Actualización de seguridad de Wordpress
- Todas las versiones de Wordpress anteriores a la 4.2.3
Wordpress ha publicado una actualización de seguridad que soluciona varias vulnerabilidades que podrían permitir comprometer un sitio web a un usuario con los roles de Autor o Contribuidor. También se han solucionado otras vulnerabilidades menos críticas.
Se recomienda que actualice su Wordpress a la versión 4.2.3. Para ello descargue la última versión o dentro del propio gestor de cotenidos vaya a "Escritorio", "Actualizaciones" en el área de administración de su sitio y haga clic en "actualiza ahora".
Instrucciones de actualización
Para saber si existe una actualización de seguridad de Wordpress debe acceder a la consola de Administración de Wordpress. Automáticamente al entrar apareceran varios mensajes haciéndonos saber que existe una actualización de seguridad:
Al pulsar sobre este botón, nos aparece una nueva pantalla en la que podemos por una parte actualizar el "core" del Wordpress, simplemente pulsando el botón naranja "Actualizar Ahora" o actualizar los plugins, por separado:
Al pulsar sobre el botón "Actualizar ahora", si nos aparece esta pantalla:
...deberemos hacer una modificación en el wordpress, añadiendo las siguientes lineas al final del fichero wp-config.php:
/*para actualizar wordpress sin ftp*/ define(’FS_METHOD’,’direct’);
Una vez hecho esto, cuando le demos al botón naranja de "Actualizar ahora", comenzará la actualización automática:
Al terminar nos pide que actualicemos la base de datos. Sin tener que hacer nada, sólo pulsando el botón:
Finalmente nos muestra un mensaje indicandonos que todo ha ido bien:
¿Te gustaría recibir estos avisos en tu lector de RSS? Anímate y suscríbete a nuestro servicio de RSS o perfil de twitter @incibe. Serás el primero en enterarte de los últimos avisos de seguridad para empresas.
Un usuario con roles de Autor o Contribuidor podría aprovechar estas vulnerabilidades en Wordpress para tomar el control del sitio y modificar a su antojo los contenidos de la web.
Esta vulnerabilidad también podría permitir al atacante engañar a los visitantes del sitio web, para que hicieran clic en un enlace malicioso y enviaran, de esta manera, información sensible almacenada en sus equipos sin que estos lo sepan.