WordPress 2.0.2: actualiza y ‘blinda’ tu bitácora

Como estoy recibiendo numerosos correos acerca de cómo actualizar de WordPress 2.0.1 a 2.0.2 y de cómo aplicar el parche de seguridad de Neo Security Team a esta nueva versión (el parche impide el acceso al listado de directorios de tu bitácora), me he decidido a escribir este post con la única intención de echar una mano a quien lo necesite.

En teoría, con estos dos procesos, tendrás completamente actualizada y ‘blindada’ tu bitácora en WordPress. Hasta que se publique un nuevo bug, claro.

1.- Actualización de WP 2.0.1 a 2.0.2

Muchos usuarios me preguntan si es necesario seguir los pasos de una actualización estándar. No. Esta nueva actualización no afecta a las bases de datos, por lo que no será necesario ejecutar el archivo /wp-admin/upgrade.php.

Ésta es la fórmula que aconsejan en el Codex de WP:

a) Borra la carpeta /wp-admin/ (y todo su contenido).

b) Borra la carpeta /wp-includes/ (y todo su contenido, a excepción del directorio /wp-includes/languages/ si lo usas).

c) Borra todos los archivos del director raíz, a excepción de wp-config.php.

d) Descarga y descomprime la nueva versión (.zip o .tar.gz).

e) Sube a tu servidor las carpetas /wp-admin/ y /wp-includes/.

f) Sube los archivos del directorio raíz, a exepción de wp-config-sample.php. Tampoco necesitas license.txt ni readme.html.

Y listo.

Recomendación: Por razones de seguridad, borra los archivos /wp-admin/install.php y /wp-admin/upgrade.php.

2.- Aplicación del parche de seguridad de Daboblog-Neo Security Team a la nueva versión 2.0.2

Sobre este parche, también ha habido confusión y acaloradas discusiones. WordPress no reconoce que el bug Full Path Disclosure sea un problema suyo (del programa), por lo que su corrección corre a cargo de los usuarios bajo su responsabilidad. Neo Security Team ha sugerido un código, del que ya hablamos en su momento y que ha causado varios trastornos por distintos problemas a la hora de aplicarlo.

Daboblog ha lanzado un paquete de archivos que parchea eficazmente las versiones 2.0, 2.0.1 y 2.0.2, aplicando el código de Neo Security Team.

Una vez que actualicé Mangas Verdes a la versión 2.0.2, decidí reestructurar el paquete de Daboblog, fundamentalmente por comodidad, ya que aún me quedaba por actualizar unas cuantas bitácoras más. Lo que he hecho ha sido organizar los archivos en carpetas para una más fácil instalación (algo así como un adaptación para torpes como yo), añadir una ayuda de instalación y adaptar los mensajes a mi gusto.

Por tanto, lo único que debes hacer una vez hayas actualizado a la nueva versión es descargarte el patch de Daboblog y sustituir los archivos viejos (es un decir, los acabas de instalar en la actualización) por los incluidos en el paquete. Si lo prefieres, puedes utilizar el mío, aunque no te olvides que es sólo una reorganización del paquete original y que la autoría es de Dabo, que es quien se ha pegado el trabajo.

Notarás la diferencia si accedes a alguno de los archivos afectados desde tu navegador, por ejemplo http://www.tublog.com/wp-settings.php, antes y después de aplicar el parche.

Disclaimer: El uso de este patch es responsabilidad única del usuario. Aquí sólo damos constancia de su efectividad en Mangas Verdes y compartimos nuestra experiencia con quien la pueda necesitar, así que no seremos responsables de ningún desaguisado, ni estaremos obligados a actualizar la información o rendir cuentas ante terceros.

Autor: mmeida

Soy periodista y escritor, creativo y social media. Mangas Verdes fue mi primer blog. Con él viví en primera persona la 'revolución de los blogs', obtuve seis premios internacionales y, lo más importante, me lo pasé en grande. Ahora transito por mmeida.com. (+ info).

22 comentarios en “WordPress 2.0.2: actualiza y ‘blinda’ tu bitácora”

  1. Básicamente, al dirigirte en tu navegador a uno de los archivos afectados, te da un mensaje de error que desvela la ruta interna de tu bitácora en el servidor, es decir el path de tu instalación. Eso puede ser aprovechado por alguien con malas intenciones.

    Un saludo.

    Me gusta

  2. Hola, en primer lugar darte las gracias por el trabajo que has hecho organizándo los archivos, mañana que mira que hora es lo referenciaré en mi Blog. Comentar que sobre lo del “full path disclosure” y lo de si es un Bug de WordPress o no para mi no es lo importante, lo que cuenta es que si el servidor no está configurado para no mostrar los errores de PHP mostrará la ruta del blog y de paso de todas las webs que estén allí alojadas.

    Esto de por si no sería muy grave salvo que muchos ataques a aplicaciones dinámicas o exploits, basan parte de su éxito en ejecutarse o lanzarse sobre la ruta correcta.

    Creo que a la gente de WordPress no le costaría nada haber añadido las dos líneas de código que lleva el sugerido por Neo Security Team. Para ellos realmente es poco y lo que aportaría es mucho.

    En una máquina en producción (un servidor que esté debidamente configurado), normalmente en la configuración del PHP se suele habilitar el valor;

    “display_errors” off, eso es hace que cuando una aplicación o archivo PHP de un error de ejecución o que alguna línea falle no revele el error y de paso la ruta o el “path” (que nos pasamos con los anglicismos -:)

    El problema está en que la gente que tenga un hosting o plan de alojamiento “normal” sin acceso a la configuración del Apache o del PHP, tiene que fiarse de la configuración que el admin de la máquina haya hecho o parcher por su cuenta.

    Además del Bug XSS, comentado de sobra y no tan Bug al necesitar permisos de admin, se han solventado más fallos pero este tema se ha llevado con cautela.

    Así que nada, gran trabajo, mucho más ordenado que yo y con las carpetas ya organizadas -:)

    Como digo Manuel, mañana haré una reseña y explicando esto del PHP también, saludos a todos;

    Dabo

    Me gusta

  3. Y yo sigo preguntándome el por qué de vuestra “manía” con seguir utilizando WordPress. En el caso de Manuel lo entiendo (da pereza tener que migrar tanto), pero Daboblog hace poco que está en red, así que…

    No paran de salir errores de seguridad en WP, lo que da que pensar. Como no he revisado su código, no puedo opinar con certeza sobre las causas:

    a) Impericia y poco aprecio por la seguridad
    b) Al ser el CMS más exitoso también es el que más es escrutado

    Lo que sí está claro, que una bitácora un tanto exitosa y que trate temas controvertidos debe estar siempre muy vigilante si utiliza WP, digo.

    ¿No es mejor utilizar un CMS mejor y menos conocido?

    @ Manuel

    Si tanto te gustó b2evolution, por qué te empeñas en WP, salvo por la posible vagancia (comprensible en tu caso), digo. O Textpattern o…

    Me gusta

  4. Maty, la vagancia tiene su peso en esto, pero otras cosas más: versatilidad, sencillez, costumbre, plugins… y riesgo, mucho riesgo. Donde esté un buen WordPress, que se quite el puenting 😉

    Un saludo.

    Me gusta

  5. Hombre pero si es mi Maty :D, amigo, a mi ya me conoces, me va la marcha -:), ahora más en serio, la verdad es que no me había metido a fondo en wp y como que voy viéndolo sobre la marcha, sabes que migramos en Daboweb de phpBB (y todo lo que he escrito) a SMF con todo el tema muy bien posicionado. Con WordPress pues no se, yo más o menos sabía como estaba el tema y entiendo que todo software libre se “enriquece” día a día así como también hay que parchearlo día a día. Recuerda que migramos también en Daboweb y Caborian de Mambo a Joomla pero no te creas, estamos update tras update pero lo entiendo aunque me de guerra.
    Yo iré observando como va todo y decidiré pero lleva tiempo si. Un abrazote -:)

    Me gusta

  6. Mejor que WordPress?

    Ja, que chiste. No es por alabar sin justificacion a WP, como hacen muchos otros, pero la simplicidad y estetica general de WP no la pasa ningun otro script.

    Y eso de que “por ser el mas exitoso…”. Bueno, si asi fuese nadie deberia usar Windows, WordPress o Counter-Strike 😛

    ¿Desde cuando la “popularidad” es algo malo?

    Me gusta

  7. Podria alguien,por favor, decirme porque mi bitacora hecha con wordpress y actualizada hace segundos, solo se ve un trozo y no la veo entera?. Gracias.
    saludos
    bernardino

    Me gusta

Los comentarios están cerrados.