Ya está disponible la versión de WordPress 4.0.1 para su descarga o actualización desde el panel de administración de WordPress. Esta versión solventa problemas críticos de seguridad respecto a la versión anterior de WordPress, por lo tanto recomendamos realizar la actualización a esta versión previa copia de seguridad.
WordPress 4.0.1 es una versión de seguridad crítica que ofrece una solución para una vulnerabilidad de cross-site scripting crítica, originalmente reportado por Jouko Pynnonen el 26 de septiembre
Sitios que ejecutan versiones de WordPress 3.9.2 y anteriores están afectadas por la vulnerabilidad cross-site scripting (XSS) que puede comprometer la seguridad de su sitio web y todo su contenido. A pesar que a partir de la versión 4.0 no está afectada por esta vulnerabilidad pero en esta versión 4.0.1 se solventan 23 bug y 8 problemas de seguridad.
De acuerdo a los oficiales las estadísticas de uso de la versión de WordPress , sólo el 14,5% de los sitios se está ejecutando actualmente 4.0. Esto significa que la gran mayoría de los sitios de WordPress tienen necesidad de esta actualización. Un gran número de estos sitios también se están ejecutando versiones que son anteriores a las actualizaciones automáticas que se introdujeron en WordPress 3.7.
Errores solventados en WordPress 4.0.1
- Tres cuestiones cross-site scripting que un usuario malintencionado podría utilizar para comprometer su sitio. Descubierto por Jon Cueva, Robert Chapin, y John Blackbourn del equipo de seguridad de WordPress.
- Una falsificación de petición en sitios cruzados que se podría utilizar para engañar a un usuario para que cambie su contraseña.
- Un problema que podía provocar una denegación de servicio cuando se comprueban las contraseñas. Reportado por Javier Nieto Arévalo y Andrés Rojas Guerrero.
- Protecciones adicionales contra ataques de falsificación para el lado del servidor de petición cuando WordPress hace peticiones HTTP. Reportado por Ben Bidner (vortfu).
- Una colisión de hash muy poco probable podría permitir a la cuenta de un usuario que se ve comprometida, que también requiere que no se han conectado desde el año 2008. Reportado por David Anderson.
- WordPress ahora invalida los enlaces en un correo electrónico de restablecimiento de contraseña si el usuario recuerda su contraseña, inicia sesión, y cambia su dirección de correo electrónico. Reportado por separado por Momen Bassel, tanoy Bose, y Bojan Slavković de ManageWP.
Si desean tener más información acerca de esta versión pueden ver las notas de seguridad.
Recomendamos a todos los usuarios a actualizar a esta última versión de seguridad de WordPress siempre realizando anteriormente una copia de seguridad de su WorPress