WordPress 4.0.1 – Actualización importante de seguridad

El gestor de contenidos WordPress, uno de los más utilizados para crear páginas web, ha avisado de la actualización 4.01 de su última versión Benny, Esta actualización resuelve algunas vulnerabilidades detectadas, así que para evitar incidentes en nuestro site,  su instalación resulta más que recomendable.

En este post, explicamos las mejoras de seguridad que implementa esta versión 4.0.1 en nuestra página. Si tienes alguna duda, también puedes consultar nuestro post sobre las actualizaciones de WordPress de nuestra serie Primeros Pasos.

Es posible que hayas recibido un mensaje en tu correo electrónico con este asunto:

[Nombre de la página] WordPress 4.0.1 está disponible. Por favor, ¡actualiza!

o si tienes habilitadas las actualizaciones automáticas, este otro:

[Nombre de la página] Tu sitio ha sido actualizado a WordPress 4.0.1

También puedes encontrar este mensaje en tu panel de administración:

¡WordPress 4.0.1 está disponible! Por favor, avisa al administrador del sitio.

Esta actualización soluciona graves posibles problemas de seguridad, por lo que es aconsejable actualizar tu CMS. Los cambios que se realizan con esta actualización son:

  • Soluciona vulnerabilidades de cross-site scripting  por la que un colaborador o autor podría comprometer la seguridad del sitio. Esta vulnerabilidad no afecta a la versión 4.0.
  • Falsa petición para engañar al usuario a cambiar su contraseña.
  • Soluciona en problema que podría conllevar la denegación del servicio cuando se comprueban las contraseñas.
  • Añade proteccion adicional para peticiones de servidor cuando se realizan peticiones HTTP.
  • Un poco probable colisión de hash que pueda permitir que una cuenta de usuario sea comprometida, que requiere que el usuario no se haya conectado desde 2008.
  • WordPress invalida los enlaces del correo electrónico de restablecimiento de contraseña si el usuario recuerda su contraseña, inicia sesión y cambia la dirección de email.
  • Mejora la validación de los datos EXIF al subir fotografías.
  • Soluciona otros 23 bugs mas de la versión 4.0

Si ya estabas probando la beta de la versión  4.1, con la segunda beta ya estarán disponibles estas mejoras.

Lista de archivos revisados:

  • readme.html
  • wp-admin/about.php
  • wp-admin/includes/class-wp-plugin-install-list-table.php
  • wp-admin/includes/image.php
  • wp-admin/includes/plugin-install.php
  • wp-admin/includes/post.php
  • wp-admin/js/editor-expand.js
  • wp-admin/js/editor-expand.min.js
  • wp-admin/js/media.js
  • wp-admin/js/media.min.js
  • wp-admin/plugin-install.php
  • wp-admin/press-this.php
  • wp-admin/upload.php
  • wp-includes/canonical.php
  • wp-includes/class-phpass.php
  • wp-includes/css/media-views-rtl.css
  • wp-includes/css/media-views-rtl.min.css
  • wp-includes/css/media-views.css
  • wp-includes/css/media-views.min.css
  • wp-includes/formatting.php
  • wp-includes/http.php
  • wp-includes/js/media-grid.js
  • wp-includes/js/media-grid.min.js
  • wp-includes/js/media-views.js
  • wp-includes/js/media-views.min.js
  • wp-includes/js/mediaelement/flashmediaelement.swf
  • wp-includes/js/mediaelement/mediaelement-and-player.min.js
  • wp-includes/js/quicktags.js
  • wp-includes/js/quicktags.min.js
  • wp-includes/js/tinymce/plugins/wpeditimage/plugin.js
  • wp-includes/js/tinymce/plugins/wpeditimage/plugin.min.js
  • wp-includes/js/tinymce/plugins/wpview/plugin.js
  • wp-includes/js/tinymce/plugins/wpview/plugin.min.js
  • wp-includes/js/tinymce/wp-tinymce.js.gz
  • wp-includes/kses.php
  • wp-includes/link-template.php
  • wp-includes/media-template.php
  • wp-includes/media.php
  • wp-includes/ms-functions.php
  • wp-includes/pluggable.php
  • wp-includes/post.php
  • wp-includes/session.php
  • wp-includes/user.php
  • wp-includes/version.php
  • wp-login.php