WordPress envía múltiples actualizaciones de seguridad incorrectas - Calendae | Informática, Electrónica, CMS, Ciberseguridad

WordPress envía múltiples actualizaciones de seguridad incorrectas

Hola de nuevo. En el teclado Eduardo Arroyo y en el día de hoy hablaremos sobre WordPress envía múltiples actualizaciones de seguridad incorrectas

WordPress envía múltiples actualizaciones de seguridad incorrectas

WordPress se mete con la solución crítica de seguridad 5.5.2 y salva la cara al día siguiente con la actualización 5.5.3.

El día después de que WordPress lanzó una actualización de seguridad crítica 5.5.2, que corrigió un error de ejecución de código remoto y nueve fallas adicionales, se vio obligado a lanzar una segunda actualización y luego una tercera actualización 5.5.3.

El problema está relacionado con la función de actualización automática de WordPress que comenzó a enviar accidentalmente a 455 millones de sitios web una actualización de WordPress (5.5.2) que causó fallas en las nuevas instalaciones de WordPress. Después de darse cuenta del error, detuvo la implementación e inadvertidamente activó una versión Alpha de WordPress para que la descargaran algunos clientes.

El problema se solucionó rápidamente el 30 de octubre, pero no antes de que los operadores del sitio de WordPress informaran sobre nuevas instalaciones fallidas de WordPress y otros se quejaran de páginas de inicio de sesión de administrador rotas. WordPress dijo que una actualización final 5.5.3 es ya disponible.

«WordPress 5.5.2 causó un problema al instalar los paquetes ZIP disponibles en WordPress.org para las nuevas versiones de 5.5.x, 5.4.x, 5.3.x, 5.2.xy 5.1.x. El problema solo afectó nuevas instalaciones de WordPress sin un archivo wp-config.php existente «, dijo la compañía.

Más tarde, las cosas se intensificaron.

«Mientras trabajaba en la preparación de WordPress 5.5.3, el equipo de lanzamiento intentó hacer que 5.5.2 no estuviera disponible para su descarga en WordPress.org para limitar la propagación del problema mencionado en la sección anterior, ya que el error solo afectaba a nuevos Esta acción resultó en la actualización de algunas instalaciones a una versión preliminar ‘5.5.3-alpha’ «, el El equipo de WordPress escribió.

La actualización alfa causó más preocupación que problemas técnicos a los administradores del sitio. La versión que no está lista para el horario de máxima audiencia instaló los antiguos temas predeterminados «Veinte» y el complemento «Akismet» como parte del paquete de prelanzamiento 5.5.2-alpha.

Los usuarios de WordPress expresaron consternación y confusión porque los diferentes sitios que administraban comenzaron a mostrar el mensaje «BETA TESTER: Este sitio está configurado para instalar automáticamente actualizaciones para futuras versiones beta» en su consola de administración.

«Estos temas y complementos no se han activado y, por lo tanto, no funcionan a menos que se hayan instalado previamente», WordPress explicado. Explicó que la instalación de WordPress se puede revertir a 5.5.2 visitando el panel de actualización (visitando Panel de control> Actualizaciones) y haciendo clic en el botón Reinstalar WordPress. «De esta manera obtendrá una copia nueva de WordPress, pero no afectará su contenido ni los archivos cargados».

Si bien la mayoría de los clientes de WordPress, en general, no han informado de ningún problema técnico, varios usuarios han observado anomalías inexplicables en la configuración de WordPress. “¿Podría haber cambiado algo en la configuración del servidor MySQL? Utilizo Moodle en el mismo sitio de WordPress y todos mis sitios de Moodle obtienen un error de escritura en la base de datos «, escribió un usuario.

Los parches fallidos resaltan las preocupaciones de los usuarios sobre la falta de control sobre la función de actualización automática de WordPress.

“Esta es otra lección sobre cuán poderoso es el mecanismo de actualización automática de WordPress. Cientos de millones de sitios actúan como zombis, haciendo lo que sea que la API de actualización automática les indique que hagan «, escribió Knut Sparhell en Foro de WordPress.

Otro administrador de WordPress identificado como desarrollador de pc señaló que, «Este es un problema de seguridad grave ya que un desarrollador deshonesto podría enviar código malicioso en una actualización que nadie más controla …»

Sparhell expresó su exasperación porque no había una manera fácil de activar y desactivar las actualizaciones automáticas de WordPress. «Esto es preocupante», dijo.

WordPress permite a los usuarios deshabilitar las actualizaciones automáticas para actualizaciones de seguridad y mantenimiento mayores o menores. Sin embargo, como Samuel Wood, un Colaborador del foro de WordPress, señaló, «Ahora parece un buen momento para documentar una forma adecuada y apropiada de ‘detener’ una liberación en curso».

«Esta es en realidad una característica del actualizador y el resultado de un intento erróneo de abortar las actualizaciones mientras se preparaba para la versión 5.5.3», escribió Wood. «Básicamente, el punto final de la API para el control de versiones le informará sobre la última noche … si cree que ya está ejecutando una versión nocturna. La prueba de varias formas, una de las cuales es comparando lo que sabe que está allí. la última versión publicada con la que su instalación informa sobre su versión «.

Otro desarrollador identificado como @paulstenning expresó su preocupación, diciendo, «He agregado esto a wp-config.php en todos nuestros sitios por ahora para evitar más problemas durante el fin de semana define (‘WP_AUTO_UPDATE_CORE’, falso)».

Mientras tanto, WordPress insta a sus usuarios a actualizar a la versión estable de WordPress 5.5.2.

“Esta versión de mantenimiento corrige un problema introducido en WordPress 5.5.2 que hace imposible instalar WordPress en un sitio web nuevo que no tiene una conexión de base de datos configurada. Esta versión no afecta a los sitios donde ya está configurada una conexión de base de datos, como a través de instaladores de un clic o un archivo wp-config.php existente. «

Agregó: «Si no está en 5.5.2, o tiene las actualizaciones automáticas para versiones menores deshabilitadas, actualice manualmente a la versión 5.5.3 descargando WordPress 5.5.3 o visitando Tablero → Actualizaciones y haga clic en» Actualizar ahora «.

.

No te olvides compartir en en tu Twitter y Facebook para que tus colegas lo consulten

??? ? ? ???

Comparte