WordPress resuelve los problemas de seguridad con el anuncio de la versión 4.0.1

“WordPress 4.0.1 está ahora disponible. Éste es un anuncio crítico de seguridad para todas las versiones anteriores e instamos firmemente a que se actualicen los sites de manera inmediata”. Con esta frase WordPress anuncia el lanzamiento de WordPress 4.0.1 y comunica que todos aquellos sitios que actualizan WordPress de manera automática verán que ésta se instala en las próximas horas. “Si usted todavía utiliza WordPress 3.9.2 , 3.8.4  o 3.7.4 se actualizará a 3.9.3 , 3.8.5  o 3.7.5” destaca la firma que recuerda que no ofrecen soporte para versiones anteriores, con lo que vuelve a remarcan la necesidad de actualizarse a 4.0.1.

Asimismo, la firma recuerda que la versión 3.9.2 “y anteriores” se han visto afectadas por una vulnerabilidad crítica que permite a usuarios anónimos “comprometer el sitio”. Esta brecha no afecta a la versión 4.0, pero la 4.0.1 incorpora ocho nuevas características de seguridad.  Así resuelve cuatro vulnerabilidades de cross-site scripting (una de ellas crítica) que podrían comprometer el sistema, una vulnerabilidad de tipo cross-site request forgery, una vulnerabilidad de denegación de servicio al comprobar contraseñas, otra  vulnerabilidad para prevenir colisiones de hashes bajo determinadas circunstancias, se han añadido medidas para evitar ataques de tipo server-side request forgery, y ahora se invalidan los enlaces de restablecimiento de contraseña cuando un usuario la recuerda y la utiliza para hacer login y después cambia su dirección de email.

La versión 4.0.1 también solventa 23 brechas en 4.0 y “hemos realizado dos cambios para endurecer el sistema, entre los que se incluyen mejoras en la validación de los datos EXIF”.