayores, es mucho mas importante tener un blog seguro que el uso de un simple plugin, así que mejor será que consideres desactivar ese plugin hasta que se actualice y no por ello pierdas seguridad en tu blog comprometiendo las tripas de tu sistema.
  • No me gusta la nueva versión, me la han cambiado. Pensamos que cada versión nueva es mejor, pero a veces hay gente que no se siente cómoda con los cambios, y no pasa nada, está bien. La buena noticia es que se están constantemente mejorando cosas basándose en la respuesta de los usuarios, incluida la interfaz, y casi seguro que lo que a ti te molesta le pasará a otros y habrá algún plugin que lo cambie. Por ejemplo, si no te gusta la nueva distribución de los contenidos en el panel de escritura, ya hay un fichero para que lo pongas a tu estilo (antiguo) o incluso un plugin que aprovecha todo el ancho de la ventana del navegador.
  • Modifiqué los archivos originales así que las actualizaciones me trastocan. No deberías nunca modificar los archivos originales de WP. Si ves que tienes que hacerlo por algún motivo, abre una ficha para pedir una modificación o filtro para que tus modificaciones puedan hacerse con un plugin – facilita mucho las cosas.
  • Las actualizaciones son demasiado frecuentes. Si te lleva mas de 5 minutos actualizar tu blog es que estás haciendo algo mal. Historicamente, hay una actualización mayor 3 veces al año, y una revisión menor una vez al mes. Las revisiones menores casi nunca estropean nada, así que son las más fáciles (y a menudo las mas importantes). WordPress es un software que está evolucionando rápidamente, así que no es mal problema en cualquier caso.
  • No se cuando hay actualizaciones. Ya no tienes excusas. Desde 2.3 se incluyó un notificador en la parte superior del Escritorio que te avisa cuando hay actualizaciones. También es interesante suscribirte al blog de desarrollo, que dicho sea de paso también puedes ver en tu panel principal del Escritorio, no va a atascar tu lector de RSS. Por supuesto, también puedes seguir el blog de WordPress, estos chicos están realmente al día y te informarán puntualmente además de solucionar tus dudas.

Que majete es Matt, ¿eh? 😀

Perdonadme por las pequeñas licencias que me he tomado en la traducción, seguro que entendéis que son con buena intención, para que tengáis referencias en nuestro idioma. Bueno, ya no solo lo decimos nosotros y no es bueno, visto el problema de seguridad con anteriores versiones (y lo de Technorati) esperar a las virguerías de WordPress 2.6. Así que …

¡No esperes a WordPress 2.6, actualiza ya!

Me inspiró | WPCandy

AVISO: esta publicación es de hace dos años o más. Si es un código o un plugin podría no funcionar en las últimas versiones de WordPress, y si es una noticia podría estar ya obsoleta. Luego no digas que no te hemos avisado.

Valora este artículo para mejorar la calidad del blog ...

Al hacer una valoración se recoge una cookie con la IP de tu dispositivo

FlojitoNo está malEstá bienMe ha servidoFantástico (sin valoración aún)
Cargando…

Autor: Fernando Tellado

Fernando Tellado, apasionado de WordPress, profesor, consultor y ponente. Maquero cansino, padre de tres hijos y de una perrita Beagle, Bilbaíno de nacimiento, Español de corazón y ciudadano de donde me quieran. Autor del libro WordPress - La tela de la araña. Mi blog personal es Navegando con red, donde he crecido como escritor en la red y ofrezco mis visiones acerca de la Web 2.0 y la blogosfera.

Comparte esta entrada en
468 ad

Pin It on Pinterest

Share This