WordPress 4.0.1 actualización de seguridad

wordpress-code-image

Acaba de salir una nueva versión de WordPress 4.0.1 que soluciona graves posibles problemas de seguridad y, en consecuencia, es altamente recomendable. Si tienes tu página Web o blog con WordPress actualiza lo antes posible.

Versiones de WordPress 3.9.2 y anteriores versiones están afectadas por una vulnerabilidad cross-site scripting crítico, lo que podría permitir a los usuarios anónimos para comprometer un sitio. Esto fue informado por Jouko Pynnonen . Este problema no afecta a la versión 4.0, pero la versión 4.0.1 no aborda estos ocho problemas de seguridad:

En concreto incorpora los siguientes cambios:

  • Soluciona tres vulnerabilidades XSS (Cross Site Scripting) por las que un autor o colaborador podría comprometer la seguridad de un sitio.
  • Arregla otra vulnerabilidad cruzada que podría usarse para engañar a un usuario para que cambie la contraseña.
  • También soluciona un problema que podría conllevar una denegación de servicio al comprobar contraseñas.
  • Incorpora protección adicional para peticiones de servidor ante ataques cuando WordPress hace peticiones HTTP.
  • Ahora WordPress inutiliza los enlaces de reinicio de contraseña si el usuario recuerda la clave, accede y cambia su dirección de correo.
  • Mejora la validación de datos EXIF al cargar fotos.
  • Y soluciona otros 23 pequeños fallos detectados desde el lanzamiento de WordPress 4.0.

¿Qué  es XSS?

XSS, del inglés Cross-site scripting es un tipo de inseguridad informática o agujero de seguridad típico de las aplicaciones Web, que permite a una tercera parte inyectar en páginas web vistas por el usuario código JavaScript o en otro lenguaje script similar evitando medidas de control como la Política del mismo origen. Este tipo de vulnerabilidad se conoce en español con el nombre de Secuencias de comandos en sitios cruzados.

Si no has actualizado WordPress te aconsejamos como siempre hacer una copia de seguridad de tus Web actual en WordPress y un backup de tu base de datos por prevenir. Despúes ya estás tardando en actualizar, yo ya lo he hecho y también 4 plugins que se han actualizado para la nueva versión como Disquss, Wordpres SEO,…

Puedes descargar WordPress desde tu administración o desde https://wordpress.org/download/ https://wordpress.org/news/2014/11/wordpress-4-0-1/