Como estoy recibiendo numerosos correos acerca de cómo actualizar de WordPress 2.0.1 a 2.0.2 y de cómo aplicar el parche de seguridad de Neo Security Team a esta nueva versión (el parche impide el acceso al listado de directorios de tu bitácora), me he decidido a escribir este post con la única intención de echar una mano a quien lo necesite.

En teoría, con estos dos procesos, tendrás completamente actualizada y ‘blindada’ tu bitácora en WordPress. Hasta que se publique un nuevo bug, claro.

1.- Actualización de WP 2.0.1 a 2.0.2

Muchos usuarios me preguntan si es necesario seguir los pasos de una actualización estándar. No. Esta nueva actualización no afecta a las bases de datos, por lo que no será necesario ejecutar el archivo /wp-admin/upgrade.php.

Ésta es la fórmula que aconsejan en el Codex de WP:

a) Borra la carpeta /wp-admin/ (y todo su contenido).

b) Borra la carpeta /wp-includes/ (y todo su contenido, a excepción del directorio /wp-includes/languages/ si lo usas).

c) Borra todos los archivos del director raíz, a excepción de wp-config.php.

d) Descarga y descomprime la nueva versión (.zip o .tar.gz).

e) Sube a tu servidor las carpetas /wp-admin/ y /wp-includes/.

f) Sube los archivos del directorio raíz, a exepción de wp-config-sample.php. Tampoco necesitas license.txt ni readme.html.

Y listo.

Recomendación: Por razones de seguridad, borra los archivos /wp-admin/install.php y /wp-admin/upgrade.php.

2.- Aplicación del parche de seguridad de Daboblog-Neo Security Team a la nueva versión 2.0.2

Sobre este parche, también ha habido confusión y acaloradas discusiones. WordPress no reconoce que el bug Full Path Disclosure sea un problema suyo (del programa), por lo que su corrección corre a cargo de los usuarios bajo su responsabilidad. Neo Security Team ha sugerido un código, del que ya hablamos en su momento y que ha causado varios trastornos por distintos problemas a la hora de aplicarlo.

Daboblog ha lanzado un paquete de archivos que parchea eficazmente las versiones 2.0, 2.0.1 y 2.0.2, aplicando el código de Neo Security Team.

Una vez que actualicé Mangas Verdes a la versión 2.0.2, decidí reestructurar el paquete de Daboblog, fundamentalmente por comodidad, ya que aún me quedaba por actualizar unas cuantas bitácoras más. Lo que he hecho ha sido organizar los archivos en carpetas para una más fácil instalación (algo así como un adaptación para torpes como yo), añadir una ayuda de instalación y adaptar los mensajes a mi gusto.

Por tanto, lo único que debes hacer una vez hayas actualizado a la nueva versión es descargarte el patch de Daboblog y sustituir los archivos viejos (es un decir, los acabas de instalar en la actualización) por los incluidos en el paquete. Si lo prefieres, puedes utilizar el mío, aunque no te olvides que es sólo una reorganización del paquete original y que la autoría es de Dabo, que es quien se ha pegado el trabajo.

Notarás la diferencia si accedes a alguno de los archivos afectados desde tu navegador, por ejemplo www.tublog.com/wp-settings.php, antes y después de aplicar el parche.

Disclaimer: El uso de este patch es responsabilidad única del usuario. Aquí sólo damos constancia de su efectividad en Mangas Verdes y compartimos nuestra experiencia con quien la pueda necesitar, así que no seremos responsables de ningún desaguisado, ni estaremos obligados a actualizar la información o rendir cuentas ante terceros.

Share