Desde hace ya unos días tenemos disponible la nueva versión WordPress 4.7.1, que se trata de una actualización de mantenimiento y seguridad que se encarga de corregir una serie de problemas de seguridad de las versiones anteriores y hasta 62 bugs.
La versión de WordPress 4.7 cuenta con más de 10 millones de descargas desde que saliera el pasado mes de diciembre, por lo que esta actualización que ya está disponible era muy esperada.
Principales problemas de seguridad corregidos con WordPress 4.7.1:
- Ejecución de código remoto en PHPMailer – No hay ningún problema específico que afecte a WordPress o a los principales plugins que hemos investigado pero, por precaución, se ha actualizado PHPMailer en esta versión.
- La REST API exponía datos de usuario de todos los usuarios autores de una entrada o un tipo de contenido público. WordPress 4.7.1 limita esto solo a los tipos de contenido que se especifique que deban mostrarse en la REST API.
- Vulnerabilidad XSS a través del nombre del plugin o la cabecera de la versión en update-core.php.
- Vulnerabilidad CSRF al subir un archivo flash.
- Vulnerabilidad XSS mediante la retirada del nombre del tema.
- La publicación por correo electrónico revisa example.comsi no han cambiado los ajustes por defecto.
- Vulnerabilidad CSRF descubierta en e modo de accesibilidad de la edición de widgets.
- Seguridad criptográfica débil en la clave de activación de multisitio.
Como siempre antes de actualizar es recomendable realizar una copia de seguridad por si al hacerlo nos encontramos con algún problema. Además se debería comprobar si nuestros plugins y temas son compatibles con la nueva versión, si no lo son soluciona estos problemas antes de actualizar.