Categoria: Segurança

WordPress 4.9.1 – Atualização de segurança e manutenção

Publicado em por Felipe Elia.Categorias Lançamentos, SegurançaTags

O WordPress 4.9.1 já está disponível. Essa é uma atualização de segurança e manutenção para todas as versões a partir do WordPress 3.7. Encorajamos que você atualize seus sites imediatamente.

As versões 4.9 e anteriores do WordPress foram afetadas por quatro problemas de segurança que podem ser explorados como parte de um ataque multivetor. Como parte do compromisso da equipe dos arquivos básicos de aumentar a segurança, os seguintes ajustes foram implementados na versão 4.9.1:

  1. Uso de um hash gerado apropriadamente para a chave newbloguser ao invés de uma determinada substring.
  2. Tratamento dos atributos de idiomas nos elementos html.
  3. Verificação do escape dos fechamentos dos atributos em feeds RSS e Atom.
  4. Remoção da habilidade de subir arquivos JavaScript para usuários que não tenham a capacidade unfiltered_html.

Agradecemos a todos os que identificaram e relataram esses problemas pelo modo responsável como isso foi feito: Rahul Pratap Singh e John Blackbourn.

Outros onze erros foram resolvidos no WordPress 4.9.1. Os mais importantes foram:

  • Problemas relacionados ao cache de arquivos de templates nos temas.
  • Um erro de JavaScript no MediaElement que não permitia que os usuários de determinados idiomas subissem arquivos de mídia.
  • A impossibilidade de editar arquivos de temas e plugins em servidores Windows.

Para saber mais, acesse este post com mais informações sobre todos os problemas ajustados na versão 4.9.1.

Baixe o WordPress 4.9.1 ou visite o Painel → Atualizações e simplesmente clique em “Atualizar agora”. Sites com suporte a atualizações automáticas em segundo plano já começaram a se atualizar.

Agradecemos a todos que contribuíram para o WordPress 4.9.1:

Alain Schlesser, Andrea Fercia, Angelika Reisiger, Blobfolio, bobbingwide, Chetan Prajapati, Dion Hulse, Dominik Schilling (ocean90), edo888, Erich Munz, Felix Arntz, Florian TIAR, Gary Pendergast, Igor Benic, Jeff Farthing, Jeffrey Paul, jeremyescott, Joe McGill, John Blackbourn, johnpgreen, Kelly Dwan, lenasterg, Marius L. J., Mel Choyce, Mário Valney , natacado, odyssey, precies, Saša, Sergey Biryukov, and Weston Ruter.

WordPress agora está na HackerOne

Publicado em por Marco Andrei Kichalowsky.Categorias SegurançaDeixe um comentário em WordPress agora está na HackerOne

O WordPress cresceu muito nos últimos 13 anos e agora ele está por trás de mais de 28% dos 10 milhões de sites de maior destaque na Web. Durante este crescimento, cada equipe do WordPress trabalhou com afinco para melhorar continuamente suas ferramentas e processos. Hoje, a Equipe de Segurança do WordPress tem o prazer de anunciar que agora o WordPress está oficialmente na HackerOne!

HackerOne é uma plataforma criada para que pesquisadores em segurança possam comunicar a nossa equipe as vulnerabilidades por eles encontradas, de maneira segura e responsável. Ela dispõe de ferramentas que melhoram a qualidade e consistência da comunicação com estes pesquisadores, e permite reduzir o tempo gasto em responder problemas mais comuns já relatados. Isso libera nossa equipe para despender mais tempo trabalhando em melhorias na segurança do WordPress.

A equipe de segurança do WordPress tem trabalhado neste projeto já faz algum tempo. Nikolay Bachiyski iniciou a equipe de trabalho há um pouco mais de um ano. O projeto rodou como um programa privado enquanto nós desenvolvíamos nossos procedimentos e processos, e estamos entusiasmados em finalmente torná-lo público.

Com o anúncio do programa WordPress HackerOne, também apresentamos o programa de recompensas Bug Bounties (ou “recompensas por bugs”, em Português). O Bug Bounties nos permite recompensar aqueles nos comunicam bugs e brechas encontradas, além de nos auxiliar a manter mais seguro nossos produtos e infraestrutura. Nós já distribuímos mais de US$ 3.700 em recompensas a sete diferentes pesquisadores! Ficamos agradecidos a Automattic por pagar estas recompensas em nome do projeto WordPress.

O programa e as recompensas se estendem a todos os nossos projetos, incluindo WordPress, BuddyPress, bbPress, GlotPress e WP-CLI, bem como todos os nossos websites, incluindo WordPress.org, bbPress.org, WordCamp.org, BuddyPress.org e GlotPress.org.