Sí, ALT1040 fue hackeado hace unas horas. El problema es WordPress 2.5, horas atrás cuando se anunció la versión 2.5.1 también se avisó de una vulnerabilidad, de la cual se aprovecharon en este mismo blog.

La solución es sencilla: actualizar a WordPress 2.5.1 — en caso que no haya tiempo para hacer el proceso de actualización completo, los problemas de seguridad se pueden arreglar descargando y reemplazando las versiones corregidas de wp-includes/pluggable.php, wp-admin/includes/media.php y wp-admin/media.php.

El hack consiste en obtener acceso de administrador al sistema y hacer cambios, como las plantillas, publicar nuevos posts o cmabiar la contraseña de administrador. Todos estos problemas ya han sido solucionados y las cosas han vuelto, aparentemente a la normalidad.

Gracias a todos los que nos escribieron por email avisándonos del problema. Gracias especialmente a Santiago Correidora por su ayuda.

No es ningún secreto que WordPress es bastante pesado y bajo un número de visitas relativamente alto puede llegar a sobrecargar un servidor al punto de dejarlo totalmente inhabilitado.

Jeff Atwood de Coding Horror escribe acerca del problema y llega al punto de describir a WP como un “destructor de CPUs”, puede ser un poco exagerado pero sus palabras son totalmente ciertas:

No es un problema nuevo, personalmente pienso que es completamente irresponsable que un sistema de cache como WP-Cache no haya sido incluido como parte del core de WordPress, ni si quiera pienso en una instalación de WP sin el plugin instalado. Aún así, de acuerdo a un podcast Matt Mullenweg deshecha el problema y lo atribuye a mala configuración de servidores.

Una instalación por default de WordPress hace 20 consultas a la base de datos cada vez que actualizas la página aunque no haya cambiado ningún elemento en esta. ¿No te parece una mala idea? Yo lo llamaría programación descuidada.

No podría estar más de acuerdo, a veces resulta difícil y sobre todo caro mantener los 16 blogs de la red y mantenerlos todos rápidos, requerimos de muchísima memoria, un servidor web sumamente liviano y varios niveles de cache (desde WP-Cache o 1BlogCacher hasta X-Cache) para mantener una velocidad aceptable.

Supuestamente WordPress 2.5 tenía muchas mejoras en desempeño de los blogs, cosa que no siento que haya sucedido; tal vez es hora de dejar de hacerle tanto caso a Zeldman (y su terrible rediseño de la interfaz), pensar en menos características nuevas y buscar a toda costa una forma de hacer que WordPress sea más ligero, y use de maneras optimizadas los recursos del servidor.

Aún así considero que WordPress es el mejor sistema de actualización de blogs y que la comunidad que lo rodea es invaluable. Estoy seguro que este tipo de problemas se irán corrigiendo (esperemos que sea pronto).

Vía: Daring Fireball

WordPress 2.5 fue lanzado durante el fin de semana pasado y aunque es bastante estable, trae una carga grande de novedades y mejoras ha resultado relativamente problemático para algunos. Dos días después de instalarlo en todos los blogs de Hipertextual y con la experiencia de 16 blogs actualizados y una multitud de bloggers usándolo, recomiendo:

Sí actualizar:

• Si tienes mucho tiempo para dedicar a resolver asuntos técnicos.
• Si estás solo en tu blog o tus compañeros se adaptan a cambios con facilidad.
• Si tienes versiones estándar de Apache, PHP, MySQL. No tendrás problema alguno de compatibilidad.
• Si tienes pocos plugins.

No actualizar

• Si funciones importantes de tu blog depende de plugins, algunos no están listos para la nueva versión.
• Si hay muchos bloggers participando en el blog, es totalmente diferente y cuesta acostumbrarse a la nueva versión.
• Tienes poco tiempo para dedicarle a la resolución de problemas técnicos.
• Tienes instalado lighttpd 1.4, que por algún motivo bastante estúpido requiere lighttpd 1.5 que está en beta para algunas funciones importantes del blog. Grave error. No todos usamos Apache.

Una traducción al español ya está disponible y siempre nos queda el foro de discusión oficial para resolver dudas.

El sistema de publicación de weblogs más famoso está teniendo pequeñas fricciones con la blogosfera ante varios retrasos en el lanzamiento de la nueva versión de WordPress.

A principios de enero contábamos que la versión 2.4 no sería lanzada y esperarían hasta el 10 de marzo para publicar la 2.5 …supuestamente, al final no pasó nada y la blogosfera está reaccionando.

Por ejemplo, Manuel Almeida de Mangas Verdes escribe:

Nos toca esperar, of course. Pero a veces uno tiene la impresión de que Matt y compañía no cuidan demasiado bien a sus miles de usuarios, tanto a la hora de lanzar versiones que ‘caducan’ a los dos días por bugs incontrolados, como por no acudir a la cita en la fecha por ellos mismos fijada y sin mayor explicación.

Pero el post más duro viene de la competencia, Six Apart publicó un post aprovechando los retrasos y llamando a bloggers a mudarse a Movable Type, algo que Matt Mullenweg describe como un movimiento desesperado y sucio.

¿Consideras que Automattic (la empresa detrás de WordPress) debería estar más en contacto con sus usuarios?

El 24 de enero de 2003 un muy joven Matt Mullenweg explicaba en su blog que tenía un dilema, el sistema que usaba para publicar su blog no había sido actualizado en meses y el autor había desaparecido.

Le gustaba Textpattern pero no estaba de acuerdo con la licencia (cerrada) que tenía, pero Cafelog, que era lo que usaba se ofrecía bajo una GPL por lo cual podía crear un fork o una versión derivada e incluir una serie de nuevas características.

Su idea era crear algo con la flexibilidad de Movable Type, análisis sintáctico de TextPattern, la sencillez de Blogger, y la facilidad de modificación de Cafelog/b2, el resultado fue, WordPress, que hoy es el sistema de publicación de blogs más popular y más usado, inclusive entre los top 100 blogs.

Yo adopté WordPress en Febrero 2005, meses antes de lanzar Hipertextual o si quiera pensar en hacer una red de blogs comerciales seriamente, tuve que comerme mis palabras de fanboy y entender que el modelo cerrado que adoptó Six Apart los terminó perjudicando muchísimo, ahora Movable Type también tiene una licencia abierta pero no parece tener mucho efecto.

Casi tres años más tarde estoy muy contento con lo que WordPress ha logrado durante todo este tiempo, es la plataforma de elección para Hipertextual, se creó una empresa derivada, recibieron una fuerte financiación y un inmenso sistema de hospedaje gratuito de blogs. Aún tengo tres quejas: lo pesado que puede llegar a ser para el servidor, su interfaz de administración sigue siendo fea y no se pueden crear varios blogs en una misma instalación como en Movable Type (no confundir con lo que WordPress MU hace, que es diferente), al parecer dos de estos problemas serán solucionados en la versión 2.5 que será lanzada en marzo.

¡Feliz cumpleaños WordPress!

La comunidad de usuarios de WordPress se levantó hoy con una sorpresa: la versión 2.4 de WordPress no será lanzada en enero como se prometió, habrá que esperar dos meses más a la versión 2.5 la razón son los grandes cambios que se están produciendo en el código y en el panel de administración.

aNieto2k considera que la razón por la cual están atrasando en realidad tiene que ver con la mala acogida que ha tenido el pseudo-rediseño de la interfaz de administración, mientras que Manuel Almeida agradece la realentización en lanzamiento de versiones.

WordPress 2.5 será lanzado a principios de marzo …supuestamente.