WordPress ha publicado una actualización que tiene dentro rectificaciónes de fallos y parches de seguridad para emprender tres inseguridades de gravedad grave a moderada.

Posiblemente las actualizaciones se hayan descargado y también instalado de manera automática, con lo que es primordial contrastar que el sitio esté ciertamente actualizado a 6.02 y que todo prosiga andando con normalidad.

Corrección de fallos

La actualización tiene dentro 12 rectificaciónes para el núcleo de WordPress y cinco para el editor de bloques.

una cambio destacable es una optimización del Directorio de plantillas, cuyo propósito es contribuir a los autores de temas a difundir solo plantillas similares con sus temas.

El propósito de este cambio es llevarlo a cabo mucho más atrayente para los autores de temas y brindarles a los editores una mayor vivencia de usuario.

«Varios autores de temas desean que todos y cada uno de los patrones centrales y recónditos se deshabiliten de manera ya establecida a través de remove_theme_support (‘core-block-patterns’). Esto garantiza que solo faciliten a sus clientes del servicio/clientes del servicio diseños importantes para su tema.

Este cambio va a hacer que el directorio de plantillas sea mucho más atrayente/disponible desde la perspectiva del creador del tema».

Tres parches de seguridad

La primera puerta de inseguridad se detalla como una puerta de inseguridad de inyección SQL de alta gravedad.

Una puerta de inseguridad de inyección SQL deja a un agresor preguntar la banco de información subyacente del página web y añadir, ver, remover o cambiar datos privados.

Según un informe de Wordfence, WordPress 6.02 soluciona una puerta de inseguridad de inyección SQL de alta gravedad, pero la puerta de inseguridad necesita permisos administrativos para ejecutarse.

Valla de expresiones describió esta puerta de inseguridad:

“La función de link de WordPress, previamente famosa como ‘Marcadores’, por el momento no está habilitada de manera ya establecida en las novedosas instalaciones de WordPress.

Posiblemente los sitios mucho más viejos aún tengan la función habilitada, lo que quiere decir que millones de sitios mucho más viejos son probablemente atacables, aun si ejecutan ediciones mucho más novedosas de WordPress.

Por suerte, podemos encontrar que la puerta de inseguridad necesita permisos administrativos y es bien difícil de explotar en una configuración ya establecida».

La segunda y tercera inseguridades se describen como Cross Stored Scripts, entre las cuales no interfiere a la «enorme» mayoría de los editores de WordPress.

Biblioteca de fecha y hora de JavaScript actualizada

Se resolvió otra puerta de inseguridad, pero no formaba una parte del núcleo de WordPress. Esta puerta de inseguridad perjudica a una biblioteca de datos de JavaScript llamada Moment usada por WordPress.

A la puerta de inseguridad de la biblioteca JavaScript se le asignó un número CVE y también los datos están libres en la Base de Datos Nacional de Puerta de inseguridad del gobierno de los USA. es documentado como una corrección de fallos en WordPress.

Qué realizar

La actualización debería repartirse de manera automática a los sitios desde la versión 3.7.

Puede ser útil contrastar que el ubicación ande adecuadamente y que no haya enfrentamientos con el tema de hoy y los complementos instalados.


mencionado

WordPress Core Security and Maintenance Release 6.0.2 – Lo que precisa entender

Aceptar el registro recóndito de plantillas en theme.json en el momento en que las plantillas primordiales están deshabilitadas.

Imagen cortesía de Shutterstock / Krakenimages.com

Fuente: searchenginejournal

Hashtags: #WordPress #lanza #una #actualización #puerta de inseguridad #seguridad