Cuando todo parecía normalizarse con la liberación de WordPress 4.5.1, y descansábamos de los sustos llevados al actualizar a WordPress 4.5, principalmente con constructores como Visual Composer, Divi Builder, y otros plugins, ahora nos encontramos, en plena vorágine del Quondos Record 2016, una versión de seguridad de WordPress 4.5.2 a la que tenemos que actualizar nuestros sitios.
¡Vuelta al ruedo!, se ha liberado WordPress 4.5.2 como versión de seguridad, y una vez más toca plantearse actualizar, no sin unos matices.
Si trabajas con constructores como Visual Composer, plugins como WP Super Cache o temas que llevan tiempo sin actualizar ¡precaución amigo usuario! y no actualices sin hacer primero una copia de seguridad. Mejor si pruebas primero la actualización en una sandbox ¿vale? ...luego no digas que no avisamos!!
¿Que ha pasado en la 4.5.2?
Pues que se han corregido 2 problemas de seguridad importantes, uno de ellos llevaba un tiempo afectando a versiones 4.2.x y el otro surgió a raíz de la versión 4.5.1.
Parece ser que las versiones de WordPress 4.5.1 y anteriores están afectadas por cierta vulnerabilidad a través la librería de WordPress Plupload (un clásico en versiones anteriores en las que ya dio problemas) utilizada para subir archivos.
Las versiones de WordPress 4.2 a 4.5.1 son vulnerables a XSS indirecto (reflejado) utilizando URIs especialmente diseñadas a través de MediaElement.js, una librería de terceros utilizada para reproductores multimedia. MediaElement.js y Plupload también han publicado actualizaciones de corrección de estos problemas.
¡No actualices!
Consideraciones que debes tener presentes antes de actualizar:
- Realiza una copia de seguridad antes de actualizar.
- Comprueba que tu tema en uso es compatible con la nueva versión de WordPress.
- Si usas un constructor, asegurarte bien que es compatible con la versión nueva.
- Deshabilita aquellos plugins que no utilices (lo mejor sería que los desinstales).
- ¿Utilizas plugins de seguridad? (Wordfence, BruteProtec, etc) ¡desactivalos!
- Comprueba que tus plugins activos son compatibles con la nueva versión.
- ¿Has hecho cambios en tu tema?, documéntalos y si es posible usa temas hijo.
- ¿Trabajas con plugins como Move Login, etc.?, desactívalos, ya tendrás tiempo de usarlos después.
- ¿Trabajas con Visual Composer como constructor? ¡ojo! no hay confirmación de que los chicos de WPBakery Inc. hayan actualizado el constructor para compatibilizarlo con WordPress 4.5.2 ¡prueba antes en un clon o una sandbox!
- Si trabajas con WP Super Cache es posible que experimentes un Error 500 tras actualizar. Deshabilita dicho plugin antes de actualizar o prueba en una sandbox primero la actualización. Una alternativa es que uses W3 Total Cache que no presenta conflictos con WordPress 4.5.2
- Usa el sentido común, si no tienes claro algo, pregunta o busca en Internet.
Actualizaciones:
Si accedes al dashboard deberías ver este aviso en Escritorio.
Si ves este mensaje en el apartado Actualizaciones será señal de que tienes las actualizaciones automáticas activadas y el core (núcleo) de WordPress se habrá actualizado al detectar la disponibilidad de la nueva versión.
Si por el contrario ves este aviso:
Accede a Escritorio, Actualizaciones y previa copia de seguridad procede a actualizar tu sitio web a esta nueva versión.
Si tras actualizar tu sitio web, no ves la página, antes de enviar un ticket a tu Departamento de Soporte, te recomiendo que limpies la caché de tu navegador y verifiques si sigue activo el "modo mantenimiento" que suele ser la causa habitual de que no veas la web.
En WordPress 4.5.2 (nativo desde la versión 3.7) ¡WordPress se encarga de mantener tu CMS actualizado por ti de forma automática! a menos que lo tengas deshabilitado claro.
En el siguiente vídeo puedes ver que actualizar entre versiones es muy sencillo
Como siempre, cuando nuevas versiones son liberadas, la recomendación es que actualices para garantizar la seguridad y estabilidad de tu web WordPress.