Si tu blog está en WordPress y admite el registro público de usuarios es muy importante que actualices a la versión 2.6.2. Este nuevo lanzamiento corrige una importante vulnerabilidad llamada «SQL Column Truncation» que permite a un intruso resetar la clave de un usuario, como explican en Suspekt.
¿Cómo funciona? Básicamente que un intruso puede «probar» con ingresar una parte de un nombre de usuario y, si es válida, hacer que el sistema le genere una clave aleatoria. No solamente WordPress es vulnerable a esta técnica, otras aplicaciones basadas en PHP también podrían sufrirla.
Como siempre, hay cientos de pequeños cambios y correcciones con la nueva versión. Si no querés actualizar toda tu instalación, este el listado de archivos que cambian respecto entre la versión 2.6.1 y la 2.6.2:
- wp-login.php
- wp-includes/post.php
- wp-includes/version.php
- wp-includes/query.php
- wp-includes/formatting.php
- wp-includes/pluggable.php
- wp-includes/widgets.php
- wp-settings.php
- wp-admin/includes/template.php
- wp-admin/includes/image.php
- wp-admin/import/textpattern.php
- wp-admin/css/press-this-ie.css