Habíamos publicado un artículo hace poco tiempo dando los detalles de porqué se pasó tan rápido a la versión 4.7.3 de WordPress…pero es que realmente no han pasado ni 3 meses y ya apareció la versión 4.7.4 y ahora mismo acaba de aparecer la nueva versión 4.7.5…y volvemos a la pregunta de siempre:
¿Debo actualizar WordPress?
Nuestro consejo, desde luego, es que sí lo actualices. Ya sabemos que es una tarea poco agradecida y que haciéndola correctamente (hacer backup completo de la web, probar en local que los plugins siguen funcionando…) es aburrida, pero debes hacerlo si no quieres tener la web más expuesta a ataques de piratería y ciberdelincuencia.
Es actualidad en todos los medios informativos el ciberataque masivo mediante la versión mejorada del virus ransomware Wannacry, y aunque este virus no tiene nada que ver con las vulnerabilidades de WordPress, sino con los fallos de seguridad de Windows 7 y Windows XP, a Google no le hace nada de gracia que la plataforma WordPress para la creación de páginas web pueda ser vulnerable a otro tipo de ataques como los sufridos anteriormente (defacement masivo en la versión 4.7.2) que le restan credibilidad. Cabe recordar que el 28% de los aproximadamente diez millones de sitios web del mundo utilizan WordPress.
Novedades de WordPress 4.7.5
Las novedades al actualizar wordpress 4.7.5 respecto a las versiones anteriores son referentes a seguridad:
- se ha corregido la validación de redirección insuficiente en la clase HTTP;
- corrección del manejo inadecuado de los valores post-meta-datos en la API XML-RPC;
- corrección de la falta de comprobaciones de capacidad para los post-metadatos en la API XML-RPC;
- corregida la vulnerabilidad detectada de Cross FSF en el diálogo de credenciales del sistema de archivos;
- corregida la vulnerabilidad de XSS hallada al intentar cargar archivos muy grandes;
- enmendada la vulnerabilidad de XSS relacionada con el Customizer
Como tantas otras veces, los reportes de los usuarios de WordPress ha sido fundamental para detectar y subsanar las debilidades de la versión 4.7.4. Precisamente WordPress ha suscrito un acuerdo con HackerOne, una plataforma encargada de investigar y reportar las vulnerabilidades que puedan existir, y mediante la cual se premia con recompensas económicas a aquellos que revelen problemas y ayuden a solventarlos.
