Ya le ha pasado a mas de un usuario de WordPress que, después de actualizar la versión a la 2.5.1, aún aparece el mensaje pidiendo que lo actualices a «la versión que acabas de instalar». Esto, que parece una bobada no lo es, ni muchísimo menos, pues puede ser un síntoma de que algo no va bien en tu base de datos o, mucho peor, algo ha «interferido» en tu blog.
Bueno, no es que sea un truco para novatos pero tiene solución. Para la solución a este fallo debes acceder a la gestión de tu base de datos con PHPMyAdmin.
Hay varias maneras de arreglar este bug:
Índice de contenidos
Borra el usuario fantasma “WordPress”
Accede a la base de datos de WordPress y navega por la tabla wp_users. Comprueba si contiene una fila con el user_login “WordPress.” Si es así, pásate por el panel de administración de tu blog -> Usuarios. Si no ves este usuario en la lista de usuarios es que es un usuario «fantasma». Vuelve a la base de datos y borra este usuario “WordPress”.
Edita “active_plugins” y “deactivated_plugins” en wp_options
Revisa la tabla wp_options de tu base de datos. En la columna option_name, busca dos entradas: “active_plugins” y “deactivated_plugins”. Haz clic en el botón «Editar» (el del lapiz) para cada una de estas dos entradas. Si ves algo como esto (puede variar algún valor) …
i:0;s:117:”../../../../../../../../../../../../../../../../../../../../../../tmp/tmpe9aXBg/sess_7eb20536ff5ff4f0a0ba6d2321df5957″;
… bórralo y guardas. Eso si, asegúrate de borrar solo esa línea, sino conseguirás un precioso Error 404.
Borra el archivo wp-info.txt
Usando cualquier programa de FTP, accede a las carpetas de tu blog y busca el archivo wp-info.txt. Este es un archivo no válido para WordPress y, de hecho, se dice que contiene tus nombres de base de datos, contraseñas, emails y mas cosas que alguien podría usar para hackear tu blog. Si existe bórralo inmediatamente y cambia todas tus contraseñas
Borra archivos que terminen en _new, _old, .pngg, .jpgg, .giff
Revisa de nuevo las carpetas de tu blog, pero ahora para buscar archivos con las extensiones _new.php, _old.php, .php.pngg, .php.jpgg, o .php.giff. Si encuentras alguno bórralo. Estos archivos son ejecutables que muestran un falso «Error 404» al tratar de mostrarlos en el navegador, pero lo que hacen es mostrar la información de tu servidor si se les llama desde un script PHP malintencionado.
Borra código «que sobre» en tus archivos PHP
Revisa tus archivos php (si, ya se que son muchos) y busca código añadido al principio de los mismos. Un ejemplo puede ser algo así:
Aunque pueden variar los valores, esto es un código malicioso y debes borrarlo inmediatamente y guardar el archivo.
Reinstala WordPress 2.5.1
Ya habrás caído en la cuenta que casi lo mejor es que reinstales la versión 2.5.1 de WordPress y así asegurarte de que no hay archivos que sobren ni código de mas. No obvies esta opción.
Gracias
¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!
AVISO: Esta publicación es de hace 3 años o más. Si es un código o un plugin podría no funcionar en las últimas versiones de WordPress, y si es una noticia podría estar ya obsoleta. Luego no digas que no te hemos avisado. ¡Ah! ¿te funciona? pues entonces no he dicho nada :)
No comprendo bien este post… ¿quiere decir que la version de Wordpress presenta un fallo de seguridad, o que han hackeado el archivo de descarga de wordpress.org y lo han sustituido por otro «modificado»?
Sin animo de abusar, pero ¿no se podria poner en descarga una version del 2.5.1 en castellano y libre de ese bug que comentas?
Esa versión en español y libre de bugs (2.5.1) ya la tienes en el enlace WordPress Español de la barra de navegación de arriba del blog 😉
Ese bug, que parece una bobada no lo es, y si lo ves alguna vez es mejor hacer algo rápido porque es síntoma de que algo malo ha pasado, de que puede que tengas intrusos.
me sale pero solo en donde administro entradas, en las otras pestañas no…
mmm… me suena raro :S
ensima hoy tengo pico de visitas…
que aconsejas Fernando?? me preocupo?
Reinstala WP al modo mas rápido.
Sube las carpetas renombradas, luego los archivos «core» renombrados. P.ej. wp-admin la subes como wp-admin2, etc.
Cuando estés listo renombras las antiguas ( wp-admin1, p.ej) y renombras las neuvas a como deben de estar (wp-admin2 la cambias a wp-admin, p.ej), etc.
Tardas 10 segundos y no se entera nadie 😉
¿me he explicado?
sisi eso si lo se hacer 😛 jijiji igual lo debo hacer asi por que sino el hosting chilla que nose que cosas ¬¬ pero es bueno de esa forma…
pero ya ahora lo hago asi evito sustos… igual, siempre hay resguardos 😛 jaja! pero evitemos sustos igual!
gracias fernando!
Pensaba que este bug ya estaba solucionado pero al parecer no es así. Con wordpress 2.6.2 acabo de ser atacado en 2 blogs de una forma muy similar. Usuario "Wordpress" con permisos de administrador. Un index.old como plugin etc.. etc… Anda que vamos apañaos con la seguridad de wordpress … estoy ya un poquito hasta los mismísimos.
@Rafa: ¿lo revisaste antes de actualizar?. Te lo digo porque el bug no es exclusivo de la 2.5 ni nada parecido. Si te han entrado por un fallo en proteger el blog da igual la versión, y mas ahora que lo confirmas.
Aplica los básicos de seguridad para que no te cuelen esos ficheros.
Hola Fernando,
sí, sí… de hecho hice una instalación nueva. Solo conservé la base de datos en la que previamente había limpiado el usuario fake y también la entrada de active_plugins y la de la tabla de opciones.
En cuanto a lo que me comentas de los principios básicos de seguridad creo que los permisos de los ficheros están correctos. De hecho uso el plugin wp security scan y así me lo confirma. No tengo usuario "admin" con ese nombre, tengo el prefijo de la tabla cambiando… vamos todo lo típico… y aun así me la han colado en dos blogs.
Me he dado cuenta que ha modificado una línea del xmlrpc.php… creo que están entrando por ahí pero no me explico cómo.
Saludos y gracias por tu respuesta.
Mas bien me refería a proteger las carpetas y demás, como hemos explicado en algún post.
Sube de nuevo WP y sobreescribe los ficheros core para quitar lo que sobra, no te queda otra y así aseguras.
Fernando, gracias por las recomendaciones. Lo único que no tengo hecho de las protecciones habituales es proteger con .htaccess el directorio wp-admin pero es porque en mi blog se suscriben y envían posts otros usuarios (y si le pongo un eso como que va a ser que no, por eso lo descarté). El resto te aseguro que lo tengo bien protegido.
Aunque, como te comentaba, hice la instalación desde cero (por tanto descartando todo php antiguo que tuviera) te haré caso y volveré a sobreescribir con los ficheros del último wordpress por si acaso. Gracias de nuevo.
Saludos.