WordPress publicó una nueva versión que incluye mejoras para solucionar errores y fortalecer la seguridad, abordando tres vulnerabilidades consideradas de alto a moderado riesgo.
Es importante verificar si el sitio web se ha actualizado a la versión 6.02 y confirmar que todo sigue funcionando correctamente, ya que es posible que las actualizaciones se hayan descargado e instalado automáticamente.
Enmienda de equivocaciones.
La actualización incluye doce correcciones para la base de WordPress y cinco para el editor de bloques.
Una mejora significativa se ha implementado en el Directorio Patrón, con el objetivo de facilitar a los autores de temas la selección de patrones únicamente relacionados con sus temas.
El propósito de esta modificación es mejorar su atractivo para los autores especializados, incentivándolos a utilizarlo, y ofrecer una experiencia de usuario más satisfactoria a los editores.
Muchos escritores de temas desean desactivar de forma predeterminada todos los patrones básicos y remotos utilizando la función remove_theme_support(‘core-block-patterns’). De esta manera, aseguran que solo se están ofreciendo patrones pertinentes para los usuarios de su tema.
Este ajuste permitirá que el Directorio Pattern sea más atractivo y funcional según la opinión del creador del tema.
Tres medidas de protección.
La primera vulnerabilidad se describe como una grave vulnerabilidad de inyección SQL.
Una falla de seguridad en la inyección SQL posibilita a un individuo malintencionado acceder a la base de datos que respalda el sitio web y realizar operaciones como agregar, visualizar, eliminar o cambiar información confidencial.
De acuerdo con un reporte de Wordfence, WordPress 6.02 ha solucionado un problema crítico de inyección SQL, pero para explotar esta vulnerabilidad se necesitan permisos de administrador.
Wordfence detalló esta vulnerabilidad.
La capacidad de WordPress Link, antes llamada “Bookmarks”, ya no viene activada de forma automática en las nuevas instalaciones de WordPress.
Los sitios antiguos aún pueden conservar la funcionalidad activa, lo que indica que muchos sitios heredados podrían estar en riesgo, incluso si cuentan con versiones recientes de WordPress.
Por suerte, descubrimos que la vulnerabilidad necesita permisos de administrador y es complicada de aprovechar en la configuración estándar.
Las vulnerabilidades dos y tres se identifican como Scripting Stored Cross-Site, y se menciona que una de ellas no afecta a la mayoría de los editores de WordPress.
La biblioteca Moment JavaScript para fechas ha sido actualizada recientemente.
Otra vulnerabilidad fue identificada, pero no estaba relacionada con el núcleo de WordPress. En este caso, se trata de una vulnerabilidad en la biblioteca de datos JavaScript llamada Moment que es utilizada por WordPress.
La biblioteca JavaScript tiene una vulnerabilidad que ha sido identificada con un número CVE y cuyos detalles se pueden encontrar en la base de datos de vulnerabilidades del gobierno de Estados Unidos. Esta vulnerabilidad se ha registrado como un error corregido en WordPress.
¿Cuál es la acción a realizar?
La actualización debería realizarse de forma automática en los sitios que tengan la versión 3.7.
Se puede comprobar si la página web está operativa adecuadamente y si no hay problemas con la compatibilidad entre el diseño actual y las extensiones instaladas.
Fuentes mencionadas.
WordPress Core 6.0.2 fue lanzado para abordar cuestiones de seguridad y mantenimiento. Aquí te presentamos la información relevante que debes conocer sobre esta actualización.
Permitir la grabación a distancia de configuraciones en el archivo tema.json incluso cuando las configuraciones básicas están desactivadas.
Ilustración principal provista por Shutterstock/Krakenimages.com
