Joomla 3.9.26 soluciona algunas vulnerabilidades

Joomla 3.9.26 soluciona algunas vulnerabilidades

Joomla! 3.9.26 ya está disponible para su descarga tras la publicación de una actualización de seguridad de gestor este contenidos  que soluciona dos vulnerabilidades y varios bugs que afectan a su núcleo (core).

Versiones de Joomla! afectadas con estas vulnerabilidades detectadas: desde la 3.0.0 hasta la 3.9.25
Descripción:

  • Corregir los problemas de almacenamiento en caché después de reconstruir los sitios de actualización #33040
  • Permitir la configuración del balanceador de carga/proxy inverso #32866
  • Corregir la pérdida del parámetro de consulta extra para los sitios de actualización #32862
  • Corrección de la compatibilidad con MySQL y MariaDB #32605
  • Corregir el permiso de creación de artículos en el frontend #32470
  • Actualizar CodeMirror a 5.60.0 #32926
  • Mejora adicional de PHP 8 #32767

Solución:

Si la versión que tienes instalada se encuentra entre las citadas anteriormente, actualiza a la versión 3.9.26, que encontrarás en la web oficial de Joomla!, o bien desde el propio panel de administración del gestor de contenidos. En caso de contar con un proveedor externo, remítele esta información para que pueda aplicar estas actualizaciones de seguridad; si ya disfrutas de un plan de mantenimiento web con Manilva Web Design ya tendrás esta actualización implementada en tu plataforma.

 

WordPress 5.7.1 disponible

WordPress 5.7.1 disponible

Nueva actualización menor del core de WordPress 5.7.1 que incorpora algunas novedades. Con esta nueva versión, WordPress te trae nuevos colores. El editor te ayuda a trabajar en unos cuantos sitios donde antes no podías – al menos, no sin tener que ponerte a programar o contratar a un profesional. Los controles que más utilizas, como cambiar los tamaños de la fuente, están en más sitios – justo donde los necesitas. Y los cambios de diseño que deberían ser simples, como imágenes a altura completa, son incluso más sencillos de hacer. La versión 5.7.1 soluciona algunos problemas de seguridad y soluciona 26 errores que se estaban produciendo en su predecesora.

Ahora, el editor es más fácil de usar

Ajuste del tamaño de la fuente en más lugares: ahora, los controles del tamaño de la fuente están justo donde los necesitas en los bloques lista y de código. ¡Ya no hay que ir a otra pantalla para hacer ese único cambio!

Bloques reutilizables: varias mejoras hacen que los bloques reutilizables sean más estables y fáciles de usar. Y ahora se guardan automáticamente con la entrada cuando haces clic en el botón «Actualizar».

Arrastrar y soltar en el insertador: arrastra bloques y patrones de bloques a tu entrada directamente desde el insertador.

Puedes hacer más sin escribir código personalizado

Alineación de altura completa: ¿alguna vez has querido hacer que un bloque, como el bloque de fondo, rellene toda la ventana? Ahora puedes hacerlo.

Bloque de botones: Ahora puedes elegir un diseño vertical u horizontal. Y puedes establecer el ancho de un botón a un porcentaje preestablecido.

Bloque de iconos sociales: ahora puedes cambiar el tamaño de los iconos.

Una paleta de color por defecto más sencilla

Esta nueva paleta de color simplificada reduce todos los colores que solían estar en el código fuente de WordPress a siete colores básicos y a una gama de 56 tonos que cumplen la relación de contraste recomendada por la WCAG 2.0 AA frente al blanco o al negro.

Los colores son perceptivamente uniformes de claro a oscuro en cada gama, lo que significa que empiezan en blanco y se van oscureciendo en la misma cantidad con cada paso.

La mitad de la gama tiene una relación de contraste de 4,5 o superior frente al negro y la otra mitad mantiene el mismo contraste frente al blanco.

Busca la nueva paleta en el esquema de color por defecto del escritorio de WordPress y úsala cuando crees temas, plugins o cualquier otro componente

De HTTP a HTTPS en un solo clic

A partir de ahora, cambiar un sitio de HTTP a HTTPS es un movimiento de un solo clic. WordPress actualizará automáticamente las URL de la base de datos cuando hagas el cambio. ¡No más búsquedas y suposiciones!

Nueva API de Robots

La nueva API Robots te permite incluir el filtro de las directivas en la etiqueta meta «robots» y la API incluye por defecto la directiva max-image-preview: large. Eso significa que los motores de búsqueda pueden mostrar vistas previas más grandes de las imágenes, lo que puede impulsar tu tráfico (salvo que el sitio esté marcado como no público).

Limpieza en curso después de la actualización a jQuery 3.5.1

Durante años, jQuery ha ayudado a que las cosas se movieran en la pantalla de formas que las herramientas básicas no podían — pero eso sigue cambiando y también lo hace jQuery.

En la versión 5.7, jQuery se ha vuelto más centrado y menos intrusivo, con menos mensajes en la consola.

Carga diferida de tus iframes

Ahora es fácil dejar que los iframes carguen de forma diferida. Por defecto, WordPress añadirá un atributo loading=»lazy» a las etiquetas del iframe cuando se especifique tanto la anchura como la altura.

Ya sabes; si quieres todas las últimas novedades y tener tu WordPress actualizado con todas estas características nuevas puedes ponerte en contacto con nosotros. Disponemos de packs de mantenimiento para su WordPress muy económico para dormir tranquilo y estar siempre actualizado.

Vulnerabilidades en Elementor y WP Super caché

Vulnerabilidades en Elementor y WP Super caché

Lo venimos advirtiendo desde hace años; utilizar cualquier CMS es hoy por hoy algo relativamente sencillo de poner en marcha pero si no se gestiona con un buen mantenimiento web, puede llegar a ser también bastante sencillo quedarte sin ella y perder todos tus datos. Investigadores en ciberseguridad han detectado vulnerabilidades en varios plugins de WordPress que, si se explotan con éxito, podrían permitir que un atacante ejecute código arbitrario y se apodere de un sitio web. Potencialmente, podría afectar a siete millones de sitios web.

Los complementos de WordPress son un gran añadido para el sistema de gestión de contenidos enfocado a la creación de páginas web. Como sucede con otro tipo de complementos, plugins o extensiones como los miles de creados para los navegadores web, aportan un mayor número de características y prestaciones con las que no cuentan de base estos desarrollados. El problema es la seguridad, ya que suelen ser aprovechados para la introducción de malware a través de sus vulnerabilidades.

Las últimas encontradas en los complementos de WordPress se han descubierto en Elementor, un complemento de creación de sitios web que se usa en más de siete millones de sitios, y en WP Super Cache, una herramienta que se usa para servir páginas en caché de un sitio de WordPress. Según Wordfence, que descubrió las debilidades de seguridad en Elementor, el error se refiere a un conjunto de vulnerabilidades almacenadas en las secuencias de comandos entre sitios (XSS) (puntuación CVSS: 6.4), que se produce cuando se inyecta una secuencia de comandos maliciosa directamente en una aplicación web vulnerable.

En este caso, debido a la falta de validación de las etiquetas HTML en el lado del servidor, un atacante puede aprovechar los fallos para agregar JavaScript ejecutable a una publicación o página a través de una solicitud especialmente diseñada. Los investigadores encontraron que varios elementos HTML como Encabezado, Columna, Cuadro de iconos y Cuadro de imagen eran vulnerables al ataque XSS almacenado, lo que hace posible que cualquier usuario acceda al editor de Elementor y agregue un JavaScript ejecutable.

«Dado que las publicaciones creadas por los colaboradores suelen ser revisadas por editores o administradores antes de su publicación, cualquier JavaScript agregado a una de estas publicaciones se ejecutará en el navegador del revisor», explica Wordfence en un informe técnico: «Si un administrador revisó una publicación que contiene JavaScript malicioso, su sesión autenticada con privilegios de alto nivel podría usarse para crear un nuevo administrador malicioso o para agregar una puerta trasera al sitio. Un ataque a esta vulnerabilidad podría llevar a la toma de control del sitio«.

Por otro lado, se descubrió una vulnerabilidad de ejecución remota de código autenticado (RCE) en WP Super Cache que podría permitir a un adversario cargar y ejecutar código malicioso con el objetivo de obtener el control del sitio. Este complemento se usa en más de dos millones de sitios de WordPress.

Tras la divulgación responsable el 23 de febrero, Elementor solucionó la vulnerabilidad en la versión 3.1.4 y el desarrollador detrás de WP Super Cache, dijo que abordó el problema en la versión 1.7.2.

Se recomienda encarecidamente que los usuarios que usen estos complementos se actualicen a las últimas versiones para mitigar el riesgo asociado con estas vulnerabilidades.

Desde Manilva Web estamos muy atentos a este tipo de advertencias y nos preocupamos por que las páginas webs de nuestros clientes con mantenimiento, estén 100% actualizadas para evitar este tipo de situaciones que pueden poner en riesgo la integridad de su sitio web e información. Si te has enterado tarde de esta vulnerabilidad y tu web ha sido hackeada, puede consultar por nuestros servicios de reparación web.