El 2007 se acaba y deja paso al 2008 con unas altas espectativas para todos. Seguro que va a ser un gran año, como este que esta noche termina.
Dejamos atrás un gran año:
Enero Febrero Marzo Abril Mayo Junio Julio Agosto Septiembre Octubre Noviembre Diciembre
A estas alturas imagino que las pocas personas que leen este blog y que usan WordPress para sus propios blogs, seguramente ya saben que salió una nueva versión de este CMS, hablamos de WordPress 2.3.2. Entre los problemas corregidos en esta versión están:
- Mejora de rendimiento que evita que la función
sanitize_postsea invocada siempre que se llame aget_post(#5325).- Cambios en la función
is_admin()para que realmente indique si el código se ejecuta en el panel de administración (/wp-admin/). (#5487).- No mostrar los mensajes de error al hacer consultas SQL a menos que
WP_DEBUGesté habilitado (#5473).- Verificar que los datos de conexión a la base de datos sean adecuadas y mostrar mensajes de error si la instalación falla debido a permisos insuficientes (#5495).
- Soporte para páginas de error personalizadas cuando la conexión a la base de datos falla. (#5500).
- Cambios para hacer que la generación de enlaces en los contenidos de la entrada y comentarios sea más selectiva. ([6450]).
- Cambios en
wp-mail.phppara evitar posibles ataques XSS (#5484).- Cambios para que no se muestren las entradas recientes a usuarios que no tienen permisos (#5535).
- Cambios para eliminar información sensitiva expuesta a través del método XMLRPC
wp.getAuthors(#5534).- Verificación de permisos en varios métodos XMLRPC ([6504]).
- Verificación de permisos en varios métodos del protocolo de publicación Atom ([6508]).
- Cambios en la función
validate_file()para evitar problemas de inclusión local de ficheros en windows ([6521]).
Erróneamente se me atribuye el descubrimiento de un bug relacionado a la función is_admin que permitía ver los borradores y entradas privadas. Mi participación en esta última versión tiene que ver más que todo con problemas relacionados a XMLRPC, wp-mail.php y otros que por el momento no puedo comentar, puesto que no tienen que ver mucho con la versión clásica de WordPress y además las correcciones a estos problemas probablemente recién se incluyan en la nueva versión. Aquí un extracto, ligeramente modificado para no dar ningún detalle, del intercambio de correos que tuve con uno de los desarrolladores:
By the way, we added some measures to address the problem you found. It’s on wordpress.com right now. It’s a fairly big change, and since its mainly an MU problem, we won’t address it in WP until either 2.3.3 or 2.4.
Sound good?
Finalmente, es posible que esta sea la última entrada que escriba este año antes de viajar a mi pueblo natal, pero no quiero irme sin antes agradecer a todos y cada uno de ustedes por cada visita, enlace o comentario que hayan hecho.
Les deseo un feliz y próspero 2008.
Ya está disponible para descarga una versión nueva de Wordpress 2.3.2, aunque no son las mejores fechas para que podamos ponernos a actualizar.
Leer más en Carrero.es
Desde hace unas horas está disponible para su descarga e instalación la versión 2.3.2 de WordPress. Esta release corrige un bug que permitía ver los drafts y otro por el que se veía la estructura de la base de datos cuanto se producía un error. Por otra parte, a partir de ahora se puede personalizar el mensaje de error de base de datos.
Desde hace unas horas está disponible para su descarga e instalación la versión 2.3.2 de WordPress.
El archivo con la release se puede descargar desde la página de download. Y, como es habitual en este tipo de actualizaciones, es conveniente realizar un backup de la base de datos y seguir, a continuación, los siguientes pasos:
1. Borrar el directorio “/wp-admin/”.
2. Borrar el directorio “/wp-includes/”. Si se utiliza alguna traducción entonces borrar todo su contenido excepto el subdirectorio “/wp-includes/languages/”.
3. Borrar todos los ficheros del directorio donde está instalado WP, excepto “wp-config.php” ni cualquier otro que se haya añadido tras la instalación: robots.txt, .htaccess, favicon.ico, etc.
4. Descargar y descomprimir la nueva release.
5. Subir al servidor los nuevos directorios “/wp-admin/” y “/wp-includes/”.
6. Subir los ficheros del directorio raíz, menos “wp-config-sample.php”.
7. Entrar al panel de administración y comprobar que la release es la 2.3.2..
8. Por seguridad borrar los ficheros “/wp-admin/upgrade.php” y “/wp-admin/install.php”.
(En este mantenimiento no es necesario desactivar los plugins)
Ya lo comento ayer Michel, cualquiera puede ver tus borradores de Wordpress, y es por eso que nuestro amigo Alex no ha tardado ni un día en solventar este bug y alguno más, a la vez que ha incluido alguna mejora en Wordpress.
Según se puede leer en el dashboard de nuestro Wordpress esta actualización es muy importante, así que como es Domingo, no tenéis escusa para no dedicarle 5 minutos a vuestro blog y actualizar Wordpress a la versión 2.3.2.
Descargar | Wordpress 2.3.2
Vía | DadoBlog
Y sino mira esto:
A un mes del lanzamiento de la próxima actualización mayor, WordPress ha lanzado con carácter urgente la versión 2.3.2 que corrige un error que ya se comentaba en la blogosfera y que permitía a cualquier persona acceder a los borradores de los posts a través de una dirección del tipo ‘http://dominiocualquiera.com/?x=wp-admin/&paged=xxx’.
La nueva versión corrige, además, otra vulnerabilidad gracias a la cual se mostraba la ruta de acceso y estructura de la base de datos cuando ésta provocaba un error.
En el apartado de mejoras, la nueva actualización permite personalizar el mensaje de error de base de datos.
Lista total de errores corregidos | Cambios entre las versiones 2.3.1 y 2.3.2
Pues una más, la lista de cambios prácticamente es la misma que en la beta pero pese a ello se aconseja encarecidamente la actualización entre otras cosas por el bug que permite ver los borradores sin los permisos pertinentes…
Por último y como siempre no hace falta reinstalar todo de nuevo si tenemos la versión anterior (2.3.1), sólo hace falta cambiar unos pocos ficheros.
desarrollo web, seguridad, wordpress
La gente de Wordpress, nos recomienda que nos actualizemos a la versión 2.3.2 urgentemente para evitarnos problemas de seguridad, descubiertos por Alex Concha, en los que la privacidad de nuestros borradores se veía comprometida. Al parecer, la versión actual es sensible a que personas sin loguear puedan ver estos posts desde nuestro blog.
El problema radicaba en una comprobación de usuario en el fichero wp-includes/query.php, en el que daba por supuesto que eras administrador si encontraba wp-admin/ en la URL del navegador, siendo sensible a situaciones como estas:
InKiLiNo?x=wp-admin/&ged=1Como extra en esta nueva versión, se ha añadido la posibilidad de que puedas personalizar el error de conexión a base de datos fácilmente.
En los casos en los que Wordpress tiene problemas de conexión con la base de datos, podemos evitar la página fea de “DATABASE ERROR” haciendo uso del nuevo sistema de Wordpress mediante una página externa.
Únicamente, tendremos que crear una página llamada db-error.php y alojarla dentro del directorio wp-content/. Veamoslo por pasos 
db-error.phpwp-content/ de nuestro Wordpress Puesto que el usuario no tiene culpa de que está ocurriendo un error, me parece interesante hacerle invisible este problema usando la caché generada por algún plugin de los que conocemos para aliviar la carga de nuestros servidores. Uso 1BlogCacher y solo lo he probado con este plugin, aunque indagando un poco encontraremos el patrón para encontrar nuestro fichero.
Se trata de emular el index de nuestro blog y avisarnos por correo de que existe algún problema. Este script se me ha ocurrido ahora mismo y seguro que te acordarás de mi si lo usas y recibes 500 mails diciendo que está la base de datos caida, habrá que perfeccionarlo.
//wp-content/db-error.php
<?php
if (eregi("dberror.php", $_SERVER["REQUEST_URI"])) die("No accedas directamente");
mail("TU_EMAIL", "Error de Base de datos", "Tienes que revisarlo");
if (!defined("ABSPATH")) define('ABSPATH', '../');
die(file_get_contents(ABSPATH."wp-cache/index.php/d41d8cd98f00b204e9800998ecf8427e.html"));
?>Un par de apuntes:
Donde pone TU_EMAIL, debes indicar el mail al que quieres que le llegue el aviso. Debes tener disponible la función file_get_contents(), en caso de no tenerla, puedes usar curl() u otras alternativas. El hash (d41d8cd98f00b204e9800998ecf8427e), lo usa 1BlogCacher, para el index, por lo tanto no debería dar error en ningún blog, pero por si acaso, comprueba que existan los ficheros en la ruta indicada arriba.
Seguimos los mismos pasos que en versiones anteriores.
Una de las pocas cosas de las que me he quejado siempre en WordPress por ser un fallo “ignorado” es que cuando insertamos un título en WordPress se filtran una serie de caracteres en el “Nombre para URI” generado.
Así el título “Hoygan son unos ñoños” cambiará a hoygan-son-unos-nonos. Esto es debido a que los caracteres que no pertenecen a un conjunto básico del ASCII son mostrados en la URL de forma poco estética. Por ejemplo los espacios son modificados cambiados normalmente por “%20″.
El problema en WordPress es que algunos de esos caracteres son filtrados correctamente (ñ pasa a ser n, las vocales acentuadas pasan a su homologo sin acentuar, el “?” es eliminado) mientras otros como la apertura de exclamación o pregunta (¿ y ¡) no, pasando a su equivalente que es algo parecido a %CF%39.
Lo mejor viene cuando las URLs generadas con ¿, ¡ y similares son mal parseadas y si bien son visualizadas correctamente en la web cuando haces un “trackback” no es procesado correctamente.
Para estos problemas, Alex de Buayacorp ha hecho y corregido recientemente Permalink Fix un plugin “descargar y activar” que corrige este molesto fallo.