Hace unos pocos días atrás echando un vistazo al roadmap de WordPress me sorprendí al ver que la versión 2.6 de WordPress estará lista antes de lo previsto inicialmente (que teóricamente era para Agosto), y comprobé que ya estaba disponible la versión beta1 en el TRAC, pero todavía no estaba disponible para descargar desde el archivo de versiones.

Sin embargo, un par de días después, ya se podía descargar WordPress 2.6 beta1 desde dicho archivo. Y hoy compruebo que tanto en el TRAC como en el archivo de descargas, ya se puede descargar WordPress 2.6 beta2. Con lo que es de esperar que en esta ocasión se cumpla la fecha de lanzamiento y no se retrase como ocurrió con WordPress 2.5.

Me llama mucho la atención el hecho de que mientras ya está disponible esta versión beta2 de Wordpress 2.6, y su fecha de lanzamiento para la versión final es para mediados de Julio, sin embargo, no hay fecha prevista para terminar la versión 2.5.2… lo cual representa en mi opinión el reconocimiento de la gran metedura de pata que ha sido Wordpress 2.5.x, que creo que pasará a la historia como la versión más problemática y más criticada por sus usuarios.

La verdad es que tengo puestas grandes esperanzas en que WordPress 2.6 solucione todos los “pequeños grandes fallos” que nos ha traído la versión 2.5.x… (sobre todo con la gestión de imágenes) de entrada a continuación os traduzco un listado de novedades que Ryan Boren ha publicado en su blog.
Continuar leyendo » WordPress 2.6 a mediados de Julio

Donncha O Caoimh, uno de los más activos desarrolladores de WordPress, ha creado una extensión (todavía en fase muy temprana como indica su versión) que puede ayudarnos a detectar si nuestra instalación de WordPress ha sido infectada por algún atacante para insertar enlaces spam y temas similares…

Esta extensión de WordPress busca en los archivos de tu blog unas cuantas cadenas conocidas usadas a veces por los hackers, y las muestra junto con fragmentos de código de los archivos. También hace unas cuantas comprobaciones en la base de datos, mirando en la opción active_plugins, la tabla de comentarios, y la tabla de entradas.

Además, permite al dueño del blog buscar cualquier cadena que quiera, lo que puede venir muy bien cuando se use código de alguna nueva vulnerabilidad para hackear el blog.

Para usar esta extensión debes tener instalado WordPress 2.5.1 o superior. No tiene mucho sentido buscar archivos modificados en una instalación obsoleta que puede volver a ser hackeada…

Puedes descargar WordPress Exploit Scanner desde el repositorio oficial de WordPress.

O también puedes visitar la entrada donde Donncha ofrece más información acerca de esta extensión.

Si estás usando en tu WordPress la extensión Nextgen Gallery deberías estar atento ya que ha sido descubierta una vulnerabilidad XSS para la versión 0.96 e inferiores.

Según se indica en el aviso de la vulnerabilidad, el atacante no necesita autenticación para acceder a la URL del tipo:

http://[servidor]/[directorio]/wp-admin/admin.php?page=nggallery-manage-gallery

Por el momento parece ser que no hay disponible ningún parche para corregir este problema, por lo que es recomendable desactivar Nextgen Gallery.

Visto en: Blogsecurity.net