• Eliminació de l’evaluació de la funció permalink_structure.
• Eliminació d’algunes crides a create_function() que estaven duplicades i carregàven el sistema.
• Pedaç per a evitar la denegació de servei (DOS) utilitzant trackbacks.
• Eliminació de la pujada d’arxius de forma no filtrada. Es pot activar manualment.
• Afegides algunes seqüències d’escapament (formateig de cadenes de caràcters) per tal d’evitar errors.
• Retirada de dos importadors antics. Un d’ells l’antic fetch_rss().
• Solució d’altres petits problemes.

Podeu trobar una explicació detallada sobre l’actualització del WordPress a la versió 2.8.5 a Maestros del Web. Us en recomanem l’actualització com abans millor, utilitzant l’autoactualitzador del vostre WordPress.

Com a mesura extra, podeu passar el WordPress Exploit Scanner, una extensió que revisa tant base de dades com arxius de la nostra instal·lació de WordPress per tal d’eliminar codi sospitós.

Nosaltres ja hem actualitzat, i en principi tot funciona correctament. De tota manera, si veieu alguna cosa rara, ja sabeu

$charset = $_POST['charset'];

I canviar-la per…

$charset = str_replace(”,”,””,$_POST['charset']);
if(is_array($charset)) { exit; }

Amb això ho solucionarem. Cal anotar que, encara que no tinguem activats els trackbacks, aquesta vulnerabilitat ens afecta igual, de manera que és altament recomanable aplicar la solució com abans millor.

Font: Agujero de seguridad muy grave en WordPress via Ayuda WordPress.

http://elmeubloc.cat/la-meva-entrada/${eval(base64_decode($_SERVER[HTTP_REFERER]))}

No és gaire fàcil adonar-se’n, però per comprovar si heu etsta hackejats comproveu els enllaços permanents. Si han canviat, la primera cosa que hauríeu de fer és eliminar l’administrador creat pels atacants. No el podreu veure (és un usuari fantasma), però sabreu que hi és perquè el comptador d’usuaris administradors no es correspondrà amb el nombre d’usuaris que veureu. Per tal d’eliminar-lo, editeu l’últim usuari creat al bloc i copieu l’URL on esteu:

http://elmeubloc.cat/wp-admin/user-edit.php?user_id=4&wp_http_referer=%2Fwp-admin%2Fusers.php

En l’exemple, l’últim usuari creat té la ID 4. Per tal d’eliminar aquest administrador fantasma, simplement canviem aquest 4 per un 5, és a dir, l’usuari administrador serà, segurament, l’últim en ser creat i, per tant, tindrà una ID que segueix al darrer que veiem nosaltres. Per eliminar-lo, cal donar-li una adreça electrònica (fictícia).

Per tornar a l’estructura d’enllaços permanents que teníeu, simplement aneu a Opcions -> Enllaços Permanents i elimineu la part de ${eval(base64_decode($_SERVER[HTTP_REFERER]))}.

Una altra manera de trobar els administradors fantasma és fent servir l’extensió que ha creat Sumolari. Només cal dir-li quants usuaris administradors tenim, i ell solet ens donarà una llista dels possibles administradors fantasma. Cal tenir en compte, però, que si nosaltres afegim més tard un altre administrador, l’extensió també el marcarà com a possible fantasma.

Una vegada haguem solucionat això, el que s’ha de comprovar és si tenim arxius que no haurien de ser a la nostra instal·lació de WordPress. També es pot reinstal·lar el WordPress si abans esborreu tots els arxius de totes les carpetes, excepte la de wp-content… Però això ja és una decisió personal.

Com sempre, teniu la versió en català disponible i una llista de canvis al Trac, entre els que cal destacar:

• S’ha reduït l’ús de memòria del tauler d’administració, que podia fer que la pàgina excedís el límit i es quedés a mig carregar
• L’editor visual a vegades no es veia per motius de compressió
• Seguretat addicional per a protegir-nos d’extensions que no gestionin bé els permisos d’usuaris
• S’ha solucionat un problema amb el guardat automàtic que tenien alguns usuaris d’IE (això passa per fer-lo servir, és clar)
• S’ha eliminat CodePress (el ressaltador de codi de l’editor de temes i extensions) perquè a alguns usuaris se’ls veia molt malament.Segons sembla, hi ha plans de canviar a un altre ressaltador per la versió 2.9. CodeMirror podria ser l’escollit…

Una llàstima, això del CodePress. Pel què sembla, donava problemes de compatibilitat amb Safari i Chrome, a part d’altres problemes amb Opera.

Espero que aquesta versió hagi solucionat els problemes que teníeu!