WordPress actualizará automáticamente versiones inseguras, y es muy mala/buena idea

Una de las mayores polémicas que han surgido este verano del 2019 ha sido la propuesta por parte del equipo de core de actualizar automáticamente todas las versiones de WordPress anteriores a la 4.7 como mínimo.

La propuesta

Ponte un poco de música mientras lo lees

Tras unos cuantos bandazos y muchísimas quejas y contraindicaciones expuestas por decenas de usuarios de la comunidad, la propuesta ha quedado – de momento – así:

  1. Publicar una entrada en wordpress.org/news para informar (a todo el que lo lea o esté suscrito) sobre la novedad, lo antes posible. Aún no se sabe una fecha pero estará en poco más de un mes.
  2. Las versiones 3.7.30 - 4.6.15:
    1. Permitirán a los administradores optar por no hacer actualizaciones mayores haciendo clic en un botón.
    2. Enviarán un correo electrónico a todos los administradores/editores del sitio para pedirles que actualicen a la última versión, y se les informará de que su sitio se actualizará automáticamente a la versión 3.8 próximamente si no optan por impedirlo (el botón). Se enlazará a documentación detallada, y se incluirá también un enlace por si quieren desde el mismo anular la actualización automática . Se les advertirá sobre las implicaciones de seguridad de optar por anular la actualización automática. Los editores no podrán instalar directamente la actualización, pero podrán avisar a los administradores, y ellos si pueden hacerlo.
    3. Añadirán un aviso de administración dentro de wp-admin, que contenga información similar a la del correo electrónico. El aviso lo verán todos los usuarios.
  3. Pruebas de actualización automática de la versión 3.7 a la 3.8 en sitios de prueba, por si hay que hacer mejoras necesarias al sistema de actualización automática.
    1. Se enviará un correo electrónico al propietario del sitio sobre la modificación necesaria si falla la actualización automática y se volverá a la versión 3.7. El correo electrónico debería ser una fuerte advertencia, haciendo saber que su sitio podría no actualizarse a una versión segura, y que debería actualizar manualmente de inmediato. Si no actualizan, es casi garantizado que el sitio podría ser hackeado.
    2. De igual modo, si falla la actualización automática y el usuario se queda atascado en una versión insegura, se debería mostrar un aviso de administración en wp-admin con una advertencia similar a la del correo electrónico aquí citado. Esto reemplazaría el banner pre-lanzamiento de la versión 3.7.30descrito arriba.
    3. Se podría buscar la manera de hacer una evaluación informada sobre la posibilidad de un error indetectable, y abortar la actualización en esos sitios, para minimizar el riesgo de romper algo. En esos casos, se enviaría al administrador la misma advertencia por correo electrónico y el mismo aviso de administración, haciéndole saber que está atascados en una versión insegura, y que tiene que actualizar manualmente de inmediato..
  4. Actualizar el manual del Core con detalles sobre el nuevo proceso, para que todo el mundo sepa cómo lanzar actualizaciones automáticas.
  5. Publicar un documento en WordPress.org estableciendo explícitamente una política de compatibilidad, para evitar confusiones.
    1. Solo se dará soporte y se garantizará que recibirá actualizaciones de seguridad la última versión mayor.
    2. No habrá versiones de soporte a largo plazo (LTS), y todas las versiones anteriores a la actual serán versiones de fin de vida del producto (EOL).
    3. Se hará un esfuerzo para aportar correcciones de seguridad a las 5 versiones anteriores, pero sin garantía de que se harán, ya que a veces no es ni factible ni práctico.
    4. Se recomendará a todo el mundo que siempre tenga la última versión mayor.
  6. Días T-30: La versión 3.7.31:
    1. Enviará a todos los administradores y editores un segundo correo electrónico similar al primero, haciéndoles saber que su sitio se actualizará automáticamente a la versión 3.8 en 30-45 días, e incluirá instrucciones sobre cómo optar por anular la actualización automática, etc.
    2. Aviso de actualizar a la versión 3.7.30 en wp-admin que incluirá el intervalo de fechas hasta la actualización inminente.
    3. Incluirá cualquier mejora necesaria del sistema de actualización automática, como está descrito en el paso 3.
  7. Lanzamiento de las actualizaciones automáticas en fases:
    1. El proceso general se lanzará en un grupo de sitios con la versión 3.7, luego se esperará una semana para ver si se informa de errores. Si ocurre algo inesperado se pausará el proceso para corregir esos problemas, y luego se reiniciará.
    2. Días T-0: Lanzamiento a un 2% de sitios con la versión 3.7.
    3. Días T+7: Lanzamiento a otro 18%.
    4. Días T+14: Lanzamiento al 80% restante.
  8. Si todo va bien, el proceso se repetirá actualizando los sitios con la versión 3.8 a la 3.9, y así sucesivamente hasta que todos los sitios estén ejecutando la versión 4.7. Algunos de estos pasos se pueden automatizar para hacer este proceso más sencillo en un futuro.

El exceso de trabajo como argumento

La base de la propuesta es que conlleva un enorme trabajo hacer actualizaciones de todas las versiones, y sería más rápido y asumible tener que hacer actualizaciones de seguridad solamente a las versiones con 2 años de antigüedad como máximo.

La justificación subyacente es la seguridad, pero en realidad a lo que se alude es a la carga de trabajo que supone tener que mantener tantas versiones de WordPress.

Pues si la seguridad es «el objetivo», no pasa nada por seguir ofreciendo actualizaciones de seguridad para versiones antiguas, sería seguro, cumpliría com el objetivo.

El problema surge porque es cierto que requiere un mayor esfuerzo personal y técnico mantener todas esas versiones, es mucho más sencillo mantener menos versiones.

Y aquí tenemos una de las debilidades (y a la vez grandeza) de las comunidades Open Source, el trabajo voluntario. Pues aunque haya empresas como Automattic, Human Made, SiteGround y otras muchas que donan tiempo de sus empleados al desarrollo de WordPress, la realidad es que la constancia en las dinámicas de trabajo voluntario es complicada.

Un ejemplo lo tienes en la espantada que dio Joost de Valk tras su flamante nombramiento como jefe de marketing, tras comprobar que aquí no vale el ordeno y mando, aquí todo depende … de muchas cosas (disponibilidad, transversalidad de proyectos, etc.)

Ventajas de la propuesta

Siendo WordPress el software que está detrás de más del 30% de todo Internet, actualizar miles, quizás millones de webs automáticamente a versiones seguras haría que Internet sea un sitio más seguro para todos.

Oportunidad de marketing

Esta acción, bien aprovechada y divulgada, sería una oportunidad impagable de promocionar aún más WordPress, en su «compromiso por hacer una Internet más segura«, al actualizar automáticamente, y sin intervención del usuario, miles/millones de webs.

De hecho, creo que es algo que se debe hacer de manera obligatoria, también en medios generalistas, por las implicaciones que más abajo explico en los inconvenientes de la propuesta.

Todo el mundo debe saber de antemano que WordPress va a liar la mundial, actualizando a capón miles/millones de webs sin la intervención necesaria de los administradores. De hecho debería abrir cabeceras en los telediarios, evitaría muchos problemas (si sigues leyendo lo entenderás).

Consciencia de la importancia de la seguridad

Aunque muchos usuarios no optasen por permitir la actualización automática, muchos administradores recibirían correos y avisos que les harían conscientes de los problemas de seguridad que conlleva mantener webs sin actualizar.

Oportunidades de negocio

Todos los profesionales que se dedican al mantenimiento web encontrarían una punta de oportunidad de venta de servicios en cuando los administradores de webs sin actualizar empezasen a recibir avisos de que su web es insegura.

Igualmente, muchos profesionales que se dedican a la seguridad web verían un incremento de petición de sus servicios.

Inconvenientes de la propuesta

RGPD exige a los responsables de protección de datos una serie de protocolos sobre la información de brechas y/o vulnerabilidades de seguridad que los perpetradores de la propuesta no han querido atender, a pesar de que muchos usuarios así se lo han/hemos avisado.

No quiero decir que no se pueda hacer, pero los administradores de las webs y los responsables de protección de datos tendrán la obligación de informar a los usuarios de las webs afectadas de:

  • La vulnerabilidad previa de no tener actualizada la web.
  • La actualización a realizar (o no) y las implicaciones sobre las cuentas de usuarios.

Incompatibilidades y miles de webs WordPress caídas

Aunque se «cita» en el punto 3.3 de la propuesta, la realidad es que es absolutamente imposible detectar previamente las seguras incompatibilidades que surgirán en las actualizaciones automáticas (implícitas) con el resto de código de las miles/millones de webs afectadas.

Miles de plugins y temas que ya no tienen actualizaciones pero aún funcionan, plugins y temas sin actualizar, códigos personalizados añadidos expresamente para la web, etc., provocarán casi irremediablemente que se rompan oleadas de webs creadas con WordPress.

Correos y avisos que no ve nadie

Claro, podrías pensar que nada de lo anterior pasará si los administradores de las webs actúan cuando vean el aviso de administración o reciban los correos electrónicos previos a la actualización automática.

Pero la realidad es que hay miles de webs en las que los propietarios no reciben correos, ni entran nunca a la administración, simplemente existen y sirven a un propósito, por simple que sea, como mostrar la información de contacto de la empresa.

Si quieres un ejemplo de la multitud de propietarios de webs que no tienen acceso al correo de administración, no saben cuál es, o simplemente ya no existe ese correo, solo tienes que ver la ingente cantidad de incidencias que ha provocado el sistema de salud del sitio incorporado en WordPress 5.2, que dejó a montones de administradores de webs sin poder acceder al escritorio de su sitio.

A alguien se le ha olvidado que no todas las webs tienen un administrador responsable y activo. De hecho son minoría quienes lo tienen.

Lo más habitual es que alguien cree o encargue la web, la deje a su gusto y se siga dedicando a su negocio. De eso vivimos los que nos dedicamos a crear webs.

Y sí, lo ideal sería que el propietario fuese responsable y se ocupase de la administración y mantenimiento de su web, o encargase el trabajo a un profesional, pero aquí estamos hablando de realidades, y la realidad es que no es así, hasta la fecha.

¡A ver, responsable, quiero al responsable ya!

Habrá denuncias, no te quepa duda, va a pasar.

Da igual todos los argumentos razonables e intenciones loables que haya tras la propuesta de actualizar automáticamente todas las versiones inseguras de WordPress, la realidad es que se romperán montones de webs. Un ejemplo lo tienes en las miles de webs que cayeron por la incompatibilidad de Visual Composer con la actualización menor a WordPress 4.5.

Y eso sí que será visible para los propietarios de las webs que se caigan, y buscarán un responsable.

Luego explícales que «la comunidad ha decidido», y «que es por una Internet segura», el propietario de un sitio que funcionaba y que, de repente su web ha dejado de funcionar porque alguien en la otra punta del planeta ha decidido ejecutar un proceso en su web sin su permiso explícito, puede iniciar un proceso legal que, con toda seguridad, en países europeos ganaría sin duda, quizás también en otros muchos.

¿En qué quedamos entonces?

Pues, según va la cosa, la propuesta va para adelante, así que sí, habrá actualizaciones automáticas implícitas de versiones mayores de WordPress.

Sinceramente, espero que el botón de anular la actualización sea bien grande, que los correos sean claros, y sobre todo, ruego porque haya una enorme campaña de marketing en medios generalistas que informe de la barbaridad que va a hacer WordPress sin intervención explícita del usuario.

Sería la manera de convertir un problema gordo en una oportunidad, y de paso evitar denuncias.

¿Y tú, qué opinas de esta movida?

La entrada WordPress actualizará automáticamente versiones inseguras, y es muy mala/buena idea la publicó primero Fernando Tellado en Ayuda WordPress. No copies contenido, no dice nada bueno de ti a tus lectores.

Guía rápida de WordPress para usuarios de Tumblr

Ante la reciente adquisición de Tumblr por parte de Automattic, la empresa de uno de los creadores de WordPress, Matt Mullenweg, y dueño de Automattic, la empresa que ofrece el servicio de blogs en WordPress.com bajo el modelo freemium, es muy probable que, como usuario de Tumblr, tengas dudas de qué va a pasar con tu tumblr, tus contenidos, si volverá el porno, qué es WordPress, y montón de cosas más.

En este artículo te daré información rápida, y espero que clara, de todo eso y más.

¿Qué es WordPress?

WordPress es un software, una aplicación, para crear webs, blogs y tiendas online, que se puede descargar desde la web WordPress.org.

Open Source y GPL

Su principal particularidad, que lo diferencia de Tumblr, es que es de código abierto, y puedes descargar WordPress de manera libre y gratuita para instalarlo en cualquier alojamiento, o incluso en tu ordenador localmente.

La licencia GPL bajo la que se distribuye permite la descarga, modificación, difusión y libre disposición de WordPress en cualquier circunstancia, y es solo una de sus libertades.

¿No es Tumblr también free?

En realidad no … del todo. Puedes registrarte gratis en Tumblr (de hecho aún es posible a pesar de la compra), y puedes crear y compartir contenido en tu tumblr, pero no puedes descargar o modificar el código de Tumblr, solo puedes acceder a él como servicio.

Tampoco es gratuito del todo, porque las plantillas y otras funcionalidades avanzadas solo están accesibles pagando.

¿Y WordPress.com entonces?

WordPress.com es un software como servicio (SaaS), igual que Tumblr. Puedes registrarte en wordpress.com para crear un blog, añadir contenido, compartirlo, pero es un servicio limitado, que ofrece funcionalidades avanzadas mediante pagos adicionales, no es un WordPress completo y libre.

A pesar de que wordpress.com utiliza WordPress (recuerda, el software, libre y gratuito), en realidad ofrece una versión ya instalada, modificada, con funcionalidades limitadas, desbloqueables pagando.


Tumblr es similar a WordPress.com, una versión limitada de #WordPress. Es software como servicio de modelo freemium
Clic para tuitear


¿En qué se parecen Tumblr y WordPress.com?

WordPress.com, como servicio que es, se parece mucho al modelo de Tumblr.

Ambos son una especie de sitio de comunidad de blogs, en los que te registras, empiezas a crear y compartir contenidos, tanto de la misma comunidad como externos, ofreciendo parte del servicio gratis y parte de pago.

Tanto uno como otro crean un blog personal, en el que aparecen los contenidos que creas y compartes, al que puedes añadir nuevas páginas.

Igualmente, hay identificación en dos pasos y ajustes de privacidad similares.

También encontrarás en WordPress.com el modo de personalizar tu blog, con mucha más flexibilidad que en Tumblr, y más plantillas gratuitas, en WordPress llamadas temas.

¿En qué se diferencian Tumblr y WordPress.com?

La diferencia principal es en el tipo de software que ofrecen.

Mientras Tumblr es un servicio de microblogging, algo muy parecido a Twitter en la forma de utilizarlo, WordPress.com es más una herramienta de creación de blogs y webs.

También en WordPress.com puedes publicar enlaces, imágenes, vídeos, etc., pero desde dentro de un editor por defecto, no desde la página de inicio del servicio/comunidad como haces en Tumblr.

Añadir contenido en Tumblr

Añadir contenido en WordPress.com

El elemento básico de creación en WordPress.com (y en WordPress) es la entrada, y ya ahí es donde añades contenidos, dentro de las entradas.

Otra diferencia fundamental es que la página de inicio de WordPress.com no es una cronología de contenidos al estilo de Twitter o Pinterest como es Tumblr.

En el escritorio de WordPress.com hay una sección denominada «Lector» que es donde puedes ver contenido de otros sitios, a los que – igual que en Tumblr – debes seguir previamente.

¿Perderé mi tumblr?

No es nada probable, de hecho es muy improbable. El mismo Matt Mullenweg ha indicado que no se eliminará ningún contenido legítimo, o sea, que cumpla con la licencia de contenidos de Tumblr y/o WordPress.com.

¿Volverá el contenido porno?

No, eso tenlo claro. La licencia de contenidos de WordPress.com es muy parecida a la de Tumblr, y no contempla la publicación de contenido pornográfico en «su» servicio.

¿Y si quiero compartir porno? Algo que es legal en mi país

No podrás hacerlo en WordPress.com, como hasta ahora no podías hacerlo en Tumblr.

Lo que sí puedes hacer es crear tu propio sitio en un alojamiento que tú contrates por tu cuenta, y ahí sí, instalar WordPress, el original, libre y gratuito.

En tu propio espacio, no dependiente de compañías estadounidenses como Tumblr o Automattic, puedes publicar y compartir cualquier contenido que sea legal en tu país.

Con un software libre como WordPress y tu propio alojamiento solo dependes del cumplimiento de las leyes de tu país, no de las condiciones de servicio – cambiantes – impuestas por empresas de otros países y culturas.

¿Tendré que aprender a usar WordPress, o WordPress.com, lo que sea eso?

Pues de momento no. Nadie ha dicho nada al respecto … aún.

De hecho ahora mismo puedes crear una nueva cuenta en Tumblr.com y el servicio es igual que siempre.

Según declaraciones hechas por Matt Mullenweg, parece que su idea es que Tumblr sea como la red social de Automattic, o de WordPress.com si lo prefieres así.

Lo que he entendido sobre el modelo que ronda su cabeza es que cuando te registres en Tumblr o WordPress.com puedas obtener un blog gratis, no sé si de uno u otro o ambos, y luego ofrece actualizaciones de pago para, por ejemplo, añadir una tienda online, sistema de suscripciones, etc.

Mi predicción es que el servicio base será la comunidad y el tumblr, y luego ahí podrás añadir un blog/web más completo, usando las funcionalidades de WordPress.com, y a lo que podrás añadir servicios de pago, como más espacio, ecommerce, subir tus propios temas (como se llaman las plantillas en WordPress), modificar código CSS, etc.

El usuario de Tumblr es mucho más activo que el de WordPress.com. Precisamente por su carácter y funcionalidad de comunidad, o red social, los tumblrs actualizan su espacio a diario, mientras que en WordPress.com, al ser más un blog, la mayoría de los usuarios solo actualizan su espacio mensualmente.

Para cualquier empresa actual que ofrezca software como servicio, la clave está en las actualizaciones, pues en los modelos freemium viven principalmente de la publicidad, y cuanto más actualizaciones haya mejor, más impresiones, más clics, más conversión.

¡He visto la luz! ¡Me paso a WordPress, al completo, el libre, el auténtico!

Si, después de lo visto ya te has dado cuenta de que en servicios como Tumblr o WordPress.com tu espacio personal no es tuyo, de que no eres libre de publicar lo que te dé la real gana mientras dependas de un servicio con funcionalidades de prestado, que pueden cambiar cualquier día sin pedirte permiso, igual lo mejor es que apuestes por tener tu sitio propio, con un WordPress completo, libre y gratuito 100%.

Y para eso nada mejor que contratar un alojamiento (hosting) en tu país, o el que quieras, e instales ahí WordPress, el completo, libre, abierto y gratuito.

A partir de ese momento tus contenidos solo dependerán de ti y del cumplimiento de las leyes de donde tengas alojado el contenido, sin depender de las cambiantes políticas de contenido de las empresas estadounidenses.

¡Buena noticia! ¡Puedes importar los contenidos de tu tumblr a WordPress!

Además, WordPress dispone de un importador de Tumblr a WordPress muy sencillo. Los pasos son los siguientes:

En WordPress.com

Ve a Herramientas > Importar. Ahí encontrarás esperando abajo del todo el importador de Tumblr.

Solo tienes que seguir los pasos que te indica y luego pulsar el botón de importar.

En tu propio WordPress, libre

El primer paso es el mismo que en WordPress.com, ve a Herramientas > Importar, salvo que el plugin (conector) no está instalado, pero es solo un clic.

Luego ejecuta el importador y, en la siguiente pantalla, tienes que conectarte con la API de Tumblr, para poder conectar con tu blog de Tumblr.

El primer paso es crear una aplicación en la API de Tumblr, aquí: https://www.tumblr.com/oauth/apps

En esa web pulsa el botón de «+ Registrar aplicación»

Lo siguiente que te pide es que le pongas nombre y describas la aplicación, aquí pon lo que quieras.

Pero es importante que completes los campos llamados «Página web de la aplicación» y «URL de retrollamada» con la URL que te aparece en la pantalla del importador de Tumblr a WordPress, que no será ni más ni menos que la URL de tu sitio WordPress.

Luego pulsa en botón de abajo que pone «Registrar«.

Te devolverá a la pantalla anterior, y bajo el nombre de tu aplicación, verás dos claves:

  • OAuth Consumer Key
  • Secret Key

Vuelve a la pantalla del importador de WordPress e introduce esas claves en los campos correspondientes.

A continuación pulsa el botón de conectar a Tumblr.

En la siguiente pantalla haz clic en el enlace «Autorizar la aplicación«.

Y ahí ya verás la ventana de autorización, igual que la que salía en el importador desde WordPress.com. Simplemente permite la conexión y te devolverá al importador.

Aquí ya verás el botón para importar tu blog Tumblr, también igual que en WordPress.com.

Sé que son más pasos que en WordPress.com, pero es tan sencillo como seguir esta guía, y la diferencia entre un WordPress completo, libre y abierto, en tu propio alojamiento, y un WordPress.com es abismal.

Resumiendo ¿me beneficia o perjudica la compra de Tumblr?

Pues depende…

Si eres usuario de WordPress.com te beneficia enormemente, porque refuerza la posición de Automattic y pronto tendrás nuevas funcionalidades, y la verdad es que Tumblr mola y mucho 🙂

Y si eres usuario de Tumblr te toca esperar, pero creo que también te beneficia. Al menos no perderás lo que tienes y conocerás el mundo WordPress, aunque sea en un entorno limitado como es WordPress.com, lo que te preparará para la aplicación de creación web líder en el mundo.

Además, que con la racha que llevaba Tumblr podría haber acabado en cualquier mano, seguramente peor, y podrían haber incluso cerrado el servicio, algo que Automattic no tiene previsto hacer.

Si tienes alguna duda ahí abajo tienes la sección de comentarios. Estaré encantado de ayudarte en lo que pueda.

La entrada Guía rápida de WordPress para usuarios de Tumblr la publicó primero Fernando Tellado en Ayuda WordPress. No copies contenido, no dice nada bueno de ti a tus lectores.

¡Alerta de seguridad!: Ataque organizado a sitios WordPress a través de plugins

Un grupo de hackers está explotando vulnerabilidades en más de diez plugins WordPress, creando cuentas de administrador falsas en sitios WordPress por toda la red.

Los ataques son un escalado de una campaña de hackeo que empezó hace un mes.

En los anteriores ataques los hackers atacaron vulnerabilidades en los mismos plugins para poder inyectar código malintencionado en los sitios hackeados.

El objetivo de este código era mostrar anuncios emergentes o redirigir a los visitantes a otras webs.

Sin embargo, hace dos semanas, el mismo grupo de hackers que estaba detrás de estos ataques, cambió de táctica y modificó el código inyectado en los sitios comprometidos.

En vez de simplemente insertar anuncios o redirecciones, el código también ejecutaba una función con la que probar si el visitante del sitio podía crear cuentas de usuario en el sitio, vamos, si el usuario tenía perfil de administrador de WordPress.

Simplemente, el código esperaba a que el administrador accediese a sus webs, y cuando lo hacía, el código creaba una nueva cuenta de administrador llamada wpservices, usando la dirección de email wpservices@yandex.com, y la contraseña w0rdpr3ss.

Al crear estas cuentas, el grupo de hackers tras esta campaña cambió de táctica para, de este modo, explotar los sitios para obtener ingresos económicos, y de paso añadir puertas traseras para usarlas en el futuro con otros fines.

Estos ataques aprovechan vulnerabilidades de los siguientes plugins:

En la lista de plugins tienes el enlace a su respectiva vulnerabilidad, para que puedas revisar a qué versión tienes que actualizar para estar a salvo, si usas alguno de ellos.

Una vez actualices los plugins, revisa en la lista de usuarios si existe algún administrador raro, como el que te he puesto arriba, o cualquier otro que no debería estar ahí. Si encuentras alguno bórralo sin piedad.

Y si tienes más problemas, como código inyectado o comportamientos extraños, contrata un profesional que limpie tu instalación y no pongas ya más excusas para tener un servicio de mantenimiento WordPress profesional que te evite estos problemas en el futuro.

La entrada ¡Alerta de seguridad!: Ataque organizado a sitios WordPress a través de plugins la publicó primero Fernando Tellado en Ayuda WordPress. No copies contenido, no dice nada bueno de ti a tus lectores.