Viernes, 21 Diciembre 2018 19:25

WordPress 4.9.9 ¡versión de seguridad!

Escrito por  Luis Méndez Alejo
CMS:  WordPress |  Versión:  4.9.x |  Dificultad:  Básico |  Tiempo lectura:  5 minutos
Valora este artículo
(3 votos)

WordPress 4.9.9


Diciembre ha empezado movidito en el mundo de WordPress y en parte se lo debemos a la actualización a WordPress 5.0 que incorpora ya por defecto el "editor de bloques" Gutenberg en sustitución del actual (hasta la 4.9.9) basado en TinyMCE.

Esto ha generado que muchos usuarios se queden "parados" (temporalmente) en la versión 4.9.8 y otros den el salto a la 5.0 ya con el nuevo editor, o con el "Editor Clásico" si han optado por no subirse al carro de los editores de bloques.

En esta ocasión se trata de aplicar un parche de seguridad que afecta tanto a WordPress 4.9.8 como a la nueva versión 5.0, por lo que debe aplicarse en ambas situaciones dependiendo de cuál versión uses para que tu sitio no se vea afectado y funcione con normalidad.

Antes de actualizar es importante que realices una copia de seguridad (si tu actualización no es automática).

     

 Vulnerabilidades y correcciones


El principal problema solucionado ha sido uno que afecta a metadatos que pueden ser modificados para eliminar archivos sin autorización.

Se ha solucionado otro problema que permite que los autores puedan crear mensajes post types no autorizados con información diseñada de forma específica que afectaría al sitio web.

También se corrige un problema que permite que usuarios con rol de contribuidores puedan editar nuevos comentarios de usuarios de rol superior y con ello generar vulnerabilidades de secuencia de comandos entre sitios (XSS).

De la misma forma estos usuarios con rol de contribuidor pueden crear metadatos que podrían permitir una vulnerabilidad de inyección de objetos PHP (hacking PHP Object injection).

En sitios con Apache como servidor web, algunos autores de sitios WordPress pueden subir archivos malformados que permiten saltarse la verificación de tipos MIME generando una vulnerabilidad de XSS de sitios cruzados.

Los desarrolladores del plugin Yoast SEO reportaron un bug que permite que sea posible que los motores de búsqueda indexen la pantalla de activación de usuarios, en instalaciones con configuraciones específicas, pudiendo exponerse las direcciones de correo electrónico, y circunstancialmente contraseñas creadas por defecto.

La actualización no afecta a los temas nativos de WordPresss.org por lo que no sufren modificaciones.

 

 Avisos de Actualizaciones


Si al acceder al dashboard de WordPress ves el siguiente mensaje en Escritorio, Actualizaciones:


No actualizar

Haz clic en la imagen para ampliarla  

Pero no quieres pasar de WordPress 4.9.x a la nueva versión 5.0.2, entonces lo mejor es que ignores dicho mensaje, al menos hasta finales de enero de 2019.

Si en Actualizaciones compruebas que tienes plugins y temas pendientes de actualizar, aplica primero la actualización de estos antes de que se realice una actualización del núcleo de WordPress a la versión 4.9.9 de forma automática (si no se ha realizado aún).

Si tras actualizarse tu sitio web, no ves la página, limpia la caché de tu navegador y verifica si sigue activo el "modo mantenimiento" que suele ser la causa habitual de que no veas la web al haber hecho clic en otro elemento del dashboard de tu web mientras se actualizaba WordPress.

En WordPress 4.9.8 (funcionalidad nativa desde la versión 3.7) ¡este se encarga de mantener tu CMS actualizado por ti de forma automática a la nueva versión ¡a menos que lo tengas deshabilitado!

 

 Forzar actualización de WordPress


 
Si aún te encuentras estancad@ en WordPress 4.9.3 tienes que tener presente que la actualización a la versión 4.9.9 no será automática, lo que te obliga a realizarla manualmente, de lo contrario te quedarás en dicha versión sin recibir nuevas actualizaciones.

Otras versiones "ended" que solo reciben actualizaciones son:

4.1.x actualiza a 4.1.25
4.2.x actualiza a 4.2.22
4.3.x actualiza a 4.3.18
4.4.x actualiza a 4.4.17
4.5.x actualiza a 4.5.16
4.6.x actualiza a 4.6.13
4.7.x actualiza a 4.7.12
4.8.x actualiza a 4.8.8
Las instalaciones de WordPress 2.5.x a 4.0.x no reciben ni actualizaciones ni parches de seguridad desde finales de 2014.

Si tu web está estancada en una de estas versiones necesitarás forzar la actualización para pasar a la versión estable con ciclo de actualizaciones activo.

Consulta la Lista de cambios en WordPress 4.9.9 para más detalles en el Make WordPress Core.

 Si WordPress no se actualiza automáticamente, previa copia de seguridad, puedes forzar el upgrade a la versión estable añadiendo el siguiente define en tu archivo wp-config.php.
	define( 'WP_AUTO_UPDATE_CORE', true );

Esto fuerza que se ejecuten las actualizaciones del núcleo de WordPress.

Una vez aplicado esto, sal del dashboard de WordPress de tu instalación, accede nuevamente, ve a Escritorio, Actualizaciones, Actualizaciones de WordPress, y haz clic en el botón Comprobar de nuevo y verifica si aparecen actualizaciones del núcleo.

Este tipo de actualizaciones se realizan de forma automática a menos que las tengas deshabilitadas en wp-config.php o mediante algún plugin de seguridad específico.

 

 Actualizar a WordPress 4.9.9


La actualización a la versión 4.9.9 es automática si tu instalación se encuentra en la versión 4.9.8 o inferior (4.9) por lo que no es necesaria tu intervención para proceder a realizarla.

Es MUY IMPORTANTE destacar que por defecto si tu WordPress ejecuta la versión 4.9.8, y utilizas el actualizador de "Escritorio", "Actualizaciones", pasarás directamente a la versión 5.0.2, con lo que ello implica.

Para poder pasar de WordPress 4.9.8 (o versiones anteriores 4.9.x) a la versión de WordPress 4.9.9 debes permitir que se apliquen automáticamente las actualizaciones menores.

Puedes hacerlo desde tu Panel de Hosting, utilizando el Administrador de Archivos o FileManager y editando el archivo wp-config.php de la instalación para añadir el siguiente define:

define( ‘WP_AUTO_UPDATE_CORE’, minor );

En la siguiente captura te haces una idea de a que altura del archivo citado puedes añadir dicho define.


Aviso de actualización disponible

Haz clic en la imagen para ir al enlace del plugin  

Si eres cliente de Webempresa y tienes activado en tu cPanel, Aplicaciones Webempresa, WPCenter las actualizaciones menores y mayores de forma automática, en "Opciones", pestaña Auto Update, tendrás que desactivar dicha opción para evitar que se apliquen de forma forzada los upgrades, lo que provocaría que tu web se actualice directamente a WordPress 5.0.2.

Ten en cuenta que la actualización a WordPress 4.9.9 es automática y desasistida si no tienes deshabilitadas las actualizaciones de seguridad mediante plugins o defines.

Al ser este un proceso automático en la mayoría de instalaciones, es importante tener una política propia de copias de seguridad automáticas para evitar sorpresas.

Si tras la actualización observas que se presentan problemas, incompatibilidades con plugins activos o tu Tema en uso, puedes recurrir a una copia de seguridad para volver a una fecha anterior donde tu web funcione con normalidad.

Lectura recomendada: https://www.webempresa.com/blog/copias-seguridad-superbackup-cpanel-dominalas.html
 

 Conclusiones


Esta versión de WordPress es de seguridad y aunque la apliques no debería romperse nada en el proceso de actualización, y en caso de que se produzca un error 500 mira primero en archivo de error (error_log) para ver si la causa es una funcionalidad de Mailchimp, tu tema o un plugin problemático.

Recientemente publicamos un artículo en el Blog de Metricool, y te invitamos a leerlo para que conozcas más sobre Gutenberg.

 

Lectura recomendada:
Editor Gutenberg para WordPress ¡la edición en bloques!


Nuestra recomendación es NO actualizar a WordPress 5.0 mínimo hasta finales de Enero y seguramente te recomendaremos esperar más hasta que otros usuarios, desarrolladores o expertos en WordPress hayan pasado por el proceso de actualización y documenten todos los problemas conocidos, etc.

Previamente explicaremos en este blog los pasos recomendados y como verificar los plugins habituales que aun no sean compatibles, etc.

  • Si estás en plena temporada alta NO actualices.
  • Si no eres experto en WordPress NO actualices.
  • Si no quieres pasarte unas horas de incertidumbre para acabar recuperando un backup NO actualices.
 

No hay ningún motivo por el que tengas que actualizar ahora a WordPress 5.0.x, puedes seguir trabajando con la versión actual sin ningún problema..Amamos lo que hacemosWordPress

     

¿Te ha resultado interesante este artículo?

Suscríbete para recibir consejos exclusivos para WordPress



Luis Méndez Alejo

Luis Méndez Alejo

Miembro del equipo técnico de Webempresa.
Coordinador de contenidos en el Blog y en Youtube.
Soporte técnico en CiberProtector.


Plugin Optimización de Imágenes Gratuito para WordPress