WordPress 4.9.2 corrige el agujero de seguridad de XSS y se lanza la versión 2.0 de Gutenberg

Bienvenidos amigos a la primera entrega de una nueva función aquí en WP Superstars:

¡Las noticias!

Es posible que no hayamos inventado el concepto de entregar noticias a los lectores interesados ​​(aunque creo que somos uno de los primeros en hacerlo), pero planeamos proporcionar un resumen curado de las mejores noticias de WordPress para cada mes en el futuro.

Si desea mantenerse al día con las últimas noticias de WordPress pero no tiene tiempo para hacer el trabajo usted mismo, ¡esto es para usted!

Entremos, comenzando con un tema con el que pronto se familiarizará …

Gutenberg 2.0 sigue avanzando hacia WordPress 5.0

No sería un resumen de noticias de WordPress sin una gran dosis del próximo editor de Gutenberg.

Si eres nuevo en el juego, el editor de Gutenberg es un rediseño completo del editor que usas para escribir publicaciones y páginas de WordPress. No es solo un cambio estético. Redefinirá la forma en que crea contenido al cambiar a algo llamado edición «basada en bloques».

En la noticia más importante de este mes, vimos un hito importante para Gutenberg: la versión 2.0. Puede leer la lista completa (y larga) de cambios en la publicación sobre el lanzamiento de Gutenberg 2.0.

Algunas de mis adiciones de funciones favoritas son:

  • La capacidad de pegar imágenes copiadas directamente en Gutenberg
  • Un botón para copiar todo el documento, que es esencial debido a la naturaleza basada en bloques de Gutenberg
  • Un mejor sistema para publicar publicaciones

En el frente del desarrollo, WP Tavern también ha compilado «Una colección de conversaciones, recursos y videos de Gutenberg».

Es una gran publicación que tiene toneladas de discusiones y tutoriales en profundidad para ayudarlo a aprovechar al máximo Gutenberg. Asegúrese de leer los comentarios también, ya que muchas personas inteligentes han contribuido con enlaces adicionales que también vale la pena revisar.

Eso es todo para Gutenberg News este mes – pero esta definitivamente no será la última vez que verá a Gutenberg en nuestros resúmenes de noticias.

Ahora puede probar Gutenberg sin instalarlo en su propio sitio web

Esto no cuenta como noticia. Pero de acuerdo con Gutenberg News, ¡definitivamente es algo nuevo que vale la pena compartir!

Dado que el editor de Gutenberg todavía está en versión beta, instalarlo en un sitio activo no es una buena idea. Pero para los usuarios ocasionales que no tienen sitios de desarrollo locales, este estado beta hace que sea difícil jugar con el nuevo editor.

¡No más!

Tom J Nowell armó una excelente implementación de interfaz de usuario de Gutenberg que permite a cualquiera jugar con el editor desde cualquier navegador.

Para probarlo, ve aquí y explora el nombre apropiado Frontenberg.

WordPress 4.9.2 corrige una vulnerabilidad XSS y otros errores

El 16 de enero recibimos una nueva versión de seguridad y mantenimiento en forma de WordPress 4.9.2.

No se agregaron nuevas funciones, pero se corrigieron una vulnerabilidad XSS y otros 21 errores.

Como en todas Versiones de seguridad y mantenimiento, si aún no ha actualizado su sitio web, tienes que actualizar inmediatamente.

Aparte de las correcciones de seguridad y mantenimiento, no veremos otras características nuevas hasta que WordPress 5.0 se envíe con el editor Gutenberg.

Los ataques a la cadena de suministro de WordPress son un problema real

En la segunda mitad de 2017, vimos un aumento en las acciones maliciosas conocidas como «ataques a la cadena de suministro».

En este tipo de ataque, el actor malintencionado se inserta en una relación ya de confianza entre el autor del software y el cliente.

Así que hemos visto que esto se aplica a WordPress:

Un actor malintencionado compra un complemento previamente confiable de WordPress.org e inserta una puerta trasera en el código del complemento. Luego, miles de personas que usan este complemento lo actualizan felizmente porque el complemento funcionó perfectamente hasta antes de la compra y el otro original Autor del complemento (antes de la venta) fue un actor de confianza.

¿Cuál es el beneficio para el actor malicioso? Hasta ahora los hemos visto usar la puerta trasera para:

  • Insertar vínculos de retroceso con fines de SEO
  • Mina criptomoneda (Esta es la desventaja de estos altos precios de las criptomonedas)

Wordfence hizo un gran trabajo identificando e informando este problema. Su artículo más reciente, WordPress Supply Chain Attacks: An Emerging Threat es una necesidad absoluta.

Especifica:

  • Una explicación más profunda de qué son los ataques a la cadena de suministro
  • Por qué los actores malintencionados quieren apuntar a WordPress con este tipo de ataques
  • Por qué los autores de complementos confiables están dispuestos a vender sus complementos
  • Cómo puede proteger su sitio web de tales ataques

Si tales exploits continúan, me imagino que también veremos algunos cambios en WordPress.org.

Una posible solución sería someter a los complementos que han cambiado de autor recientemente a una verificación adicional para que a los actores malintencionados les resulte más difícil comprar complementos que antes eran confiables.

Si desea aprender aún más sobre el tema, también le recomiendo que consulte algunos de estos artículos anteriores:

Por qué los complementos de seguridad todo en uno no son necesariamente todo lo que necesita para mantener su sitio web seguro

He estado usando WordPress durante unos diez años.

En ese tiempo, he creado suficientes sitios web que tendría que usar los dedos de los pies para seguir contando.

Y en esos diez años y esos diez más lugares diferentes, Nunca he sido hackeado antes.

Puede decir: “¡Felicitaciones Colin! ¿Pero cuál es el punto? «

Bueno, el punto es que, en esta década de seguridad, nunca he usado un complemento de seguridad todo en uno.

Y eso me lleva al siguiente artículo que quiero compartir: Aún no utilizo complementos para la seguridad de Mika Epstein. Es breve, pero refleja muchas cosas que siento según mi propia experiencia con WordPress.

Mika argumenta, en parte, que los complementos de seguridad todo en uno hacen que las personas se sientan complacientes y pierdan la vigilancia vital que se necesita para mantener un sitio web seguro.

No creo que el último punto sea que todos deberían dejar de usar complementos de seguridad, ya que la situación no es tan simple.

Pero creo que la publicación de Mika es un buen recordatorio de que la seguridad es un conjunto de principios y prácticas que debes conocer constantemente, no es solo algo para activar un complemento y olvidarte.

Una colección de interesantes reseñas anuales

Para la mayoría de la gente, el Año Nuevo significa celebraciones y propósitos.

Pero para los de la comunidad de WordPress, un nuevo año significa solo una cosa:

Año en las publicaciones de blog de revisión de empresas de WordPress.

Éstos son dos de mis favoritos:

Y cuando tu quieras realmente profundo Como recordatorio de todo lo que sucedió en 2017, consulte WPWeekly 2017 Year in Review de WP Tavern.

Un 2018 exitoso con WordPress

Si una cosa es cierta, es esta:

Para la mayoría de los usuarios de WordPress, 2018 será el cambio más grande en WordPress que hayan visto (si, volveré a Gutenberg).

A la larga, creo que el cambio será algo bueno. Pero a corto plazo, tanto los usuarios ocasionales como los desarrolladores tendrán que adaptarse.

Enciéndalo, siga aprendiendo y disfrute de lo que WordPress 2018 tiene para ofrecer.

Eso es todo para las noticias. ¡Vuelve el próximo mes para ver más cosas geniales!

Deja un comentario

Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos y para mostrarte publicidad relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación. Al hacer clic en el botón Aceptar, aceptas el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Más información
Privacidad