WordPress 2.8.2, também em Português

O WordPress 2.8.2 corrige uma vulnerabilidade de XSS. Os URL dos autores de comentários não estavam a ser devidamente formatados quando apresentados no painel, o que poderia ser usado para um exploit redireccionando o utilizador para outro site. Faça download da versão 2.8.2 ou actualize o seu WordPress automáticamente a partir do painel.

[Fonte: Comunidade Portuguesa de WordPress]

Disponível WordPress 2.6.5, também em português

Está disponível o WordPress 2.6.5, também em português. Esta versão corrige um problema de segurança e três bugs, e a actualização é recomendada.

O problema de segurança é um exploit de XSS, descoberto por Jeremias Reith, que felizmente só afecta servidores virtuais em Apache 2.x. Para quem estiver interessado apenas na correcção desse problema basta copiar os ficheiros wp-includes/feed.php e wp-includes/version.php do pacote da versão 2.6.5.

A 2.6.5 contém ainda pequenas correcções de três bugs; a primeira impede que seja acidentalmente salvada meta-informação de um post numa revisão. A segunda impede o protocolo XML-RPC ler tipos de posts incorrectos. A terceira adiciona alguma validação do ID de utilizador durante eliminações em massa. Para obter uma lista de arquivos alterados, consulte o changeset da 2.6.3 para a 2.6.5.

Note que se está a saltar a versão 2.6.4, para evitar confusões com uma falsa 2.6.4 hackada que andou por aí. Para que fique claro, não há nem nunca houve uma versão 2.6.4 do WordPress.

WordPress 2.6.3

Foi descoberta uma falha na versão 2.6.2 que afecta a funções que mostram feeds no painel, o que deu azo à versão 2.6.3. Como são só dois ficheiros, ainda não criámos um pacote para download (coisa que havemos de fazer, para a sequência ficar completa). Assim, quem quiser actualizar basta fazer o download destes dois ficheiros para a directoria wp-includes:

wp-includes/class-snoopy.php
wp-includes/version.php

WordPress 2.6.2 em pt_PT já disponível

Como provavelmente já se terão apercebido pelos vossos paineis, foi lançado o WordPress 2.6.2. Agora está também disponível a versão 2.6.2 pt_PT (sem alterações na tradução)

As correcções centram-se sobretudo em dois patches de segurança para resolver falhas do PHP  na geração de números aleatórios (que afecta a força da criptografia das passwords) e no no comprimento do campo verificação na respectiva tabela da base de dados. Não são própriamente bugs de segurança no WordPress, per se mas sim de PHP e MySQL.

O Stefan Esser tem uma explicação mais detalhada da função PHP mt_srand () e do bug do MySQL ao truncar colunas.

Também é importante notar que estes problemas não afectam apenas o WordPress – muitas outras aplicações baseadas em PHP e MySQL podem estar vulneráveis a problemas futuros, caso não se examine e corrija o  respectivo código.

[Fonte: WordPress Blog]

WordPress 2.5.1

Está disponível a versão 2.5.1 (em pt_PT, sim, sim). Inclui algumas correcções, melhorias de desempenho e uma importante correcção de segurança. Recomendamos que actualize imediatamente, particularmente se o seu blog permite registos. A vulnerabilidade ainda não é conhecida do grande público. Ainda…

Além da correção de segurança, a versão 2.5.1 contém a correcção de alguns bugs. Se quiser só as correcções de segurança, basta substituir os ficheiros wp-includes/pluggable.php, wp-admin/includes/media.php e wp-admin/media.php, com os da versão 2.5.1.

Se fizer o download da release 2.5.1 completa, ganhará ainda para cima de 70 correcções. A versão 2.5.1 foi pensada para corrigir os bugs mais irritantes e para melhorar o desempenho. Algumas melhorias:

  • Melhoria de desempenho do Painel, página de Escrever Artigos e de Edição de Comentários
  • Melhoria de desempenho para quem tem muitas categorias
  • Correcções à biblioteca de mídia
  • Actualização do TinyMCE para a versão 3.0.7
  • Correcções dos Widgets de administração
  • Correcções na visualização com o IE

A vida secreta dos blogs

Já desde a versão 2.5, o ficheiro wp-config.php define uma constante chamada SECRET_KEY que permite introduzir um nível adicional aleatório nas funções criptográficas que são usadas para criar e ler cookies com o WordPress. Visite este link que foi criado para gerar uma chave secreta única para a sua instalação (a frase gerada é única e aleatória a cada carregamento da página). Ter esta constante no seu ficheiro de configuração ajuda a manter o seu blog seguro.

10 Medidas de Segurança a Implementar no Seu Blog WordPress

Uma vez que somos muito fáceis de desafiar (e não temos vida própria :)), resolvemos levar à letra on repto lançado pelo 2.0 Webmania, e traduzir e adaptar o artigo original do Noupe sobre segurança no WordPress.Assim apresentamos 10 dicas de segurança relativamente fáceis de implementar numa instalação de WordPress. Quem tiver mais dicas, sinta-se à vontade para as partilhar

Fonte: WordPress-PT