Nueva actualización de seguridad para Joomla

Nueva actualización de seguridad para Joomla

El CMS Joomla! hace pública una nueva versión, concretamente la 3.9.28 que soluciona 5 vulnerabilidades que afectan a su núcleo, de los tipos validación inadecuada de campos, falta de validación de los datos de entrada, cierre de sesión inadecuado tras un cambio de contraseña y ausencia de comprobaciones ACL.

Detalles:

  • La validación inadecuada en el campo Rules de la API de JForm conduce a una vulnerabilidad XSS. Se ha asignado el identificador CVE-2021-26035 para esta vulnerabilidad.
  • La falta de validación de los datos de entrada podría perjudicar la tabla de grupos de usuarios. Se ha asignado el identificador CVE-2021-26036 para esta vulnerabilidad.
  • Varias funciones del CMS no terminaban correctamente las sesiones de usuario existentes cuando se cambiaba la contraseña de un usuario o se le bloqueaba. Se ha asignado el identificador CVE-2021-26037 para esta vulnerabilidad.
  • La acción de instalación en com_installer carece de las comprobaciones ACL necesarias para los superusuarios, lo que podría conducir a varios vectores de ataque. Un sistema por defecto no se ve afectado porque com_installer está limitado a los superusuarios.Se ha asignado el identificador CVE-2021-26038 para esta vulnerabilidad.
  • La validación inadecuada en la vista imagelist de com_media conduce a una vulnerabilidad XSS. Se ha asignado el identificador CVE-2021-26039 para esta vulnerabilidad.

La importancia de esta actualización para evitar que su página web pueda ser hackeada es alta.

Recursos afectados:

Joomla! CMS, versiones:
desde la 3.0.0, hasta la 3.9.27;
desde la 2.5.0, hasta la 3.9.27.

Estrenamos nueva página web

Estrenamos nueva página web

Desde Opción5 Desarrollos Tecnológicos continuamos con las mejoras que se vienen incorporando desde principios de años con una nueva página web mucho más sencilla y funcional con la incorporación de nuevos servicios e integración de nuestra área de clientes por la que se pueden consultar todo el histórico de pedidos, fechas relacionadas con los dominios contratados, posibilidad de renovaciones automáticas y las nuevas formas de pago añadidas a las ya existentes, por lo que ya se pueden realizar los pagos de los servicios contratados por las siguientes vías:

  • transferencia bancaria
  • crédito de prepago
  • domiciliación bancaria
  • Paypal
  • Bizum
  • Pago con tarjeta

Con estos cambios nuestra empresa continúa con su apuesta firme y decidida de convertirse en su proveedor de hosting de calidad y confianza donde el trato directo y cercano con nuestros clientes nos hace marcar las grandes diferencias con todos nuestros competidores.

Actualización Joomla 3.9.8 disponible

Actualización Joomla 3.9.8 disponible

Joomla 3.9.8 ya está disponible. Esta es una versión de corrección de errores para la serie 3.x de Joomla que se ocupa de un error introducido en la versión 3.9.7 que afecta a los sitios web que utilizan el servidor de ayuda francés. Pese a que siempre recomendamos encarecidamente que tengas tus CMS actualizados a las últimas versiones disponibles, si tu página web realizada en Joomla no trabaja con el idioma francés, puedes prescindir de esta actualización ya que no incorpora otras mejoras importantes o temas de seguridad.

Joomla 3.9.26 soluciona algunas vulnerabilidades

Joomla 3.9.26 soluciona algunas vulnerabilidades

Joomla! 3.9.26 ya está disponible para su descarga tras la publicación de una actualización de seguridad de gestor este contenidos  que soluciona dos vulnerabilidades y varios bugs que afectan a su núcleo (core).

Versiones de Joomla! afectadas con estas vulnerabilidades detectadas: desde la 3.0.0 hasta la 3.9.25
Descripción:

  • Corregir los problemas de almacenamiento en caché después de reconstruir los sitios de actualización #33040
  • Permitir la configuración del balanceador de carga/proxy inverso #32866
  • Corregir la pérdida del parámetro de consulta extra para los sitios de actualización #32862
  • Corrección de la compatibilidad con MySQL y MariaDB #32605
  • Corregir el permiso de creación de artículos en el frontend #32470
  • Actualizar CodeMirror a 5.60.0 #32926
  • Mejora adicional de PHP 8 #32767

Solución:

Si la versión que tienes instalada se encuentra entre las citadas anteriormente, actualiza a la versión 3.9.26, que encontrarás en la web oficial de Joomla!, o bien desde el propio panel de administración del gestor de contenidos. En caso de contar con un proveedor externo, remítele esta información para que pueda aplicar estas actualizaciones de seguridad; si ya disfrutas de un plan de mantenimiento web con Manilva Web Design ya tendrás esta actualización implementada en tu plataforma.

 

WordPress 5.7.1 disponible

WordPress 5.7.1 disponible

Nueva actualización menor del core de WordPress 5.7.1 que incorpora algunas novedades. Con esta nueva versión, WordPress te trae nuevos colores. El editor te ayuda a trabajar en unos cuantos sitios donde antes no podías – al menos, no sin tener que ponerte a programar o contratar a un profesional. Los controles que más utilizas, como cambiar los tamaños de la fuente, están en más sitios – justo donde los necesitas. Y los cambios de diseño que deberían ser simples, como imágenes a altura completa, son incluso más sencillos de hacer. La versión 5.7.1 soluciona algunos problemas de seguridad y soluciona 26 errores que se estaban produciendo en su predecesora.

Ahora, el editor es más fácil de usar

Ajuste del tamaño de la fuente en más lugares: ahora, los controles del tamaño de la fuente están justo donde los necesitas en los bloques lista y de código. ¡Ya no hay que ir a otra pantalla para hacer ese único cambio!

Bloques reutilizables: varias mejoras hacen que los bloques reutilizables sean más estables y fáciles de usar. Y ahora se guardan automáticamente con la entrada cuando haces clic en el botón «Actualizar».

Arrastrar y soltar en el insertador: arrastra bloques y patrones de bloques a tu entrada directamente desde el insertador.

Puedes hacer más sin escribir código personalizado

Alineación de altura completa: ¿alguna vez has querido hacer que un bloque, como el bloque de fondo, rellene toda la ventana? Ahora puedes hacerlo.

Bloque de botones: Ahora puedes elegir un diseño vertical u horizontal. Y puedes establecer el ancho de un botón a un porcentaje preestablecido.

Bloque de iconos sociales: ahora puedes cambiar el tamaño de los iconos.

Una paleta de color por defecto más sencilla

Esta nueva paleta de color simplificada reduce todos los colores que solían estar en el código fuente de WordPress a siete colores básicos y a una gama de 56 tonos que cumplen la relación de contraste recomendada por la WCAG 2.0 AA frente al blanco o al negro.

Los colores son perceptivamente uniformes de claro a oscuro en cada gama, lo que significa que empiezan en blanco y se van oscureciendo en la misma cantidad con cada paso.

La mitad de la gama tiene una relación de contraste de 4,5 o superior frente al negro y la otra mitad mantiene el mismo contraste frente al blanco.

Busca la nueva paleta en el esquema de color por defecto del escritorio de WordPress y úsala cuando crees temas, plugins o cualquier otro componente

De HTTP a HTTPS en un solo clic

A partir de ahora, cambiar un sitio de HTTP a HTTPS es un movimiento de un solo clic. WordPress actualizará automáticamente las URL de la base de datos cuando hagas el cambio. ¡No más búsquedas y suposiciones!

Nueva API de Robots

La nueva API Robots te permite incluir el filtro de las directivas en la etiqueta meta «robots» y la API incluye por defecto la directiva max-image-preview: large. Eso significa que los motores de búsqueda pueden mostrar vistas previas más grandes de las imágenes, lo que puede impulsar tu tráfico (salvo que el sitio esté marcado como no público).

Limpieza en curso después de la actualización a jQuery 3.5.1

Durante años, jQuery ha ayudado a que las cosas se movieran en la pantalla de formas que las herramientas básicas no podían — pero eso sigue cambiando y también lo hace jQuery.

En la versión 5.7, jQuery se ha vuelto más centrado y menos intrusivo, con menos mensajes en la consola.

Carga diferida de tus iframes

Ahora es fácil dejar que los iframes carguen de forma diferida. Por defecto, WordPress añadirá un atributo loading=»lazy» a las etiquetas del iframe cuando se especifique tanto la anchura como la altura.

Ya sabes; si quieres todas las últimas novedades y tener tu WordPress actualizado con todas estas características nuevas puedes ponerte en contacto con nosotros. Disponemos de packs de mantenimiento para su WordPress muy económico para dormir tranquilo y estar siempre actualizado.

Vulnerabilidades en Elementor y WP Super caché

Vulnerabilidades en Elementor y WP Super caché

Lo venimos advirtiendo desde hace años; utilizar cualquier CMS es hoy por hoy algo relativamente sencillo de poner en marcha pero si no se gestiona con un buen mantenimiento web, puede llegar a ser también bastante sencillo quedarte sin ella y perder todos tus datos. Investigadores en ciberseguridad han detectado vulnerabilidades en varios plugins de WordPress que, si se explotan con éxito, podrían permitir que un atacante ejecute código arbitrario y se apodere de un sitio web. Potencialmente, podría afectar a siete millones de sitios web.

Los complementos de WordPress son un gran añadido para el sistema de gestión de contenidos enfocado a la creación de páginas web. Como sucede con otro tipo de complementos, plugins o extensiones como los miles de creados para los navegadores web, aportan un mayor número de características y prestaciones con las que no cuentan de base estos desarrollados. El problema es la seguridad, ya que suelen ser aprovechados para la introducción de malware a través de sus vulnerabilidades.

Las últimas encontradas en los complementos de WordPress se han descubierto en Elementor, un complemento de creación de sitios web que se usa en más de siete millones de sitios, y en WP Super Cache, una herramienta que se usa para servir páginas en caché de un sitio de WordPress. Según Wordfence, que descubrió las debilidades de seguridad en Elementor, el error se refiere a un conjunto de vulnerabilidades almacenadas en las secuencias de comandos entre sitios (XSS) (puntuación CVSS: 6.4), que se produce cuando se inyecta una secuencia de comandos maliciosa directamente en una aplicación web vulnerable.

En este caso, debido a la falta de validación de las etiquetas HTML en el lado del servidor, un atacante puede aprovechar los fallos para agregar JavaScript ejecutable a una publicación o página a través de una solicitud especialmente diseñada. Los investigadores encontraron que varios elementos HTML como Encabezado, Columna, Cuadro de iconos y Cuadro de imagen eran vulnerables al ataque XSS almacenado, lo que hace posible que cualquier usuario acceda al editor de Elementor y agregue un JavaScript ejecutable.

«Dado que las publicaciones creadas por los colaboradores suelen ser revisadas por editores o administradores antes de su publicación, cualquier JavaScript agregado a una de estas publicaciones se ejecutará en el navegador del revisor», explica Wordfence en un informe técnico: «Si un administrador revisó una publicación que contiene JavaScript malicioso, su sesión autenticada con privilegios de alto nivel podría usarse para crear un nuevo administrador malicioso o para agregar una puerta trasera al sitio. Un ataque a esta vulnerabilidad podría llevar a la toma de control del sitio«.

Por otro lado, se descubrió una vulnerabilidad de ejecución remota de código autenticado (RCE) en WP Super Cache que podría permitir a un adversario cargar y ejecutar código malicioso con el objetivo de obtener el control del sitio. Este complemento se usa en más de dos millones de sitios de WordPress.

Tras la divulgación responsable el 23 de febrero, Elementor solucionó la vulnerabilidad en la versión 3.1.4 y el desarrollador detrás de WP Super Cache, dijo que abordó el problema en la versión 1.7.2.

Se recomienda encarecidamente que los usuarios que usen estos complementos se actualicen a las últimas versiones para mitigar el riesgo asociado con estas vulnerabilidades.

Desde Manilva Web estamos muy atentos a este tipo de advertencias y nos preocupamos por que las páginas webs de nuestros clientes con mantenimiento, estén 100% actualizadas para evitar este tipo de situaciones que pueden poner en riesgo la integridad de su sitio web e información. Si te has enterado tarde de esta vulnerabilidad y tu web ha sido hackeada, puede consultar por nuestros servicios de reparación web.

A tener muy en cuenta los datos de Bizum

A tener muy en cuenta los datos de Bizum

La plataforma de pago electrónico Bizum se consolida como la favorita de los españoles con un 70 % de penetración en los clientes bancarios digitales a pesar de disponer tan solo de 7 trabajadores, eso si, trabajando codo con codo con todos los departamentos informáticos y directivos de las diferentes entidades financieras.

Desde que comenzó 2021 la plataforma de pago electrónico Bizum ha obtenido 1,5 millones de nuevos usuarios, con más de 3.500 nuevos comercios que lo ofrecen como medio de pago a sus clientes. Además ya ha superado el 70% de penetración en los clientes bancarios digitales, lo que la convierte en el medio de pago favorito de los españoles.

Bizum comenzó su funcionamiento a finales de 2016, y desde entonces ya ha realizado más de 370 millones de operaciones por un valor superior a los 18.000 millones de euros. En España hay más de 11.500 comercios electrónicos que permiten a sus clientes el pago a través de Bizum, con 85 millones de euros de volumen de compras en 1,5 millones de transacciones.

El 10% de los pagos en comercios físicos ya se efectúa a través de esta plataforma. Incluso la red de administraciones de Loterías y Apuestas del Estado ya permite tanto el pago como el cobro mediante Bizum, habiendo realizado más de 20.000 operaciones por un importe 1,2 millones de euros. Adicionalmente desde 2028 Bizum permite las donaciones a ONGs, habiendo efectuado por este medio más de 330.000 por un importe de 1,2 millones de euros.

Con estos nuevos clientes obtenidos en lo que va de 2021 Bizum ya supera los 15 millones de usuarios desde los 13 millones de usuarios con los que cerró 2020. De mantenerse este ritmo de crecimiento parece posible que alcance su objetivo de 20 millones de usuarios al término del presente año 2021.

Por ello, desde Manilva Web Design aconsejamos a nuestros clientes que disponen de tienda On-Line a implementar esta nueva forma de pago que ha llegado para quedarse y está ocupando una cuota de mercado muy importante. Nuestro equipo le asesorará en todo momento de los pasos a seguir para poder implementarla.

Distingue tus publicaciones del resto

Distingue tus publicaciones del resto

El exceso de información del que tenemos la suerte de tener al alcance de la mano y en cualquier momento, nos hacen ser uno más del montón y el intentar destacar con algo o llamar la atención con algo diferente cada vez se complica un poco más. En cualquier red social que entres tendrás un timeline infinito, donde irás pasando publicaciones que luchan entre ellas mismas por captar la atención del lector, ya sea con una imagen de impacto , un video o lo que sea y el formato de texto está tomando protagonismo.

Las Redes Sociales no poseen de un editor de texto como puede tener Word con el que le das cierto formato al texto con negritas o fuentes… pero para ello están apareciendo aplicaciones que cada vez son más fiables y funcionales porque aunque había herramientas y aplicaciones que convertían el texto para que lo pegases en la publicación de la Red Social, no siempre se visualizaba bien en algunos dispositivos, encontrándonos frases (especialmente en móviles) que se veían así: ▯▯▯▯ ▯▯▯ ▯▯▯▯▯.

Por suerte, con el paso del tiempo las diferentes aplicaciones se han ido perfeccionando, permitiéndonos un punto más de personalización en nuestras publicaciones para hacerlas aún más llamativas. Este caso lo hemos puesto en la práctica en muchas ocasiones en el Facebook de Manilva.ws y los impactos obtenidos han sido sorprendentes.

Hemos utilizado varias plataformas con mejores y peores resultados y bajo nuestro criterio, la página que mejor funciona en la actualidad para este cometido de añadir negritas, cursivas y diferentes formatos a los textos de tus redes es FSymbols.

Tan solo tienes que introducir el texto que quieres convertir a otro formato y listo. Te aparecerán numerosas opciones que tan solo tendrás que copiar y pegar en el texto que vayas a preparar para tus redes sociales.

En el caso de FSymbols no solo te servirá para el tema de los formatos, sino que es una completa herramienta que te será muy útil con todo tipo de códigos, símbolos o emojis con el que le podrás dar un toque diferenciado a tus publicaciones.

Puedes entrar en su web en: https://fsymbols.com/es/

 

Nueva versión de WordPress 5.7

Nueva versión de WordPress 5.7

Únete a «Esperanza», la primera versión de WordPress de 2021. «Esperanza» toma su nombre en honor de Esperanza Spalding, un prodigio musical moderno. Su camino como músico es variado e inspirador.

Con esta nueva versión, WordPress te trae nuevos colores. El editor te ayuda a trabajar en unos cuantos sitios donde antes no podías – al menos, no sin tener que ponerte a programar o contratar a un profesional. Los controles que más utilizas, como cambiar los tamaños de la fuente, están en más sitios, justo donde los necesitas. Y los cambios de diseño que deberían ser simples, como imágenes a altura completa, son incluso más sencillos de hacer.

Ahora, el editor es más fácil de usar

Ajuste del tamaño de la fuente en más lugares: ahora, los controles del tamaño de la fuente están justo donde los necesitas en los bloques lista y de código. ¡Ya no hay que ir a otra pantalla para hacer ese único cambio!

Bloques reutilizables: varias mejoras hacen que los bloques reutilizables sean más estables y fáciles de usar. Y ahora se guardan automáticamente con la entrada cuando haces clic en el botón «Actualizar».

Arrastrar y soltar en el insertador: arrastra bloques y patrones de bloques a tu entrada directamente desde el insertador.

Puedes hacer más sin escribir código personalizado

Alineación de altura completa: ¿alguna vez has querido hacer que un bloque, como el bloque de fondo, rellene toda la ventana? Ahora puedes hacerlo.

Bloque de botones: Ahora puedes elegir un diseño vertical u horizontal. Y puedes establecer el ancho de un botón a un porcentaje preestablecido.

Bloque de iconos sociales: ahora puedes cambiar el tamaño de los iconos.

Esta nueva paleta de color simplificada reduce todos los colores que solían estar en el código fuente de WordPress a siete colores básicos y a una gama de 56 tonos que cumplen la relación de contraste recomendada por la WCAG 2.0 AA frente al blanco o al negro.

Los colores son perceptivamente uniformes de claro a oscuro en cada gama, lo que significa que empiezan en blanco y se van oscureciendo en la misma cantidad con cada paso.

La mitad de la gama tiene una relación de contraste de 4,5 o superior frente al negro y la otra mitad mantiene el mismo contraste frente al blanco.

Busca la nueva paleta en el esquema de color por defecto del escritorio de WordPress y úsala cuando crees temas, plugins o cualquier otro componente. Para todos los detalles, echa un vistazo a la nota de desarrollo de la paleta de color.

De HTTP a HTTPS en un solo clic

A partir de ahora, cambiar un sitio de HTTP a HTTPS es un movimiento de un solo clic. WordPress actualizará automáticamente las URL de la base de datos cuando hagas el cambio. ¡No más búsquedas y suposiciones!

Nueva API de Robots

La nueva API Robots te permite incluir el filtro de las directivas en la etiqueta meta «robots» y la API incluye por defecto la directiva max-image-preview: large. Eso significa que los motores de búsqueda pueden mostrar vistas previas más grandes de las imágenes, lo que puede impulsar tu tráfico (salvo que el sitio esté marcado como no público).

Limpieza en curso después de la actualización a jQuery 3.5.1

Durante años, jQuery ha ayudado a que las cosas se movieran en la pantalla de formas que las herramientas básicas no podían — pero eso sigue cambiando y también lo hace jQuery.

En la versión de WordPress 5.7, jQuery se ha vuelto más centrado y menos intrusivo, con menos mensajes en la consola.

Carga diferida de tus iframes

Ahora es fácil dejar que los iframes carguen de forma diferida. Por defecto, WordPress añadirá un atributo loading=»lazy» a las etiquetas del iframe cuando se especifique tanto la anchura como la altura.

 

Tiempo para posicionar una web

Tiempo para posicionar una web

Es una de las preguntas más usuales, ¿Cuánto tiempo s necesita para ver los resultados de una optimización o acción en el posicionamiento SEO? Lo cierto es que no existe una respuesta directa, dado que las variables que influyen en el resultado son muy numerosas y no del todo identificadas; hay más de 300 parámetros que Google tiene en cuenta para poner una web por encima de otra a la hora de realizar cualquier búsqueda y nada es al azar.

En primer lugar, la inmediatez en resultados sólo puede obtenerse de forma segura con publicidad patrocinada (SEM), con el que se le abona a Google cierta cantidad de dinero cada vez que se muestra nuestro resultado o hacen click en el mismo, pues se trata de una de las principales diferencias con respecto al posicionamiento orgánico (SEO), que una vez logrado no tiene ningún coste. Obviamente hay muchas más diferencias, pero en cuanto al tiempo de espera para ver los resultados es el principal.

Por otro lado, la optimización on page de una página web tendrá resultados en el posicionamiento SEO con respecto a cuánto tiempo tarda la web en ser indexada por el robot del buscador. En este sentido influye tanto el sitemap del sitio web como la velocidad de indexación.

Algunas webs que, por ejemplo, están incluidas en el sistema de Google News, se indexan de forma casi automática (en cuestión de segundos), algo que también es extensible a blogs y webs con una actualización diaria frecuente. Las páginas webs corporativas con mucha menor optimización, pueden tardar entre varias horas y días para tener sus modificaciones reflejadas en los resultados de los buscadores.

Por otro lado, la optimización off page, buscando enlaces y un posicionamiento relacionado con otras páginas web puede tardar entre días y meses. Para empezar, hay que esperar a que las acciones estén terminadas. Podemos obtener un enlace desde una página web pero cuyo contenido no es indexado hasta cierto tiempo. Hasta que se produzca la indexación del contenido con el enlace, no afectará a nuestro posicionamiento SEO.

Otro de los factores influyentes en el posicionamiento SEO consiste en el cambio o aplicación de un nuevo algoritmo por parte de los buscadores. Normalmente tienen lugar 2 ó 3 veces al año, sobre todo respecto a actualizaciones importantes. En caso de cambios menores, la frecuencia suele ser mucho mayor. Por esta razón es realmente complicado identificar el tiempo de espera hasta que una optimización de cualquier tipo se refleje en posicionamiento SEO. Sin embargo, el consejo más recomendable es realizar estas labores de optimización cuanto antes y, al mismo tiempo, que nuestra comunicación con el robot del buscador sea lo más eficiente y rápida posible, para lo que existen herramientas como Google Webmaster Tools, sitemaps, robots, etc.