No se si os habréis enterado ya vía otros blogs porque la noticia ha saltado hace un par de días. El problema en cuestión es un fallo de seguridad en Wordpress 2.0 y 2.1. Esta vulnerabilidad permite conseguir mediante inyección de SQL el hash con la contraseña de tu usuario administrador. La principal solución pasa por actualizar a Wordpress 2.2, que ya está disponible, o a Wordpress 2.0.11, cuando salga. O en su defecto aplicar el siguiente parche.
WordPress 2.1, 2.0.x y bug de inyección SQL: soluciones: El fichero a editar es para WordPress 2.0.x el wp-includes/pluggable-functions.php, la línea 121 que corresponde a “return $userdata” (única coincidencia en el fichero), en WordPress 2.1.x es lo mismo pero el fichero se llama pluggable.php y después de esa línea se debe añadir una línea para que quede así (ver Changeset 5442):
if ( $userdata )
return $userdata;
$user_login = $wpdb->escape($user_login);
Casualmente hace dos días había actualizado mi blog a Wordpress 2.2, así que si alguno todavía no lo ha hecho os recomiendo que no tardeís. Aquí os dejo los pasos que seguí yo.
- Hacer una copia de seguridad de todos los archivos que había en el host. De esta manera provechaba a hacer un back-up que hace tiempo que no hacía. Teniendo acceso FTP al servidor esto es sencillo y así guardas todos los archivos en tu HD.
- Copia de seguridad de la base de datos del blog.
- Descargar la última versión de Wordpress, en este caso la 2.2.
- Desactivar todos los plugins.
- Para actualizar es necesario eliminar estos archivos. A mi me fue suficiente con no borrar la carpeta wp-content, wp-config.php y favicon.ico.
- A continuación subir al host todos los archivos de la nueva versión excepto la carpeta wp-content.
- Y para terminar acceder a http://misitio.com/wp-admin/upgrade.php, siendo http://misitio.com la página principal del blog.
Estos pasos son los requeridos siempre para actualizar, por eso os recomiendo que cualquier cosa que le añadáis a vuestro blog la coloquéis dentro de la carpeta wp-content ya que guardándola conservaremos cualquier modificación que hayamos hecho particularmente.
Por ahora ya he encontrado en Wordpress 2.2 un par de asuntillos. Primero, que traer por defecto los widgets activados y esto se lleva mal con el Sidebar Modules de K2. Yo personalemente prefiero el Sidebar Modules de K2, así que ya encontré un plugin que lo solucionaba, porque además sin él había un conflicto entre ambos sistemas y el blog no cargaba.
La otra novedad que más me ha llamado la atención es que han quitado el Frame en el que se veía la vista previa a la hora de editar un post. En la versión 2.2 se ve mediante una nueva ventana. La solución pasa por instalar el plugin Frame Preview, y listo de nuevo.
Ciao
Entradas RSS
Muy útil, znks.
Perfectamente válido también para actualizar a la 2.2.2, znks de nuevo.
Para la versión 2.3 me sirvió también, pero la 2.3.1 no necesita el paso de “Y para terminar acceder a http://misitio.com/wp-admin/upgrade.php, siendo http://misitio.com la página principal del blog.” o al menos yo sin ese paso he actualizado.