WordPress 5.6: El bueno y lo malo

WordPress 5.6 ha sido lanzado con decenas de mejoras y nuevas funciones. Con el nombre en código Simone (en honor a la cantante Nina Simone), WordPress 5.6 ha recibido una respuesta positiva, posiblemente porque no rompió nada.

La esencia de las novedades de WordPress 5.6 se puede describir como en su mayoría buena, algo meh y un problema que es feo.

El bueno

Habilitar el complemento jQuery Migrate actualizado

Las dos últimas actualizaciones fueron algo inestables debido a que millones de sitios web se rompieron o se actualizaron accidentalmente con una versión beta de WordPress.

El mayor problema potencial fue con las obsoletas y actualizaciones de jQuery Migrate.

WordPress 5.6 logró evitar los problemas del plugin jQuery heredado experimentados con la actualización de WordPress 5.5 en agosto de 2020. Esa fue la actualización que hizo que los sitios web dejaran de funcionar de innumerables e inesperadas formas.

La razón por la que se evitaron esos problemas esta vez es porque WordPress 5.6 actualizó el complemento Habilitar jQuery Migrate para evitar que los sitios web se vuelvan a bloquear.

Cuando el complemento está activo y el editor está conectado, el complemento detectará jQuery desactualizado y lo registrará, presentando una pantalla en la parte superior de la página para señalar el problema.

El complemento detecta problemas de jQuery de una página a otra a medida que las páginas se envían al editor mientras navega por el sitio.

Existe una opción para realizar un registro similar utilizando las páginas que se muestran a los usuarios que navegan por el sitio, pero WordPress advierte que esto podría crear una carga significativa en el servidor y recomienda no activarlo.

Hay una página de registro de obsolescencia que muestra los complementos responsables de las advertencias. Después de actualizar un complemento, el editor puede borrar el registro anterior y reanudar la navegación nuevamente para ver si el complemento Habilitar jQuery Migrate detecta problemas adicionales.

WordPress declaró :

“Con lo anterior en mente, el complemento Enable jQuery Migrate Helper se actualizó para el lanzamiento de WordPress 5.6, esto proporciona una ruta de degradación temporal para ejecutar jQuery heredado en un sitio cuando sea necesario.

La razón por la que esto se considera una solución temporal es que la versión anterior de jQuery ya no recibe actualizaciones de seguridad y la versión heredada no se parcheará manualmente si ocurre algo que justifique actualizaciones “.

WordPress 5.6 se envía con su primera versión de WordPress que es (algo) compatible con PHP 8, la versión más nueva de PHP que se lanzó en noviembre. Sin embargo, esta compatibilidad debe considerarse compatible con beta.

Debido a que las noticias de compatibilidad de WordPress PHP 8 logran ser buenas y menos que buenas noticias, terminan siendo … meh.

Como se indica en la guía oficial de compatibilidad con WordPress 5.6 y PHP 8 :

“WordPress Core pretende ser compatible con PHP 8.0 en la versión 5.6 (actualmente programada para el 8 de diciembre de 2020).

… Se ha realizado un esfuerzo significativo para hacer que WordPress 5.6 sea compatible con PHP 8 por sí solo, pero es muy probable que todavía queden problemas por descubrir ”.

Los editores deben probar primero antes de actualizar su versión de PHP porque es muy probable que los temas y complementos en este momento no estén listos para PHP 8.

Es por eso que el anuncio de WordPress enmarcó la compatibilidad con PHP 8 como uno de los primeros pasos, debido a posibles errores de compatibilidad y porque es posible que los temas y complementos aún no sean compatibles.

Según WordPress:

“5.6 marca los primeros pasos hacia la compatibilidad con WordPress Core para PHP 8.”

Lo malo

Una de las nuevas características de la versión 5.6 de la que el equipo de WordPress está legítimamente orgulloso también contiene una desventaja potencial que, si se explota por completo, podría conducir a la adquisición total del sitio.

WP 5.6 presenta la autenticación de API REST con la función de contraseñas de aplicaciones

La función de contraseñas de aplicaciones permite que aplicaciones de terceros se conecten a su sitio web y agreguen funciones.

Según WordPress :

“Gracias a la nueva función de autorización de Contraseñas de aplicaciones de la API, las aplicaciones de terceros pueden conectarse a su sitio de manera transparente y segura. Esta nueva función de API REST le permite ver qué aplicaciones se conectan a su sitio y controlar lo que hacen. “

Sin embargo, de acuerdo con el editor de complementos de seguridad de WordPress Wordfence, se podría usar un ataque de ingeniería social contra un administrador del sitio para obtener credenciales de administrador.

La ingeniería social es un método de piratería que se basa en engañar para proporcionar información o acceso.

Por ejemplo, el phishing es una forma de ingeniería social en la que un atacante puede enviar un correo electrónico a una víctima haciéndose pasar por su banco, solicitando que restablezca sus credenciales de inicio de sesión.

Un enlace en el correo electrónico conduce a un sitio de imitación que se parece a un sitio web de un banco donde la víctima ingresa su nombre de usuario y contraseña, que luego se recopila para obtener acceso a su cuenta bancaria.

Wordfence describe un ataque de ingeniería social en el que un delincuente podría crear una aplicación que se haga pasar por una aplicación confiable, lo que lleva al editor del sitio a emitir una contraseña y permitir una conexión segura a su sitio web. Wordfence describe la complejidad de este ataque como ” trivial “.

Según Wordfence:

“Un atacante podría engañar al propietario de un sitio para que haga clic en un enlace solicitando una contraseña de aplicación, nombrando su aplicación maliciosa como quisiera …

Dado que las contraseñas de aplicaciones funcionan con los permisos del usuario que las generó, un atacante podría usar esto para obtener el control de un sitio web “.

Wordfence produjo un video que describe y demuestra el potencial de un ataque de ingeniería social que compromete la nueva función de contraseñas de aplicaciones:

La descripción de Wordfence de las contraseñas de aplicaciones de WordPress presenta vulnerabilidad a la ingeniería social

Descripción general de WordPress 5.6

WordPress 5.6 es un gran éxito. Hay muchas cosas que están bien con eso. Si bien no es un avance importante, tiene mejoras incrementales en la funcionalidad del diseño del sitio y mejoras en la funcionalidad.