WordPress 2.6.2 está hoy en la calle.

¿Motivos? Un pequeño fallo que encontró Stefan Esser mientras utilizaba la versión anterior. Ese pequeño fallo hace que, en instalaciones que permitan el registro libre de usuarios, se pueda realizar inyección de código y registrar tu usuario con permisos de administrador.

Para los más curiosos, podéis hacer una instalación de 2.6.1 permitiendo registro libre y probar el código que Steffan ha colgado en su web.

Aprovechando la actualización, se ha arreglado un bug que hacía que dos generadores de números aleatorios funcionaran de forma distinta dependiendo de la versión de PHP instalada. Estos generadores son los usados para identificar las sesiones en instalaciones de foros, por ejemplo, y pueden hacer que nuestro sistema no sea lo suficientemente seguro, dejando puertas abiertas.

Aunque ya advierten en la página oficial de WordPress de que un ataque es prácticamente imposible, nos instan a actualizar por seguridad.

Si no tenemos un sistema multiusuario como el que comentábamos anteriormente, y tenemos control de nuestro hosting, podemos arreglar el bug de los generadores de números aleatorios con el complemento de PHP Suhosin [guía de instalación].

Si nuestra instalación no tiene ni registro de usuarios libres ni aplicaciones adjuntas que necesiten de sesiones de usuario (foros), podemos dejar pasar esta actualización. A no ser que queramos que desaparezca el aviso de nueva actualización de nuestra barra de tareas.