Nueva actualización de seguridad para Joomla

Nueva actualización de seguridad para Joomla

El CMS Joomla! hace pública una nueva versión, concretamente la 3.9.28 que soluciona 5 vulnerabilidades que afectan a su núcleo, de los tipos validación inadecuada de campos, falta de validación de los datos de entrada, cierre de sesión inadecuado tras un cambio de contraseña y ausencia de comprobaciones ACL.

Detalles:

  • La validación inadecuada en el campo Rules de la API de JForm conduce a una vulnerabilidad XSS. Se ha asignado el identificador CVE-2021-26035 para esta vulnerabilidad.
  • La falta de validación de los datos de entrada podría perjudicar la tabla de grupos de usuarios. Se ha asignado el identificador CVE-2021-26036 para esta vulnerabilidad.
  • Varias funciones del CMS no terminaban correctamente las sesiones de usuario existentes cuando se cambiaba la contraseña de un usuario o se le bloqueaba. Se ha asignado el identificador CVE-2021-26037 para esta vulnerabilidad.
  • La acción de instalación en com_installer carece de las comprobaciones ACL necesarias para los superusuarios, lo que podría conducir a varios vectores de ataque. Un sistema por defecto no se ve afectado porque com_installer está limitado a los superusuarios.Se ha asignado el identificador CVE-2021-26038 para esta vulnerabilidad.
  • La validación inadecuada en la vista imagelist de com_media conduce a una vulnerabilidad XSS. Se ha asignado el identificador CVE-2021-26039 para esta vulnerabilidad.

La importancia de esta actualización para evitar que su página web pueda ser hackeada es alta.

Recursos afectados:

Joomla! CMS, versiones:
desde la 3.0.0, hasta la 3.9.27;
desde la 2.5.0, hasta la 3.9.27.

Actualización Joomla 3.9.8 disponible

Actualización Joomla 3.9.8 disponible

Joomla 3.9.8 ya está disponible. Esta es una versión de corrección de errores para la serie 3.x de Joomla que se ocupa de un error introducido en la versión 3.9.7 que afecta a los sitios web que utilizan el servidor de ayuda francés. Pese a que siempre recomendamos encarecidamente que tengas tus CMS actualizados a las últimas versiones disponibles, si tu página web realizada en Joomla no trabaja con el idioma francés, puedes prescindir de esta actualización ya que no incorpora otras mejoras importantes o temas de seguridad.

WordPress 5.7.1 disponible

WordPress 5.7.1 disponible

Nueva actualización menor del core de WordPress 5.7.1 que incorpora algunas novedades. Con esta nueva versión, WordPress te trae nuevos colores. El editor te ayuda a trabajar en unos cuantos sitios donde antes no podías – al menos, no sin tener que ponerte a programar o contratar a un profesional. Los controles que más utilizas, como cambiar los tamaños de la fuente, están en más sitios – justo donde los necesitas. Y los cambios de diseño que deberían ser simples, como imágenes a altura completa, son incluso más sencillos de hacer. La versión 5.7.1 soluciona algunos problemas de seguridad y soluciona 26 errores que se estaban produciendo en su predecesora.

Ahora, el editor es más fácil de usar

Ajuste del tamaño de la fuente en más lugares: ahora, los controles del tamaño de la fuente están justo donde los necesitas en los bloques lista y de código. ¡Ya no hay que ir a otra pantalla para hacer ese único cambio!

Bloques reutilizables: varias mejoras hacen que los bloques reutilizables sean más estables y fáciles de usar. Y ahora se guardan automáticamente con la entrada cuando haces clic en el botón «Actualizar».

Arrastrar y soltar en el insertador: arrastra bloques y patrones de bloques a tu entrada directamente desde el insertador.

Puedes hacer más sin escribir código personalizado

Alineación de altura completa: ¿alguna vez has querido hacer que un bloque, como el bloque de fondo, rellene toda la ventana? Ahora puedes hacerlo.

Bloque de botones: Ahora puedes elegir un diseño vertical u horizontal. Y puedes establecer el ancho de un botón a un porcentaje preestablecido.

Bloque de iconos sociales: ahora puedes cambiar el tamaño de los iconos.

Una paleta de color por defecto más sencilla

Esta nueva paleta de color simplificada reduce todos los colores que solían estar en el código fuente de WordPress a siete colores básicos y a una gama de 56 tonos que cumplen la relación de contraste recomendada por la WCAG 2.0 AA frente al blanco o al negro.

Los colores son perceptivamente uniformes de claro a oscuro en cada gama, lo que significa que empiezan en blanco y se van oscureciendo en la misma cantidad con cada paso.

La mitad de la gama tiene una relación de contraste de 4,5 o superior frente al negro y la otra mitad mantiene el mismo contraste frente al blanco.

Busca la nueva paleta en el esquema de color por defecto del escritorio de WordPress y úsala cuando crees temas, plugins o cualquier otro componente

De HTTP a HTTPS en un solo clic

A partir de ahora, cambiar un sitio de HTTP a HTTPS es un movimiento de un solo clic. WordPress actualizará automáticamente las URL de la base de datos cuando hagas el cambio. ¡No más búsquedas y suposiciones!

Nueva API de Robots

La nueva API Robots te permite incluir el filtro de las directivas en la etiqueta meta «robots» y la API incluye por defecto la directiva max-image-preview: large. Eso significa que los motores de búsqueda pueden mostrar vistas previas más grandes de las imágenes, lo que puede impulsar tu tráfico (salvo que el sitio esté marcado como no público).

Limpieza en curso después de la actualización a jQuery 3.5.1

Durante años, jQuery ha ayudado a que las cosas se movieran en la pantalla de formas que las herramientas básicas no podían — pero eso sigue cambiando y también lo hace jQuery.

En la versión 5.7, jQuery se ha vuelto más centrado y menos intrusivo, con menos mensajes en la consola.

Carga diferida de tus iframes

Ahora es fácil dejar que los iframes carguen de forma diferida. Por defecto, WordPress añadirá un atributo loading=»lazy» a las etiquetas del iframe cuando se especifique tanto la anchura como la altura.

Ya sabes; si quieres todas las últimas novedades y tener tu WordPress actualizado con todas estas características nuevas puedes ponerte en contacto con nosotros. Disponemos de packs de mantenimiento para su WordPress muy económico para dormir tranquilo y estar siempre actualizado.

Vulnerabilidades en Elementor y WP Super caché

Vulnerabilidades en Elementor y WP Super caché

Lo venimos advirtiendo desde hace años; utilizar cualquier CMS es hoy por hoy algo relativamente sencillo de poner en marcha pero si no se gestiona con un buen mantenimiento web, puede llegar a ser también bastante sencillo quedarte sin ella y perder todos tus datos. Investigadores en ciberseguridad han detectado vulnerabilidades en varios plugins de WordPress que, si se explotan con éxito, podrían permitir que un atacante ejecute código arbitrario y se apodere de un sitio web. Potencialmente, podría afectar a siete millones de sitios web.

Los complementos de WordPress son un gran añadido para el sistema de gestión de contenidos enfocado a la creación de páginas web. Como sucede con otro tipo de complementos, plugins o extensiones como los miles de creados para los navegadores web, aportan un mayor número de características y prestaciones con las que no cuentan de base estos desarrollados. El problema es la seguridad, ya que suelen ser aprovechados para la introducción de malware a través de sus vulnerabilidades.

Las últimas encontradas en los complementos de WordPress se han descubierto en Elementor, un complemento de creación de sitios web que se usa en más de siete millones de sitios, y en WP Super Cache, una herramienta que se usa para servir páginas en caché de un sitio de WordPress. Según Wordfence, que descubrió las debilidades de seguridad en Elementor, el error se refiere a un conjunto de vulnerabilidades almacenadas en las secuencias de comandos entre sitios (XSS) (puntuación CVSS: 6.4), que se produce cuando se inyecta una secuencia de comandos maliciosa directamente en una aplicación web vulnerable.

En este caso, debido a la falta de validación de las etiquetas HTML en el lado del servidor, un atacante puede aprovechar los fallos para agregar JavaScript ejecutable a una publicación o página a través de una solicitud especialmente diseñada. Los investigadores encontraron que varios elementos HTML como Encabezado, Columna, Cuadro de iconos y Cuadro de imagen eran vulnerables al ataque XSS almacenado, lo que hace posible que cualquier usuario acceda al editor de Elementor y agregue un JavaScript ejecutable.

«Dado que las publicaciones creadas por los colaboradores suelen ser revisadas por editores o administradores antes de su publicación, cualquier JavaScript agregado a una de estas publicaciones se ejecutará en el navegador del revisor», explica Wordfence en un informe técnico: «Si un administrador revisó una publicación que contiene JavaScript malicioso, su sesión autenticada con privilegios de alto nivel podría usarse para crear un nuevo administrador malicioso o para agregar una puerta trasera al sitio. Un ataque a esta vulnerabilidad podría llevar a la toma de control del sitio«.

Por otro lado, se descubrió una vulnerabilidad de ejecución remota de código autenticado (RCE) en WP Super Cache que podría permitir a un adversario cargar y ejecutar código malicioso con el objetivo de obtener el control del sitio. Este complemento se usa en más de dos millones de sitios de WordPress.

Tras la divulgación responsable el 23 de febrero, Elementor solucionó la vulnerabilidad en la versión 3.1.4 y el desarrollador detrás de WP Super Cache, dijo que abordó el problema en la versión 1.7.2.

Se recomienda encarecidamente que los usuarios que usen estos complementos se actualicen a las últimas versiones para mitigar el riesgo asociado con estas vulnerabilidades.

Desde Manilva Web estamos muy atentos a este tipo de advertencias y nos preocupamos por que las páginas webs de nuestros clientes con mantenimiento, estén 100% actualizadas para evitar este tipo de situaciones que pueden poner en riesgo la integridad de su sitio web e información. Si te has enterado tarde de esta vulnerabilidad y tu web ha sido hackeada, puede consultar por nuestros servicios de reparación web.

Nueva versión de WordPress 5.7

Nueva versión de WordPress 5.7

Únete a «Esperanza», la primera versión de WordPress de 2021. «Esperanza» toma su nombre en honor de Esperanza Spalding, un prodigio musical moderno. Su camino como músico es variado e inspirador.

Con esta nueva versión, WordPress te trae nuevos colores. El editor te ayuda a trabajar en unos cuantos sitios donde antes no podías – al menos, no sin tener que ponerte a programar o contratar a un profesional. Los controles que más utilizas, como cambiar los tamaños de la fuente, están en más sitios, justo donde los necesitas. Y los cambios de diseño que deberían ser simples, como imágenes a altura completa, son incluso más sencillos de hacer.

Ahora, el editor es más fácil de usar

Ajuste del tamaño de la fuente en más lugares: ahora, los controles del tamaño de la fuente están justo donde los necesitas en los bloques lista y de código. ¡Ya no hay que ir a otra pantalla para hacer ese único cambio!

Bloques reutilizables: varias mejoras hacen que los bloques reutilizables sean más estables y fáciles de usar. Y ahora se guardan automáticamente con la entrada cuando haces clic en el botón «Actualizar».

Arrastrar y soltar en el insertador: arrastra bloques y patrones de bloques a tu entrada directamente desde el insertador.

Puedes hacer más sin escribir código personalizado

Alineación de altura completa: ¿alguna vez has querido hacer que un bloque, como el bloque de fondo, rellene toda la ventana? Ahora puedes hacerlo.

Bloque de botones: Ahora puedes elegir un diseño vertical u horizontal. Y puedes establecer el ancho de un botón a un porcentaje preestablecido.

Bloque de iconos sociales: ahora puedes cambiar el tamaño de los iconos.

Esta nueva paleta de color simplificada reduce todos los colores que solían estar en el código fuente de WordPress a siete colores básicos y a una gama de 56 tonos que cumplen la relación de contraste recomendada por la WCAG 2.0 AA frente al blanco o al negro.

Los colores son perceptivamente uniformes de claro a oscuro en cada gama, lo que significa que empiezan en blanco y se van oscureciendo en la misma cantidad con cada paso.

La mitad de la gama tiene una relación de contraste de 4,5 o superior frente al negro y la otra mitad mantiene el mismo contraste frente al blanco.

Busca la nueva paleta en el esquema de color por defecto del escritorio de WordPress y úsala cuando crees temas, plugins o cualquier otro componente. Para todos los detalles, echa un vistazo a la nota de desarrollo de la paleta de color.

De HTTP a HTTPS en un solo clic

A partir de ahora, cambiar un sitio de HTTP a HTTPS es un movimiento de un solo clic. WordPress actualizará automáticamente las URL de la base de datos cuando hagas el cambio. ¡No más búsquedas y suposiciones!

Nueva API de Robots

La nueva API Robots te permite incluir el filtro de las directivas en la etiqueta meta «robots» y la API incluye por defecto la directiva max-image-preview: large. Eso significa que los motores de búsqueda pueden mostrar vistas previas más grandes de las imágenes, lo que puede impulsar tu tráfico (salvo que el sitio esté marcado como no público).

Limpieza en curso después de la actualización a jQuery 3.5.1

Durante años, jQuery ha ayudado a que las cosas se movieran en la pantalla de formas que las herramientas básicas no podían — pero eso sigue cambiando y también lo hace jQuery.

En la versión de WordPress 5.7, jQuery se ha vuelto más centrado y menos intrusivo, con menos mensajes en la consola.

Carga diferida de tus iframes

Ahora es fácil dejar que los iframes carguen de forma diferida. Por defecto, WordPress añadirá un atributo loading=»lazy» a las etiquetas del iframe cuando se especifique tanto la anchura como la altura.

 

WordPress 5.6.2 disponible

WordPress 5.6.2 disponible

Esta actualización de mantenimiento incluye 5 correcciones a fallos. Estos fallos afectan a la versión 5.6.1 de WordPress, así que querrás actualizar.

Puedes descargar WordPress 5.6.2 directamente o visitar la pantalla de Escritorio → Actualizaciones y hacer clic en Actualizar ahora.

Si tus sitios son compatibles con las actualizaciones en segundo plano ya habrán empezado el proceso de actualización. WordPress 5.6.2 es una pequeña actualización de mantenimiento enfocada en corregir problemas de cara al usuario descubiertos en la versión 5.6.1.

La siguiente actualización mayor será la versión 5.7, actualmente programada para el 9 de marzo de 2021.