Foi hoje lançada a versão WordPress 5.0.1, além da WordPress 4.9.9. Esta é uma actualização de segurança para todas as versões desde a 3.7 e é recomendado que os sites sejam actualizados no mais breve espaço de tempo possível.
Categoria: Segurança
WordPress 3.5.2 já disponível em Português
Esta é a segunda release de manutenção, que corrige 12 bugs. Estas correcções aplicam-se a todas as versões anteriores, pelo que recomendamos vivamente que actualize os sues sites imediatamente. A equipa de segurança do WordPress corrigiu ainda sete problemas de segurança e tornou-a ainda mais robusta.
Para mais pormenores, consulte o anúncio oficial.
WordPress 3.4.2 disponível em Português
A versão 3.4.2 do WordPress 3.4.2, de manutenção e segurança, já está disponível para descarregar.
Depois de quase 15 milhões de downloads (!) da versão 3.4, lançada há três meses, foram identificados e corrigidos alguns bugs irritantes , incluindo:
- Alguns problemas em browsers mais antigos na área de administração
- Um problema ao pré-visualizar correctamente um tema
- Melhoramentos na compatibilidade de plugins com o editor visual
- Problemas de paginação com algumas estruturas de ligações permanentes de categorias
- Erros nos fornecedores oEmbed e trackbacks
- Impedir que as imagens de cabeçalho de tamanho indevido possam ser carregadas
A versão 3.4.2 corrige também alguns problemas de segurança e implementa mais rotinas de endurecimento da segurança. As vulnerabilidades incluíam o potencial escalar de privilégios e um erro que afeta instala instalações multisite com utilizadores não confiáveis. Estes problemas foram descobertas e corrigidas pela equipe de segurança do WordPress.
Descarregue a versão 3.4.2 agora ou visite Painel → Actualizações no seu site, para actualizar agora.
WordPress 3.2.1 disponível em Português
Depois de mais de um milhão de descarregamentos da versão 3.2, já está disponível a versão 3.2.1. Esta release de manutenção corrige um problema de incompatibilidade de servidor relacionado com JSON que infelizmente afectou algumas instalações, assim como algums problemas no design do novo painel e no tema Twenty Eleven. Se já actualizou para 3.2, esta actualização será ainda mais rápida do que o costume, graças à nova funcionalidade que permite só actualizar os ficheiros que mudaram, em vez de substituir toda a instalação.
Consulte a lista de todas as alteraçõs aqui.
Descarregue a versão 3.2.1 ou actualize directamente a partir do seu painel.
WordPress 3.0.5 em Português
Já está disponível a versão 3.0.5 em Português. Trata-se de uma actualização que reforça a segurança de todas as versões anteriores. Se a sua instalação tem contas de utilizadores em que não confia, esta actualização é obrigatória.
As correcções e melhorias são:
- Dois pequenos problemas de segurança que poderiam permitir a utilizadores com perfil de Colaborador ou Autor ter acessos indevidos ao site.
- Um problema de permissões que poderia permitir a utilizadores com o perfil de Autor ver conteúdos que não lhes pertence, tal como posts privados ou rascunhos.
- Duas melhorias adicionais; uma melhora a segurança de plugins que não usam correctamente a API de segurança e outra fortalece ainda mais uma vulnerabilidade corrigida na versão anterior.
Obrigado ao Nils Jueneman e Saddy por reportarem em privado as suas descobertas em security@wordpress.org.
Faça download da versão 3.0.5 ou actualize automaticamente a partir do seu painel.
Crítico: WordPress 3.0.4 em Português
A versão 3.0.4 já disponível na página de actualização do seu painel ou então para baixar, aqui.
É uma actualização muito importante para aplicar o mais rápidamente possível, porque corrige um bug de segurança na biblioteca de saneamento de HTML, chamada KSES .
Esta versão foi classificada como “crítica”. Percebemos que uma actualização durante as férias não é o mais divertido, mas esta é uma daquelas em que vale a pena largar o bolo-rei por uns minutos. Já agora, e em sintonia com espírito natalício, pense em ajudar seus amigos também.
Se é um especialista ou interessado segurança, gostaríamos que desse um vista de olhos a este changeset, para rever a actualização. Já le dedicámos muita reflexão e discussão, mas como a questão é tão dentro do core, queremos o maior número de cabeças possível a olharem para ele
Obrigado ao Mauro Gentile e ao Cave Jon (duck_) que for os primeiros a descobrir e a alertar para estas vulnerabilidades de XSS.
WordPress 3.0.3, actualização de segurança
Já está disponível o WordPress 3.0.3, que é uma actualização de segurança para todas as versões anteriores do WordPress.
Esta versão corrige problemas no interface de publicação remota (XML-RPC) que, em certas circunstâncias, permitia a autores e colaboradores, editar, publicar ou eliminar posts indevidamente.
Estes problemas afetam apenas os sites que têm a publicação remota activada.
A publicação remota está desactivada por omissão, mas pode ter permitido a utilização de um cliente de publicação remota, como por exemplo uma das aplicações móveis para WordPress. Pode verificar essas configurações em “Configurações → Escrita” no seu painel.
Faça o download da versão 3.0.3 em Português ou actualize automaticamente a partir do menu “Actualizações” no painel do seu site.
WordPress 2.9.2, também em Português
Thomas Mackenzie alertou para um problema em que utilizadores registados podem ter acesso a posts no lixo, pertencentes a outros autores. Se tem utilizadores potencialamente não confiáveis inscritos no seu blog e posts privados no lixo, actualize já para a versão 2.9.2. Como sempre, pode fazê-lo a partir do menu Ferramentas > Actualizar.
A versão em Português está disponível para download no sítio do costume.
WordPress 2.8.6 – Actualização de Segurança
A versão 2.8.6 corrige dois problemas de segurança que podem ser explorados utilizadores registados, com sessão iniciada e que têm permissões de publicação. Se não tem confiança completa nos autores do seu blog, a actualização para a versão 2.8.6 é recomendada.
O primeiro problema é uma vulnerabilidade de XSS na funcionalidade Press This, descoberta por Benjamin Flesch. O segundo problema, descoberto por Dawid Golunski, é um problema com o saneamento de nomes de ficheiros em upload, que pode ser explorado com determinadas configurações do Apache. Obrigado ao Benjamin e Dawid por identificarem e reportarem as vulnerabilidades.
WordPress 2.8.4 – Actualização de Segurança
Foi descoberta uma vulnerabilidade: uma URL especialmente formatada poderia permitir a um atacante contornar uma verificação de segurança para autenticar um utilizador que solicitasse uma redefinição da password. Como resultado, a primeira conta sem uma chave na base de dados (normalmente a conta admin) teria de redefinir a sua password e uma nova senha seria enviada para o respectivo proprietário. Isto não permite, mesmo assim, o acesso remoto, mas é muito chato.
O problema foi corrigido e foram testadas as correções e procurados outros problemas. A versão 2.8.4, que corrige todos os problemas conhecidos já está disponível para download (e actualização automática) e é altamente recomendado para todos os utilizadores do WordPress.