WordPress 4.8.3, lo que ocurrió entre bastidores

WordPress 4.8.3 lo que ocurrió entre bastidores

Esta última actualización de seguridad a WordPress 4.8.3 viene con una historia detrás, entre bastidores.

Por lo que nos hemos podido informarnos, la vulnerabilidad de inyección SQL ya venía con la versión 4.8.2 , con un intento de parche pero que solucionaba el problema a medias.

Y realmente esta vulnerabilidad era conocida por el equipo de seguridad del core de WordPress, seis semanas atrás, pero decidieron ignorarla.

¿Qué ocurrió realmente? ¿Por qué han tardado 6 semanas en solucionar esta vulnerabilidad?


Comencemos desde el principio. El ingeniero Anthony Ferrara, fue quien descubrió esta vulnerabilidad y la puso en conocimiento del equipo de seguridad del core de WordPress, pero, simplemente, le ignoraron.

Tras varios intentos fallidos de A. Ferrara para que el equipo de seguridad del core tuviera en cuenta este problema, decidió darle un ultimatum a los chicos del core, vía RRSS.

Si no solucionaban el problema, haría pública la vulnerabilidad y la pondría en conocimiento del todo el mundo y como explotarla.

Ante esto, el equipo del core y viendo la repercusión de los tweets de Ferrara, no les quedó más remedio que ponerse en contacto con Ferrara para que les diera tiempo para solucionar la incidencia y en la medida de lo posible, este colaborara, no solo en no hacerlo público, sino en ayudar a cerrar esta vulnerabilidad.

Que repito, no afecta directamente al core de WordPress, pero si a plugins y temas, lo que finalmente afectaría al core de WordPress.

Ferrara, dio de plazo hasta el 31 de Octubre como fecha límite, cosa que como hemos podido ver, la versión de WordPress 4.8.3 salió como actualización automática ese mismo día, como aquí anunciamos y en varias RRSS.

El proceso no ha sido sencillo, no había buena sintonía entre Aaron Campbell, lider del equipo de seguridad de WordPress y A. Ferrara, e incluso hubo que poner un mediador para llegar a buen puerto.

Tras varias colaboraciones entre ambas partes, se llegó a una solución que cerrara en forma de parche esta vulnerabilidad en forma de la nueva versión 4.8.3.

En el anuncio de la salida de la versión 4.8.3, en el blog oficial de WordPress, se le da las gracias a Anthony Ferrara, por descubrir la vulnerabilidad y ayudar a solucionarla, pese que al jefe de equipo de seguridad de WordPress no le gustara que fueran presionados con hacer pública esta vulnerabilidad si no hacían caso a Ferrara. La solución no ha sido de trato fácil, pero para los millones de usuarios de WordPress, agradecemos que hayan encontrado un punto de entendimiento y ahora nos encontremos todos seguros, o por lo menos los que estemos actualizados.

De todas formas, este parche, no hace que vaya del todo bien WordPress, yo le he notado algunos «lags» seguramente por plugins y themes que deberá actualizarse para cerrar este bug de origen en sus códigos y haga que vaya todo fluido nuevamente.

De hecho y como comenté en el programa anterior, en estos días veremos muchas actualizaciones de plugins y themes, por lo que debemos estar atentos, por ejemplo, WPML, el popular plugin de traducción, ha sido uno de los primeros en actualizarse para solucionar esta incidencia, pero seguro, serán muchos más.

Hoy, Jueves 2 de Noviembre, a las 19:00 hora de España, en vivo y en directo, en este mismo artículo, te contaremos todos los detalles, además de nuestras secciones habituales, seguridad, actualizaciones y novedades de la comunidad.

Noticias WordPress en Español, todos los martes y jueves, a las 19:00 horas en directo, con Antonio Postigo @hoystreaming y Pedro Santos @hostfusion

Todos los videos de anteriores programas los tienes disponibles en la sección de Noticias WordPress en Español y también en nuestro Podcast.

Una idea original de Host-Fusion.Com tu proveedor de hosting para WordPress de confianza y HoyStreaming.comTu ventana digital al mundo.

20% descuento en hosting para WordPress en Host-Fusion.com