Tras la actualización de WordPress a la 4.7 que incluia muchas mejoras con respecto a las anteriores versiones, y una adaptación masiva (mas de 10 millones de descargas), se detectaron unos 62 bugs en esta versión.
Esto ha hecho que tengamos que volver a actualizar las plataformas que llevamos, y recomendamos hacerlo ya que son problemas importantes a solventar. Como parte de los servicios de gestión de dominios y hosting’s, estas actualizaciones las realizamos de manera automatica.
Recodar que siempre hay que hacer copias de seguridad de todos los contenidos, y que, aunque parezca que actualizar una versión no es necesario si nuestro portal «funciona», hay que recordar que las actulizadiones corrigen problemas que pueden poner en riesgo nuestro portal, y con ello parte de la publicidad de nuestra empresa.
Las versiones de WordPress 4.7 y anteriores están afectadas por ocho problemas de seguridad:
- Ejecución de código remoto en PHPMailer – No hay ningún problema específico que afecte a WordPress o a los principales plugins que hemos investigado pero, por precaución, hemos actualizado PHPMailer en esta versión Este problema lo informaron a PHPMailer Dawid Golunski y Paul Buonopane.
- La REST API exponía datos de usuario de todos los usuarios autores de una entrada o un tipo de contenido público. WordPress 4.7.1 limita esto solo a los tipos de contenido que se especifique que deban mostrarse en la REST API. Informaron Krogsgard y Chris Jean.
- Vulnerabilidad XSS a través del nombre del plugin o la cabecera de la versión en
update-core.php
. Informado por Dominik Schilling, del equipo de seguridad de WordPress. - Vulnerabilidad CSRF al subir un archivo flash. Informado por Abdullah Hussam.
- Vulnerabilidad XSS mediante la retirada del nombre del tema. Informado por Mehmet Ince.
- La publicación por correo electrónico revisa
mail.example.com
si no han cambiado los ajustes por defecto. Informado por John Blackbourn, del equipo de seguridad de WordPress. - Vulnerabilidad CSRF descubierta en e modo de accesibilidad de la edición de widgets. Informada por Ronnie Skansing.
- Seguridad criptográfica débil en la clave de activación de multisitio. Informado por Jack.
Si teneís dudas como actualizar vuestro portal, os recomiendo ver el siguiente video o podeis hacernos la consulta, estaremos encantados de ayudaros a mantener vuestros portales.
Fuente wordpress.org