Según se comenta en la nota de publicación de esta versión, tres librerías externas a WordPress (Plupload, SWFUpload, y SWFObjet), que se usan principalmente para subida de archivos multimedia e incrustación de contenido en Flash, han recibido sendas actualizaciones de seguridad. Y junto a estas actualizaciones se han arreglado también dos vulnerabilidades XSS en el código de WordPress.

También se corrigen algunos fallos menores no relacionados con la seguridad.

Para más información puedes consultar la nota original de los desarrolladores.

Si tienes instalada cualquier versión anterior, te recomiendo la actualización inmediata a WordPress 3.3.2

En esta ocasión se corrigen 15 fallos que en su mayoría (salvo dos) son de escasa importancia, y además un fallo de seguridad del tipo XSS, del que no se han dado mayores detalles.

Si ya actualizaste WordPress a la versión 3.3, deberías actualizar inmediatamente a esta nueva versión 3.3.1.

Si por el contrario sigues usando WordPress 3.2.1, puedes estar tranquilo ya que el fallo de seguridad mencionado afecta sólo a la versión 3.3.

En esta ocasión como ya ocurriese con la versión 3.2 se trata de una versión destinada principalmente a incorporar mejoras y nuevas funcionalidades. Por lo que no es urgente que actualices tu WordPress a esta nueva versión. Y mi consejo es que, salvo que necesites alguna de las nuevas funcionalidades que trae WordPress 3.3, esperes al menos un par de semanas a ver que tal se desenvuelven las extensiones y temas con esta nueva versión.

Lo cierto es que algunos de los cambios incluidos, como por ejemplo el nuevo gestor de subida de archivos, cambios en la API del editor o algo tan simple a primera vista como actualizar la versión de jQuery a la 1.7.1, pueden ser causa para que algunas de las extensiones que uses en tu sitio web con WordPress, o el tema que estes usando, dejen de funcionar correctamente en parte o totalmente.

Podéis consultar la lista completa de cambios y mejoras en el Codex y también hay disponible una guía de resolución de problemas para esta versión de WordPress, donde se puede leer que ya se han detectado algunos fallos con el Javascript y el CSS, algunos de ellos pueden solucionarse instalando la extensión Hotfix en su versión 0.8, mientras se espera su resolución con la publicación de WordPress 3.3.1.

Y en todo caso, actualicéis ahora o más adelante, recordad siempre tener una copia de seguridad a mano.

Hasta ahora para publicar tu extensión en dicho repositorio bastaba con un cumplir unas normas muy básicas, que casi podríamos decir que se reducía a que la extensión en cuestión usara licencia GPL o compatible y dotar a la extensión de un archivo que describa sus funciones y forma de uso siguiendo un formato específico marcado por los responsables de WordPress.org

Sin embargo según comentan en WP Candy esto está cambiando de un tiempo a esta parte.

Al parecer Samuel Wood, más conocido en el entorno WordPress como “Otto” y miembro de Automattic. Ha confirmado que actualmente están denegando la inclusión de determinados tipos de extensiones en los repositorios oficiales de WordPress.org

Por poner un ejemplo no se están aceptando nuevas extensiones que tengan que ver con widgets de valores de bolsa,  insertar el botón “me gusta” de Facebook o extensiones de Google +1. Ya que consideran que ya existen demasiadas extensiones en el repositorio para realizar estas mismas tareas. Y desde luego en parte razón no les falta.

Supuestamente esta medida persigue conseguir que se fomente la colaboración entre desarrolladores para unir fuerzas y mejorar extensiones ya disponibles en lugar de que cada uno haga la suya propia. Si bien con esta excusa Automattic podría empezar a censurar determinadas extensiones, impidiendo de esta manera que la gran mayoría de usuarios lleguen a conocerlas.

Sin ir más lejos, yo mismo publiqué hace poco más de un mes un fork de la conocida extensión Jetpack, llamada Jetpack Lite. Cuyo objetivo es poder disponer de una versión mucho más liviana que la original que contiene sólo las estadísticas y el acortador de enlaces. Y al fin y al cabo no deja de ser un duplicado (aunque modificado) de una extensión  ya existente. Me sorprendió ver que la extensión tuvo muy buena acogida y en muy poco tiempo eran miles las descargas de la extensión, miles de personas que preferían mi “duplicado” ligero. Pero más me sorprendió cuando el mismísimo Matt Mullenweg me preguntó muy amablamente por email si podía cambiarle el nombre a la extensión o borrarla (WTF!), ya que temía que la confundieran con la original…

¿Qué habría pasado si hubieran aplicado esta nueva política de no admitir extensiones parecidas a las existentes?. Pues sencillamente, que casi nadie conocería Jetpack Lite y posiblemente las miles de descargas fueran sólo cientos y Matt nunca se habría preocupado de que una extensión mucho más sencilla que la original pudiera ser la favorita de miles de usuarios.

A continuación os dejo un vídeo de Matt Cutts publicado en el blog oficial de Google para webmasters que viene a aclarar en líneas generales el asunto (tiene subtítulos en español, si no los ves haz clic en el cuadradito “CC”).

No obstante hay que tener en cuenta que si nuestro viejo dominio está enlazado desde muchos otros sitios web y no tenemos la posibilidad de conseguir que los webmasters de todas esas webs actualicen los enlaces, nos tocará mantener el 301 de por vida si no queremos perder todos esos enlaces entrantes con sus correspondientes visitas… :(

Según sus desarrolladores, simplemente activando bbPress 2.0, cualquier tema estándar de WordPress será capaz de repente de tener foros, perfiles de usuario, etiquetas de temas, y vistas personalizadas de temas. Además los usuarios podrán marcar temas como favoritos para leerlos más tarde, y suscribirse para que se les notifique por email cuando haya respuestas a dichos temas…

Dicho así suena muy genial claro, pero lo que no dicen es que consideran ellos un “tema estándar de WordPress”. Imagino que se refieren a cualquiera de los que vienen de serie con WordPress (TwentyTen y TwentyEleven), con lo que si no usas estos (o derivados) tocará meterle mano al código del tema. Que probablemente sea el caso más común.

No obstante, a pesar de tener que acomodar parcialmente tu tema actual para hacer uso de esta prometedora extensión de foros, creo que es la mejor opción si quieres implementar unos foros en tu WordPress.

Es cierto que hay muchas alternativas, desde “puentes” para integrar en WordPress sistemas tan conocidos como phpBB, hasta extensiones nativas de WordPress que ya llevan años en desarrollo como Simple:Press. Si bien los “puentes” obligan a depender de una integración entre dos aplicaciones distintas, que necesita de una constante actualización para no perder la conexión entre ambas, y Simple:Press y otras extensiones similares tratan más bien de crear su propio ecosistema dentro de WordPress, que integrarse con las funciones del núcleo.

Pero no todo son ventajas, si estás acostumbrado a moverte en foros tanto como usuario como administrador, seguro que echarás en falta muchas características típicas de foros en bbPress. En especial aquellas destinadas al control “fino” de los usuarios por parte del administrador, o muchos de esos botoncitos que tanto gustan a los usuarios… Aunque esto, si siguen con el ritmo de desarrollo actual, probablemente esté solucionado en unos meses.

Por el momento, tendrás que elegir entre integración nativa con tu WordPress, o tener un foro con muchos botoncitos que tocar :)

Hasta aquí nada del otro mundo… Si no fuera porque con esta actualización se anunciaba que sería la última ya que esta extensión para a ser sustituida por su correspondiente módulo de Jetpack, que como seguramente ya sabréis es una extensión que los chicos de Automattic se han sacado de la manga para reunir muchas extensiones en una sola.

La idea quizás sea buena como concepto, pero en la práctica al menos para mi gusto, ha terminado siendo una extensión que aglutina otras que no son de uso mayoritario (como la de Latex y After the Deadline) o para las que hay mejores alternativas (como Sharedaddy).

Además, todas las extensiones que integra el Jetpack se activan de forma predeterminada, y desactivar las que no queremos usar (en mi caso todas menos las estadísticas) resulta bastante pesado ya que hay que ir una por una y además con un sistema “bonito” pero también lento.

Con lo que muy a mi pesar, una gran idea se ha convertido en “bloatware“. Y no me parece justo abandonar el desarrollo de una extensión de uso masivo como WordPress.com Stats para dejar como única opción instalar Jetpack con todas las demás…

Así que aprovechando las ventajas del software libre y la licencia GPL, me tomado la libertad de crear un fork al que he llamado Jetpack Lite y que sólo contiene el módulo de estadísticas y del enlaces cortos con WP.me. O dicho de otro modo las mismas funciones que estaban disponibles en WordPress.com Stats.

Eliminando el resto de funcionalidades, tanto el código relacionado con ellas como los archivos de las mismas. Así puedo seguir usando las estadísticas de WordPress.com (con la nueva interfaz que proporciona Jetpack) pero sin tener que ir desactivando módulos que no quiero usar en cada instalación de WordPress a la que le añado el Jetpack. Por lo demás, el resto de la extensión está intacta, no le he añadido ni quitado nada más (por lo que esta versión debería funcionarte igual de bien o mal que el Jetpack original).

Si a alguien le interesa, Jetpack Lite está disponible en el repositorio oficial de WordPress. De momento en unas 24h lleva ya casi 300 descargas, con lo que entiendo que no soy el único interesado en poder usar las estadísticas de WordPress.com sin tener que soportar el resto de módulos del Jetpack original.

Mi idea es seguir actualizando la extensión cuando en las actualizaciones del Jetpack original se incluyan cambios que afecte a los módulos presentes en Jetpack Lite (o hasta que Automattic se de cuenta de su error y reviva la extensión WordPress.com Stats).

Anuncio en Facebook del "hack" a los blogs de Eduard Punset

Leyendo el anuncio del ataque que hicieron, hace pensar que alguien con grandes conocimientos para introducirse en webs ajenas habría accedido al servidor donde se alojan estos blogs y habría destrozado gran parte sino toda la información… Y bueno, la verdad es que no hay forma de saberlo, ya que no ha trascendido más información que la que anunciaron en su Facebook, y tampoco hay capturas disponibles de como quedaron los blogs (o al menos yo no las he encontrado). Con lo cual no sabemos si el ataque llegó “hasta la cocina” o se limitó al ámbito del WordPress con el que se gestionan toda red de blogs ligados a Eduard Punset.

Pero no es la primera vez que le ocurre esto a una web relacionada con Eduard Punset:

• 11 de julio de 2009 – El blog “Redes en la Red” (que hoy ya no existe), ya fue atacado. En Meneame.net se decía que el atacante había tenido acceso a los blogs a través de un usuario con contraseña débil, y el mismo usario que envió la noticia completaba la información creando una página estática donde recopila cierta información del atacante y una captura del estado de Redes en la Red tras el ataque. Por aquel entonces (como se puede ver en la captura), los responsables del blog, dejaban incluso que se viera públicamente que era el usuario “admin” el que escribía los artículos del blog.
• 23 de julio de 2009 – En esta ocasión es la web de Eduard Punset la que atacan. Y esta vez parece que fue un ataque al sistema (Windows) de la máquina que alojaba la web y no al gestor de contenidos.

Dado que yo me dedico profesionalmente a WordPress, he sentido curiosidad y se me ha ocurrido echar un vistazo al código HTML de estos blogs en busca de pistas acerca de posibles agujeros de seguridad. Y para mi sorpresa, aún después de este ataque (y de los que han tenido anteriormente), a fecha de hoy los blogs de Eduard Punset siguen presentando vulnerabilidades básicas, por lo que fácilmente podrían ser objeto de nuevos ataques.

Estas vulnerabilidades de seguridad se pueden averiguar en cuestión de segundos, y son las siguientes:

• Todos los blogs afiliados de Eduard Punset usan versiones obsoletas de WordPress. Por lo tanto, son vulnerables a todos los fallos de seguridad que se solucionaron en las versiones posteriores a las empleadas. Y para colarse por estos agujeros no hace falta ser ningún hacker experimentado, simplemente buscar el script adecuado y probar suerte.
• Redes para la Ciencia 3.1
• Somos Primates 3.1
• El blog de Eduard Punset 3.1
• Science Networks 3.1.3
• Inteligencia Emocional  3.0.3
• En todos los blogs de su red existe el usuario “admin”. Es muy posible, dada la presencia de este usuario, que también el prefijo de las tablas de las bases de datos sea el predeterminado… Con lo cual, de nuevo se facilitan ciertos tipos de ataque que se aprovechan de la presencia de estos datos.

Esto, como digo, simplemente mirando el código fuente de las webs sin dedicarle más que unos segundos. Seguramente indagando más saldría alguna otra cosa… (Y de hecho alguna más he detectado, pero tampoco es plan de ponerlo todo :))

Conclusiones

En mi opinión, este es un claro ejemplo de desconocimiento en el empleo de una herramienta tan potente y segura (si sigues los pasos adecuados) como WordPress. Y seguramente, también sea otro ejemplo más de uno de esos casos en los que se delega una responsabilidad tan importante como la estabilidad de webs de reconocido prestigio a personal no especializado en la materia (¿quizás alguien de la propia productora de Punset?, ¿o una agencia de marketing?).

Muchas veces he oído eso de “un WordPress lo instala cualquiera”. Y sí, es cierto, de hecho está pensando para que cualquiera con unos pocos conocimientos de lo que es un FTP o un servidor web pueda realizar una instalación básica. Pero eso no significa que todas las instalaciones de WordPress sean igual de seguras o eficientes. Y cuando se trata de gestionar un proyecto importante con WordPress, creo que merece la pena gastarse el dinero en buscar a alguien especializado en la materia.

Porque también una muela te la puede sacar cualquiera, pero mejor si es un odontólogo profesional ¿no?

Según comentan en la nota oficial del lanzamiento, fundamentalmente esta versión corrige una incompatibilidad en algunos servidores relacionada con JSON, y otros pequeños fallos de la versión 3.2.

Si me hiciste caso y todavía no habías actualizado a WordPress 3.2, ahora es el momento ;)

En esta nueva versión sobre todo se ha puesto empeño en renovar la interfaz de administración, algo que puede deducirse fácilmente al echar un vistazo al porcentaje de tickets correspondientes a la administración de los más de 400 tickets que se han resuelto hasta llegar a la versión final de WordPress 3.2.

Pero sin duda uno de los puntos fuertes, y a tener en cuenta antes de actualizar a esta nueva versión, es que a partir de aquí WordPress cambia sus requisitos mínimos para conseguir una mayor fluidez y rapidez. Pasando a necesitar como mínimo:

• PHP 5.2.4
• MySQL 5.0.15

Por lo que es imprescindible que antes de actualizar compruebes si tu hosting actual tiene como mínimo las versiones de PHP y MySQL indicadas.

Cualquier hosting de una calidad mínima debería cumplir estos requisitos, y si no los cumple, te recomiendo encarecidamente que vayas buscado otro sitio donde alojar tu WordPress.

No obstante, al no ser esta una actualización crítica (como la reciente 3.1.4), mi consejo es no actualizar de inmediato salvo que necesites alguna de las mejoras incorporadas. Dejar pasar un tiempo prudencial (de 15 días a un mes), en previsión de que puedan pulirse detalles de última. Ya que como es sabido, estos muchas veces no se descubren hasta que la nueva versión se hace pública y es probada por una mayor base de usuarios.

Por último, si eres de los que les gusta enterarse de todo todo y todo… Puedes consultar la lista completa de novedades de WordPress 3.2 en su página oficial del codex.