WordPress 2.2.3, actualización de seguridad

Acaban de liberar WordPress 2.2.3, un actualización de seguridad. Corrige un fallo de seguridad que afecta a quienes tenga activados los permalinks a funcionar como URLs amigables (la mayoría de blogs). Adicionalmente han corregido algunos otros problemas menores y han aplicado cierta optimización al código.

Si ya tienes WordPress 2.2.2 puedes facilitar la actualización, al subir solo los archivos que han cambiado:

wp-includes/default-filters.php
wp-includes/feed-rss2-comments.php
wp-includes/formatting.php
wp-includes/pluggable.php
wp-includes/plugin.php
wp-includes/query.php
wp-includes/rewrite.php
wp-includes/version.php
wp-includes/widgets.php
wp-includes/rss.php
wp-includes/vars.php
xmlrpc.php
wp-mail.php
wp-admin/admin-ajax.php
wp-admin/admin-functions.php
wp-admin/install-rtl.css
wp-admin/options.php
wp-admin/rtl.css
wp-admin/widgets-rtl.css

Etiquetas de búsqueda: , ,

Agrega tu comentario

Exploit en WordPress 2.1.3: Inyección SQL

Via la lista de correo wp-hackers, me entero de un nuevo exploit publicado en PacketStrom Security para el constantemente vulnerable WordPress. No hay muchos detalles técnicos de que hace el exploit, pero por lo que vi es una inyección SQL a través de wp-admin/admin-ajax.php para obtener el hash de la clave de los usuarios en wordpress.

A pesar de que las claves de los usuarios wordpress está ofuscadas (salted) no será mayor barrera descifrar la clave teniendo MD5 Hash. En teoría la única versión afectada es WordPress 2.1.3.

Hay un script publicado del exploit lo que facilita por mucho el trabajo de los script kiddies. Será mejor actualizarse a WordPress 2.2 por is las moscas.

Etiquetas: , , , , ,

Bug en la Edición en Masa de Comentarios de WordPress 2.2

Como de costumbre en WordStress cada nueva versión viene cargada de sorpresas. Esta vez encontramos un Bug en el Modo de edición de Comentarios en Masa (característica introducida en WordPress 2.1 y en 2.0 como plugin) para los blogs corriendo WordPress 2.2 y los hospedados en WordPress.com.

El problema es cuando se esta en el Mode de edición en masa, los enlaces a las siguientes páginas no llevan la variable mode=edit, lo cual hace que regrese al modo normal de edición de comentarios. No es un bug grave, pero cuando se cuela mucho spam resulta algo tedioso tener que trabajar las urls de la paginación (ya que el enlace de Mass Mode Edit siempre apunta a la primera página, y el servidor no siempre responde rápido para usar tanto ajax en el modo normal)

Curiosamente el ticket que he creado reportando el bug, es el número 4,300. ¡Vaya que tiene movimiento!

Actualización 21 de Mayo: En el commit#5497 ya fue arreglado este problema. Tocará bajar la nueva versión de edit-comments.php para obtener el parche.

Actualización 11:10 am: joder! probe el parche que publicaron y aunque funciona bien el paso de la variable mode, ahora no pasa el valor de la paginación correctamente….. he reabierto el ticket *suspiro*.

Actualización 6:58 pm: Finalmente el parche funciona en el commit #5508…. fue un error de mecanografía el problema.

Video: Lo nuevo en WordPress 2.2

Anoche estuve probando las nuevas características de WordPress 2.2, en especial:

  • Los widgets, los pequeños agregados para facilitar la personalización del sidebar, al menos para los que no saben mucho de HTML y hacer consultas a la base de datos directo en la plantilla 😀
  • Desactivar todos los plugins, una característica muy pedida aunque solo útil cuando tienes unos 15 plugins y hay que actualizar wordpress.
  • El flujo de comentarios basado en ajax, que no es más que al borrar un comentario automáticamente carga el siguiente al final. Así no debes recarga la página para ver los nuevos comentarios que quedarían en lugar de los que fueron borrados. En WordPress.com ya lo tenemos, por cierto.

Los widgets que vienen por defecto son: Archivos, Búsqueda, Calendario, Categorías, Comentarios Recientes, Posts Recientes, Cuadros de texto, Cuadros de RSS, Páginas, Enlaces (blogroll), Meta links, y Enlace a la portada del blog. Con estos widgets fijo quito varios plugins que va a quedar sobrando 😀 La mayoría de widgets es posible configurarlos, justo como los usamos en WordPress.com (btw: los widget ya están dando problemas :S)

También descubrí que en la sección de Permalinks ahora se puede editar el .htaccess que maneja WordPress:

Wordpress - edición del .htaccess

Un poco más facil de encontrarlo, por que esto ya se podía editar desde Administrar >> Archivos >> .htaccess.

Anoche solo fue en un blog de pruebas, hoy toca migrar los sitios …. a ver que tal me va.

WordPress 2.2 se retrasa

Cuando liberaron WordPress 2.1, se dijo que la siguiente versión de WordPress sería lanzada el 23 Abril, apoyando un ciclo de desarrollo rápido. Bien, Matt ha anunciado en WP-Hackers que WP2.2 se retrasa debido al trolleo de los últimos días sobre como manejar en la base de datos la nueva característica de tags, junto a las categorías y los links del blogroll.

De momento los tags no van más para WP2.2, creando una rama especial que no los incluya, aunque en el trunk siempre van a existir; esperaran a que la nueva propuesta del esquema de base de datos madure y puedan incluirlo en WP2.3

Dependiendo de como vayan las pruebas, WP2.2 podría salir este 30 de Abril o sino hasta el 7 de Mayo. En fin, espero que aprovechen para meter más parches y nos ahorren un realease que actualizar XD