WordPress nunca deja de sorprendernos, y este 10 de junio hizo pública la nueva actualización para su módulo de seguridad y mantenimiento con su versión 5.4.2.
Pensando en mejorar los fallos de versiones anteriores en la parte de administración y seguridad, realizaron 23 correcciones.
¿Cuáles son las mejoras de WordPress 5.4.2?
Uno de las grandes problemáticas que necesitaba ser abordada eran los usuarios autenticados. En versiones anteriores, si esos usuarios contaban con ciertos privilegios en el WordPress tenían la posibilidad de añadir JavaScript en el editor de bloques. Sam Thomas, investigador de seguridad notó esta falla de seguridad.
Otro problema de XSS autenticado en la carga de temas, fue descubierto por el investigador Nrimo Ing Pandum.
Además de un problema de redireccionamiento abierto en wp_validate_redirect (), que generaba un verdadero dolor de cabeza, y que gracias al trabajo del investigador Ben Bidner fue descubierto.
Simon Scanell de Rips Techologies, sacó a luz el problema presentado en set-screen-option, donde podía utilizarse con fines dañinos y escalar hasta conseguir privilegios.
Todas estas fallas fueron resueltas en la nueva implementación de WordPress. Sin embargo, las actualizaciones no solo intentan resolver fallas XSS, sino problemas relacionados a los comentarios de las publicaciones, y las páginas protegidas con contraseña a las que solo se podía acceder con ciertas condiciones.
Para los administradores que son cuidadosos a quienes les dan acceso a su web, y evitan que hagan un autoregistro, esta actualización no afectará su modo de trabajar, pero para los que no tomaban esto en cuenta, será visto como un gran avance. Con respecto al tema de mantenimiento fueron mejoradas las versiones 5.1, 5.2 y 5.3.
Se recomienda actualizar WordPress para disfrutar de estas nuevas mejoras, aunque si está configurado que se realice de manera automática, el software lo hará por sí mismo.
La próxima actualización está planificada para mediados de agosto y será la 5.5. Sin embargo, para quienes deseen disfrutar de estos nuevos beneficios, lo más recomendable es subirse al tren de actualizaciones de WordPress a tiempo.
Referencias
https://es.wordpress.org/category/actualizaciones/
https://portswigger.net/daily-swig/wordpress-security-release-addresses-multiple-xss-vulnerabilities