WordpPress es un CMS (sistema de gestión de contenidos o Content Management System) gratuito y de código abierto escrito principalmente en PHP y que permite a los usuarios, tanto expertos como aficionados, administrar fácilmente una página web o blog con contenido dinámico. La primera versión de este software se lanzó en mayo de 2003 y ahora, 12 años más tarde, es utilizado prácticamente en el 25% de todas las páginas web publicadas en Internet.
Hace algunas horas el equipo de desarrollo de WordPress ha publicado una nueva actualización de la plataforma, alcanzando así la versión 4.2.3. Esta actualización se caracteriza por solucionar una serie de fallos críticos detectados en las versiones anteriores y recomiendan actualizar lo antes posible para evitar caer en manos de piratas informáticos.
La versión 4.2.2 y todas las anteriores se han visto afectadas recientemente por una vulnerabilidad cross-site scripting. Este tipo de vulnerabilidades permite a terceros usuarios inyectar en páginas web vulnerables un código JavaScript saltándose las medidas de control y seguridad de las mismas.
Cómo actualizar un blog WordPress
Este CMS busca constantemente actualizaciones para facilitar al usuario la tarea de tener la última versión disponible pudiendo aprovechar las últimas mejoras y con la mayor seguridad posible. Hoy, todos los blogs que no tengan instalada ya la nueva versión del CMS han empezado a ver en su admin un mensaje similar al siguiente:
Para actualizar lo único que debemos hacer es entrar en la admin de WordPress y desde el panel lateral elegir la opción «Escritorio > Actualizar» y pulsar sobre el botón «Actualizar ahora«. De esta manera se descargará e instalará automáticamente esta nueva actualización manteniendo así nuestro blog seguro y protegido. También se actualizarán todas las extensiones que tengamos desactualizadas, por lo que si sólo queremos que se actualice el CMS debemos especificarlo manualmente.
Es recomendable instalar todas las actualizaciones siempre en un entorno de pruebas de manera que si algo sale mal nuestra página no quede inutilizada. Si la instalación se realiza correctamente y todo funciona a la perfección entonces podemos instalar la actualización en el WordPress público.
En el siguiente enlace podemos ver una lista de todos los archivos que se han modificado para solucionar esta vulnerabilidad. También podemos ver una lista de todas las vulnerabilidades que se han solucionado desde el lanzamiento inicial de WordPress 4.2.
¿Administras un blog WordPress? ¿Has instalado ya las versiones más recientes del software?
Quizá te interese:
- Se descubre una vulnerabilidad 0-day XSS en el plugin WP-UserAgent de WordPress
- Utilizan sitios web de WordPress para robar credenciales de los usuarios
- Tres plugins de Yoast para WordPress vulnerables a ataques XSS