Fallo de seguridad en WordPress permite bloquear el acceso al administrador

Se ha detectado un problema de seguridad en WordPress que permite a un atacante bloquear el acceso al administrador a través de una simple llamada a un parámetro. Afecta a WordPress con versiones menor o igual a 2.8.3. La rama 2.7.x no se ve afectada.

WordPress es un sistema de gestión de blogs, que opera en lenguaje PHP y con soporte de base de datos MySQL, y ofrecido a la comunidad bajo licencia GPL. WordPress es uno de los gestores de blogs más extendido en la blogosfera.

El fallo permite en la práctica bloquear el acceso a un administrador de Wordpres, debido a una falta de comprobación en el código y aprovechando la funcionalidad de confirmación de cambio de contraseña. En estos momentos, http://wordpress.org/ permite ya la descarga de la versión

2.8.4 que no es vulnerable. La versión 2.8.3 apareció hace apenas una semana precisamente para corregir varios fallos de seguridad.

El parche aplicado añade una simple comprobación. En wp-login.php:

if ( empty( $key ) )

pasa a:

if ( empty( $key ) || is_array( $key ) )

El problema era que si el atacante realizaba el ataque, se podría eludir la comprobación de cambio de contraseña que se envía por email cuando se solicita. Así, se podría enviar una contraseña nueva al correo de la primera cuenta de la base de datos (que suele ser la de administrador) sin necesidad de que el propio administrador confirmara el cambio. Por tanto, se bloquearía temporalmente el acceso al administrador hasta que comprobase la nueva contraseña en su correo. Si el ataque se repite en bucle, el bloqueo podría ser más o menos permanente.

Fuente:Noticias Hispasec

Read More

bbPress 1.0 ha visto la luz

bbPress

Casi tres años después del lanzamiento de su primera versión bbPress 1.0 ve la luz de forma oficial. Aunque las versiones distribuidas hasta ahora eran más que funcionales, se le ha dado un toque final añadiéndole más características a este software de gestión de foros.

La idea ha sido la de acercar su usabilidad y su interfaz a la de WordPress. No en vano, los creadores de ambas aplicaciones son los mismos. Además, se ha integrado el sistema de autenticación, de forma que sea el mismo que en el software de blogs y los usuarios solo tengan que identificarse una vez.

Read More

Tema de Facebook para WordPress

La mayoría de las interfaces se pueden cambiar utilizando temas especiales para cambiarle la imagen standard. Para WordPress también existen temas que se pueden instalar para cambiarle la interface standard. En este caso, el sitio web foxinni presenta un tema especial para WordPress parecido a la interface de Facebook. El tema funciona y se ve muy bien. La versión de este tema es 1.0 y 1.1 y es compatible con la versión de WordPress 2.2, y aunque no está suficientemente probado puede ser utilizado con versiones más antiguas.

facebook-layouts-wordpress-theme-preview-big

Hay dos tipos de temas Facebook para WordPress que se pueden descargar. El primero es Tema Facebook con todos los widgets; y el segundo es Tema Facebook WordPress.

Fuente:Mil Recursos

Read More

WordPress.com ya permite subir videos en HD como funcionalidad extra


Hace unos meses, Automattic anunció la creación de WordPress.tv, un nuevo sitio en el que se reúnen todo tipo de videos y material multimedia directamente relacionados con la plataforma de desarrollo de blogs WordPress. La apuesta por los videos no se queda ahí, ya que esta misma semana se ha anunciado Videopress, un nuevo complemento disponible para los blogs creados en WordPress.com.

Tras activar Videopress, los bloguers van a poder subir sus videos al blog sin restricción de número ni de tamaño de los archivos, permitiendo incluso la reproducción en alta calidad (HD). Al añadir esta nueva característica, se podrá colocar un botón en la web para permitir la suscripción como a cualquier otro video podcast, utilizando cualquier gestor de feeds que lo permita, como iTunes, Miro, etc.

Read More

WordPress.tv: videos y recursos visuales sobre WordPress

Este sábado nos hemos levantado con una muy buena noticia para todos los amantes de la plataforma de blogs WordPress: ha sido publicado WordPress.tv, un lugar donde encontrar un montón de recursos y material visual sobre temas relacionados con WordPress. No sólo es un sitio con videotutoriales sobre el propio software y sobre WordPress.com, sino que intenta ser un portal con cualquier cosa visual sobre la plataforma, ya sean guías en video, pases de diapositivas, reportajes sobre conferencias, grabaciones de encuentros…

Automattic, la empresa detrás del desarrollo del sitio, ha trabajado mucho en el aspecto visual de la página consiguiendo un diseño bien integrado con el resto de sitios oficiales y con la interfaz de administración de WordPress. Desde la portada puede echarse un vistazo a varios videos destacados y a una lista con los videos más populares o los últimos que se han agregado. También se está haciendo un importante esfuerzo para cubrir desde WordPress.tv las conferencias WordCamp, publicando grabaciones y reportajes sobre todo lo acontecido allí.

Por ahora todos los videos están en inglés y tratan aspectos muy básicos de WordPress, pero evidentemente poco a poco se irá incoporporando más documentación de cualquier tipo y nivel.

Fuente:Gen Beta

Read More

JS-Kit permite imágenes en los comentarios

jskit-picture

Ya lo decía mi compañero Cyberfrancis. Tras la compra de Intense Debate por parte de Automattic, servicios como Disqus o JS-Kit deben trabajar muy duro para que la competencia no les quite mercado.

Precisamente es JS-Kit la que anuncia ahora novedades en su servicio de comentarios, el cual se integra con diversas plataformas de blogging como WordPress o Movable Type. Entre las novedades, la más interesante es el permitir a los usuarios añadir imágenes a los comentarios que hagan.

Estas imágenes se mostrarán a tamaño reducido, pero pueden ser ampliadas pulsando sobre ellas. Esto abre muchas más posibilidades a los comentarios. Creo que queda bastante claro cual será el próximo paso, la posibilidad de añadir vídeos, no ya incrustados desde otros sitios como YouTube, algo que ya permite, sino también grabándolos directamente.

A esto se añade el que desde hace poco permiten usar Facebook Connect para identificarse como comentarista y que en esta nueva versión han añadido soporte para OpenID 2.0, un sistema de identificación que, si no vigila, podría verse relegado por Facebook Connect y Google Friend Connect.

Fuente:GenBeta

Read More

Publicado WordPress 2.7 “Coltrane”

Luego de una muy larga espera y algunas versiones beta por detrás, el equipo de WordPress finalmente ha lanzado la versión 2.7 de su popular CMS para blogs.

Esta nueva versión integra muchas mejoras y novedades. Entre ellas el rediseño de la interfaz que ofrece al usuario una mejor y rápida administración del blog. Además, por fin se integra un sistema de actualizaciones automáticas que nos permitirá actualizar fácilmente el CMS desde el panel de administración.

Por otra parte, WordPress 2.7 cierra cientos de errores y problemas reportados en versiones anteriores. También incluye las últmas correcciones de seguridad que se incorporaron en la versión 2.6.5, la cual se publicó hace unas semanas.

Así pues, se recomienda a todos los usuarios de WordPress instalar esta nueva versión. Es necesario realizar una actualización completa de todos los archivos.

Fuente:Open Security

Read More

WordPress 2.7 versión candidata

Hace tan sólo unas horas que Ryan Boren ha anunciado en el blog oficial de desarrollo la disponibilidad de WordPress 2.7 RC1. Si hace unos días, cuando salió la Beta 3, comentábamos que quedaba poco tiempo para tener WordPress 2.7 entre nosotros, esta Release Candidate confirma el buen ritmo del equipo de desarrollo y el cercano lanzamiento de la versión final.

Ya publicamos en Genbeta un artículo sobre el nuevo diseño que vendrá con WordPress 2.7, aunque en esta RC han cambiado algunos detalles. Además de 280 cambios y mejoras respecto a la Beta 3, se ha incorporado la nueva colección de iconos en el panel de administración, elegida después de un concurso público hace unos días.

Por supuesto, hay que recordar que es una versión todavía en fase inestable y se recomienda hacer una copia de seguridad de todo el blog antes de intentar probar la versión en desarrollo.

Fuente:GenBeta

Read More

WordPress 2.6.5: actualización de seguridad

WordPress 2.7 se hace esperar y el equipo de desarrollo ha tenido que liberar una nueva versión dentro de la rama 2.6 para solucionar un problema grave de seguridad y algunos errores menos importantes. Según se comenta en el anuncio oficial, en la nomenclatura de la versión se ha saltado de la 2.6.3 a la 2.6.5 para evitar confusiones con el falso WordPress 2.6.4.

Se trata de una actualización menor que puede realizarse simplemente sobreescribiendo los ficheros de instalación (salvo el directorio wp-content y el fichero de configuración wp-config.php). Si sólo quieres actualizar para solucionar el problema de seguridad, bastará con sobreescribir solamente los ficheros wp-includes/feed.php y wp-includes/version.php. Por supuesto, como siempre en estos casos, lo más recomendable es hacer una copia de seguridad antes de realizar la actualización.

Fuente: GenBeta

Read More

¿Como recuperar la clave de WordPress?

Olvidarse de una clave es algo común, especialmente cuando no la usamos seguido. Tener acceso de administrador a tu base de datos de WordPress es indispensable para poder cambiar la clave de administración, pero no podrás recuperarla. Sólo cambiarla para poder acceder como administrador nuevamente.

Lo primero que tienes que hacer es acceder a tu servidor de “hosting” donde está tu sitio Web e ir a las bases de datos MySQL usando phpMyAdmin.

En phpMyAdmin, selecciona la base de datos que usa tu WordPress. Si no sabes cuál es, lo cual dudo, esa información la puedes encontrar en el archivo wp-config.php

Lista de tablas de WordPress usando phpMyAdmin

Ya abierta la base de datos de WordPress, puedes ver una lista de las tablas que usa. La que nos interesa se llama wp_users (si no cambiaste el prefix de tu instalación). Abre esta tabla haciendo clic en el nombre y luego ve a la pestaña  “Browse”. En español me imagino que sería “explorar” o algo así.

Estás viendo la lista de usuarios en tu WordPress.

Ahora busca el usuario al cual deseas cambiarle la clave, Admin por ejemplo y haces clic al lápiz de la tercera columna para editar la clave.

Cambia la clave usando MD5

El problema aquí es que no puedes simplemente escribir la clave que quieras y listo. La clave está encriptada usando un algoritmo llamado MD5. Si quieres agregar por ejemplo la clave: “password” lo que tienes que hacer es agregar “password”, pero de forma encriptada por MD5.

password en MD5 sería 5f4dcc3b5aa765d61d8327deb882cf99

Puedes buscar en Google por un encriptador de MD5 pero si no encuentras md5encrypter.com es gratis y lo usas en línea sin necesidad de instalar nada.

Ve a md5encrypter.com, escribe la clave que quieras usar y remplaza el resultado en MD5 en el campo user_pass de tu tabla. Guárdala y listo. Ahora intenta de nuevo entrar a tu panel de administración de WordPress usando tu nueva clave.

Fuente: GoldNexus

Read More