Planeta WordPress

¿Quieres cambiar el tema de tu blog, pero no sabes donde buscar uno? Un sitio interesante es WordPress Theme Viewer….

Gracias a un aviso de Felipe Lavín (yukei.net), me entero que ya esta disponible una nueva versión de WP, la…

Por fin el equipo de WordPress ha lanzado una nueva versión para arreglar el grave problema de seguridad que Mariano anunció esta semana.

Además de incluir arreglos para un número de bugs, la nueva versión agrega algunas mejoras que podrán ser aprovechadas por los autores de plugins.

Una mejora notable se aprecia ahora al escribir un post: si antes al publicar WordPress se demoraba un montón por tener que esperar el envío de pings y trackbacks, ahora deja todo eso para el final, acortando en gran medida el tiempo de espera.

Hoy instalé el WordPress 1.6 alpha 2 en un servidor de prueba y les voy a compartir mi experiencia. Superficialmente es muy parecido al 1.5, los cambios más notables están en el área de escritura donde han implementado un editor WYSIWYG, vamos a verlo.

Instalación

El proceso de instalación es idéntico a la versión 1.5. Únicamente te pide nombre de la base de datos, usuario y password. Después te crea un usuario admin con un password aleatorio.

Dashboard

El “Dashboard” es similar al de WordPress 1.5, mantiene la misma estructura y sigue siendo azul pero más saturado. Los enlaces en la barra de navegación son los mismos — Dashboard, Write, Manage, Links, Presentation, Plugins, Users y Options.

Write

En la sección de “Write” es donde encontré el cambio más notable. Los desarrolladores de WordPress decidieron incluir un editor WYSIWYG (lo que ves es lo que obtienes), luego les cuento más sobre el editor.

A la derecha del editor tenemos las propiedades del post, que como ven se pueden colapsar y acomodar a nuestro gusto. Dentro de la caja de categorías ahora podemos agregar una categoría sin tener que ir a gestionar las categorías, solo escribimos el nombre de la categoría, hacemos click en el botón y la agrega sin necesidad de recargar la página, al puro estilo AJAX.

El editor WYSIWYG está basado en el TinyMCE, vayan a la página de muestras para que vean lo que se puede hacer con este editor. Intenten cambiar el tamaño de la imagen dentro del post, ¿no es eso increíble?

El editor WYSIWYG puede ser deshabilitado en la página de opciones.

Temas

Otra novedad es que en la página de temas podemos ver en una imagen un previo del tema. Las imágenes de los temas deben ser proporcionadas por el diseñador.

Descubrí que WP 1.6 no es compatible con WP 1.5, hicieron algunos cambios en la estructura de la base de datos, muy pocos pero suficientes para impedir actualizar a 1.6 solo reescribiendo los archivos. Seguramente cuando lancen la versión final de WP 1.6 vendrá acompañado de un script para actualizar nuestro WordPress.

OJO No recomiendan utilizar 1.6 alpha2 por considerarlo inestable.

Para los que quieran un editor WYSIWYG en su WP 1.5 pueden instalar un plugin muy similar a lo que vendrá en WP 1.6.

Matt acaba de dar el anuncio de que la nueva versión de WordPress 1.5.2 ya está disponible para descarga. Le han reparado la falla que se descubrió hace poco y muchas más.

Para actualizar solo tienes que enviar los nuevos archivos y sobrescribir los viejos.

Como ya habrán leído en varios weblogs, actualmente existe una gravisima vulnerabilidad en WordPress y por la cual tienen que estar muy al pendiente: ALT1040 tiene un excelente reporte.

Yo lo que quiero recomendar es un excelente plugin para WordPress muy útil para estos casos.

wp-db-backup es un plugin para WordPress que hace copias de seguridad de las tablas de WordPress en una base de datos. Además de crear un respaldo de tus tablas de WP, también te permite hacerlo con otras tablas que no sean de WordPress. Tan fácil como subir los archivos a la carpeta de plugins, activar el plugin y crear un Backup.

El plugin ofrece la opción de comprimir el respaldo en formato G-zip y mandar el respaldo a tu correo. Es altamente recomendable que desde yá, hagas un backup de tu base de datos. Descarga wp-db-backup.

Ayer Miércoles Secunia emitió un aviso en el cuál informan de una vulnerabilidad calificada como “altamente critica”, que afecta a…

Wordpress 1.x presenta una seria vulnerabilidad que permite la inyección de código PHP arbitrario. El fallo radica en el incorrecto manejo de las entradas realizadas por cookies mediante el parámetro cachelastpostdate, siempre que registerglobals esté activado.

Solución:
Por el momento lo que se da como solución en el foro de Wordpress, es de apagar el registerglobals. Para [...]

De acuerdo a reportes de Mariano Amartino, WordPress la plataforma de elección de miles de webloggers tiene un grave problema de seguridad. Se recomienda hacer respaldo de todo el blog, una copia del resto de archivos ya que este problema sólo se puede solucionar actualizando a una versión no estable de WordPress, lo cual muchos no queremos hacer.

Considerando que el software es de código abierto, esperamos que un parche sea lanzado a más tardar mañana. Estaremos pendientes.

Actualización 3 (10h33): Rodrigo de 16-bits nos explica que reemplazando una línea del archivo functions.php en el directorio /wp-includes/ soluciona por el momento el problema. Esto parece ser consistente con la 1era actualización que hicimos a este post.

Actualización 2 (10h26): El problema de fondo son los servidores que tienen la opción “register_globals” en on, lo cual representa una gran amenaza de seguridad. La manera más sencilla de saber si la opción está activada o no [atención: lo que sigue es muy técnico] es crear un archivo llamado info.php y en este escribir únicamente: <? phpinfo() ?> y subirla vía FTP. Luego accesa al archivo info.php por medio del navegador y buscar la línea “register_globals”. Si esta dice on debes de hacer dos cosas:

• Avisarle a tu proveedor de hosting y pedirles que desactiven esta opción en su php.ini.
• Desactivar por tu propia cuenta el “register globals” al menos en tu cuenta de hosting. Para hacerlo debes de abrir el archivo .htaccess y escribir en el la siguiente línea: php_flag register_globals off

Actualización (1h30): Al parecer (y digo al parecer porque no es “oficial”) bajar este archivo y reemplazar functions.php en el directorio /wp-includes/ soluciona el problema. Hazlo bajo tu propio riesgo y aquí no nos responsabilizamos si algo sale mal.

Por cierto: es penosa la actitud con la que a veces me encuentro en los foros de WordPress, y es reprobable que habiendo un problema tan fuerte, cuando un usuario intentó advertir y proponer una solución le hayan cerrado el thread con un comentario tan pesado.

Mariano recien posteaba que anda dando vueltas una muy grave vulnerabilidad en WP y aconsejaba a todos los bloggers a hacer backup.

Efectivamente, es así, según Secunia:

Input passed to the “cache_lastpostdate” parameter via cookies is not properly sanitised before being used. This can be exploited to inject arbitrary PHP script code.

En español indio: “Las entradas pasadas al parametro “cache_lastpostdate” mediante cookies, no son seguras. Esto permite inyectar cualquier codigo PHP”. Esta vulnerabilidad fue descubierta ayer 10 de Agosto y afectaría a las versiones 1.5.1.3 de Wordpress, pero no se descarta que también a versiones anteriores.

Para que esta vulnerabilidad sea explotada, la directiva de PHP register_globals tiene que estar activada (o sea, tiene que estar en on). Cómo saber si tu servidor tiene esa directiva activada? Ejecutando la función php_info(). Copiá y pegá el siguiente código en un archivo con extensión .php y subilo a tu servidor, ejecutalo y luego buscá la directiva register_globals, si tiene el valor on, es probable que seas susceptible a este tipo de ataque:

< ?
phpinfo();
?>

Así que hagan backup de su Wordpress ahora, o bajen una nightly build, que al parecer en una de esas versiones ya estaría arreglado el problema.

Actualización: Al parecer reemplazando una linea en el archivo /wp-includes/functions.php, el problema estaría solucionado. Buscá la línea:

$lastpostdate = $cache_lastpostdate[$timezone];

Y reemplazala por:

$lastpostdate = preg_replace('/[^0-9 :\-]/','',$cache_lastpostdate[$timezone]);

Todo esto es no-oficial, así que estás advertido

Actualización (y vamos): Había un error en las comillas de línea anterior. ¡Gracias Fede por el chiflido!