Sábado, 22 Junio 2013 00:00

Liberado WordPress 3.5.2 - Versión de Seguridad

Escrito por 
CMS:  WordPress |  Versión:  3.x |  Nivel de dificultad:  Básico |  Tiempo estimado de lectura:  5 minutos


Actualización de Seguridad para WordPress 3.5.2Hoy se ha liberado WordPress 3.5.2 como versión de mantenimiento y seguridad, siendo importante actualizarse por razones de funcionalidad y seguridad, habiéndose corregido 12 incidencias entre las que destacamos más abajo las que afectan a vulnerabilidades XSS o XXE.

Se corrigen vulnerabilidades como el bloqueo de ataques de falsificación de peticiones al servidor, actualización de la librería SWFUpload, prevención de ataques de negación de servicio (DoS) algo que este mes pasado afecto a miles de instalaciones de WordPress y actualizaciones de librerías externas como TinyMCE, entre otros.

Es importante actualizarse a esta versión de seguridad, previa copia de seguridad con XCloner o desde el Panel de Hosting, Respaldos.

El equipo de seguridad de WordPress ha forkeado oficialmente el proyecto SWFUpload abandonado desde hace mucho tiempo y está animando encarecidamente a todos los desarrolladores web que utilizan SWFUpload a que lo actualicen.

El equipo de desarrollo de WordPress no aconseja el uso de abandonware, pero desea hacer de la web un lugar mejor, asegurando que los desarrolladores tienen acceso a una versión segura de SWFUpload.


No hubo muchos cambios en esta versión, pero estos son todos los archivos modificados:

Files wordpress-3.5.1/readme.html and wordpress-3.5.2/readme.html
Files wordpress-3.5.1/wp-admin/about.php and wordpress-3.5.2/wp-admin/about.php
Files wordpress-3.5.1/wp-admin/edit-form-advanced.php and wordpress-3.5.2/wp-admin/edit-form-advanced.php
Files wordpress-3.5.1/wp-admin/includes/class-wp-importer.php and wordpress-3.5.2/wp-admin/includes/class-wp-importer.php
Files wordpress-3.5.1/wp-admin/includes/class-wp-upgrader.php and wordpress-3.5.2/wp-admin/includes/class-wp-upgrader.php
Files wordpress-3.5.1/wp-admin/includes/file.php and wordpress-3.5.2/wp-admin/includes/file.php
Files wordpress-3.5.1/wp-admin/includes/media.php and wordpress-3.5.2/wp-admin/includes/media.php
Files wordpress-3.5.1/wp-admin/includes/post.php and wordpress-3.5.2/wp-admin/includes/post.php
Files wordpress-3.5.1/wp-admin/includes/schema.php and wordpress-3.5.2/wp-admin/includes/schema.php
Files wordpress-3.5.1/wp-admin/includes/update-core.php and wordpress-3.5.2/wp-admin/includes/update-core.php
Files wordpress-3.5.1/wp-admin/includes/upgrade.php and wordpress-3.5.2/wp-admin/includes/upgrade.php
Files wordpress-3.5.1/wp-admin/update.php and wordpress-3.5.2/wp-admin/update.php
Files wordpress-3.5.1/wp-content/plugins/akismet/admin.php and wordpress-3.5.2/wp-content/plugins/akismet/admin.php
Files wordpress-3.5.1/wp-content/plugins/akismet/akismet.css and wordpress-3.5.2/wp-content/plugins/akismet/akismet.css
Files wordpress-3.5.1/wp-content/plugins/akismet/akismet.js and wordpress-3.5.2/wp-content/plugins/akismet/akismet.js
Files wordpress-3.5.1/wp-content/plugins/akismet/akismet.php and wordpress-3.5.2/wp-content/plugins/akismet/akismet.php
Files wordpress-3.5.1/wp-content/plugins/akismet/.htaccess and wordpress-3.5.2/wp-content/plugins/akismet/.htaccess
Files wordpress-3.5.1/wp-content/plugins/akismet/readme.txt and wordpress-3.5.2/wp-content/plugins/akismet/readme.txt
Files wordpress-3.5.1/wp-content/themes/twentyeleven/languages/twentyeleven.pot and wordpress-3.5.2/wp-content/themes/twentyeleven/languages/twentyeleven.pot
Files wordpress-3.5.1/wp-content/themes/twentytwelve/languages/twentytwelve.pot and wordpress-3.5.2/wp-content/themes/twentytwelve/languages/twentytwelve.pot
Files wordpress-3.5.1/wp-includes/class-feed.php and wordpress-3.5.2/wp-includes/class-feed.php
Files wordpress-3.5.1/wp-includes/class-http.php and wordpress-3.5.2/wp-includes/class-http.php
Files wordpress-3.5.1/wp-includes/class-oembed.php and wordpress-3.5.2/wp-includes/class-oembed.php
Files wordpress-3.5.1/wp-includes/class-phpass.php and wordpress-3.5.2/wp-includes/class-phpass.php
Files wordpress-3.5.1/wp-includes/class-wp-admin-bar.php and wordpress-3.5.2/wp-includes/class-wp-admin-bar.php
Files wordpress-3.5.1/wp-includes/class-wp-xmlrpc-server.php and wordpress-3.5.2/wp-includes/class-wp-xmlrpc-server.php
Files wordpress-3.5.1/wp-includes/comment.php and wordpress-3.5.2/wp-includes/comment.php
Files wordpress-3.5.1/wp-includes/deprecated.php and wordpress-3.5.2/wp-includes/deprecated.php
Files wordpress-3.5.1/wp-includes/formatting.php and wordpress-3.5.2/wp-includes/formatting.php
Files wordpress-3.5.1/wp-includes/functions.php and wordpress-3.5.2/wp-includes/functions.php
Files wordpress-3.5.1/wp-includes/http.php and wordpress-3.5.2/wp-includes/http.php
Files wordpress-3.5.1/wp-includes/js/media-editor.js and wordpress-3.5.2/wp-includes/js/media-editor.js
Files wordpress-3.5.1/wp-includes/js/media-editor.min.js and wordpress-3.5.2/wp-includes/js/media-editor.min.js
Files wordpress-3.5.1/wp-includes/js/plupload/handlers.js and wordpress-3.5.2/wp-includes/js/plupload/handlers.js
Files wordpress-3.5.1/wp-includes/js/plupload/handlers.min.js and wordpress-3.5.2/wp-includes/js/plupload/handlers.min.js
Files wordpress-3.5.1/wp-includes/js/swfupload/handlers.js and wordpress-3.5.2/wp-includes/js/swfupload/handlers.js
Files wordpress-3.5.1/wp-includes/js/swfupload/handlers.min.js and wordpress-3.5.2/wp-includes/js/swfupload/handlers.min.js
Only in wordpress-3.5.1/wp-includes/js/swfupload: swfupload-all.js
Files wordpress-3.5.1/wp-includes/js/swfupload/swfupload.swf and wordpress-3.5.2/wp-includes/js/swfupload/swfupload.swf
Files wordpress-3.5.1/wp-includes/js/tinymce/plugins/media/moxieplayer.swf and wordpress-3.5.2/wp-includes/js/tinymce/plugins/media/moxieplayer.swf
Files wordpress-3.5.1/wp-includes/js/tinymce/tiny_mce.js and wordpress-3.5.2/wp-includes/js/tinymce/tiny_mce.js
Files wordpress-3.5.1/wp-includes/js/tinymce/wp-tinymce.js.gz and wordpress-3.5.2/wp-includes/js/tinymce/wp-tinymce.js.gz
Files wordpress-3.5.1/wp-includes/media-template.php and wordpress-3.5.2/wp-includes/media-template.php
Files wordpress-3.5.1/wp-includes/pluggable.php and wordpress-3.5.2/wp-includes/pluggable.php
Files wordpress-3.5.1/wp-includes/post.php and wordpress-3.5.2/wp-includes/post.php
Files wordpress-3.5.1/wp-includes/post-template.php and wordpress-3.5.2/wp-includes/post-template.php
Files wordpress-3.5.1/wp-includes/rss.php and wordpress-3.5.2/wp-includes/rss.php
Files wordpress-3.5.1/wp-includes/script-loader.php and wordpress-3.5.2/wp-includes/script-loader.php
Files wordpress-3.5.1/wp-includes/user.php and wordpress-3.5.2/wp-includes/user.php
Files wordpress-3.5.1/wp-includes/version.php and wordpress-3.5.2/wp-includes/version.php
Files wordpress-3.5.1/wp-includes/wp-db.php and wordpress-3.5.2/wp-includes/wp-db.php
Files wordpress-3.5.1/wp-login.php and wordpress-3.5.2/wp-login.php differ


Los cambios más destacados de esta versión son:

  • Bloqueo de peticiones falsas al servidor que podrían permitir a un potencial atacante obtener acceso al sitio web.

  • No permitir a colaboradores publicar entradas de forma inadecuada, o reasignar la autoría de las entradas.
  • Actualización de la librería externa SWFUpload para solucionar vulnerabilidades XSS.
  • Prevención de ataques de denegación de servicio (DoS) que afectaban a sitios que usan entradas protegidas por contraseña.
  • Actualización de la librería externa TinyMCE que soluciona una vulnerabilidad XSS.
  • Corregidas múltiples vulnerabilidades XSS.
  • Evitar la revelación de la ruta completa del servidor cuando falla la subida de un archivo.

La última versión estable de WordPress 3.5 está disponible en dos formatos de archivos (zip o tar.gz). Si no tienes idea de qué hacer con esta descarga, se recomienda revisar más abajo los pasos sobre la actualización de WordPress o remitirse a la documentación oficial del proyecto.

  1. Descargar la actualización de WordPress 3.5.2 del sitio oficial de WordPress (en inglés).
  2. Descargar la actualización de WordPress 3.5.2 del sitio de WordPress en Español.
  3. Ver la lista de cambios completa (en inglés) para la versión 3.5.2

Para realizar la actualización automática recomendamos seguir el siguiente vídeo que en apenas 3 minutos permite actualizar WordPress a la última versión estable.

Como siempre, cuando las nuevas versiones se liberan por razones de seguridad, la recomendación es actualizarse a la última versión estable de este CMS, previa copia de seguridad, para garantizar la seguridad y estabilidad de nuestro Blog.


Una recomendación de un amigo y experto en seguridad Dabo tras actualizar WordPress:

Actualización de Seguridad para WordPress 3.5.2 - Consejo de Dabo

Podéis conocer más sobre Dabo y sus publicaciones en su fantástico Blog.


¿Te ha resultado interesante este artículo?

Suscríbete para recibir consejos exclusivos para WordPress, Joomla y PrestaShop



Luis Méndez Alejo

Miembro del equipo técnico de Webempresa.
Coordinador de contenidos en el Blog y en Youtube.
Google+