WordPress lança atualização para corrigir falhas de segurança

O WordPress anunciou a correção de quatro vulnerabilidades encontradas no seu próprio núcleo, identificadas por sua equipe de desenvolvimento, na última semana de dezembro. Classificadas em uma escala de criticidade que vai de 1 a 10, metade das falhas foram classificadas em nível 8, próximas ao maior patamar de risco.

Apesar da implementação de melhorias e correção de problemas contínuos, o WordPress também pode ser uma porta de entrada para a exploração de vulnerabilidades. 

Uma simples falha de segurança é o suficiente para tornar mais de 16 milhões de sites suscetíveis a ataques como malwares e ransomwares.

Vale citar que o WordPress é uma das plataformas open-source mais usadas do mercado, e é usada por mais de um terço da web.

As vulnerabilidades encontradas

Veja abaixo as quatro vulnerabilidades identificadas, acompanhadas de seus níveis de risco.

1. SQL injection devido à falta de sanitização de dados em WP_Meta_Query (nota 7.4).
2. Authenticated Object Injection em Multisites (nota 6.6).
3. Stored Cross Site Scripting (XSS) por meio de usuários autenticados. Usuários com poucos privilégios (como autores) no núcleo do WordPress são capazes de executar JavaScript/executar ataques XSS armazenados, o que pode afetar usuários com altos privilégios (nota 8.0).
4. SQL injection por meio de WP_Query. Devido à higienização inadequada, pode haver casos em que a SQL injection é possível por meio de plugins ou temas que o utilizam de uma determinada maneira (nota 8.0).

A maior parte delas foi identificada pela primeira vez por analistas de segurança externos, que reportaram as notificações para que a equipe do WordPress pudesse corrigi-las, antes que fossem disseminadas nos computadores de seus usuários.

A nova versão de segurança do WordPress 5.8.3

Essas quatro vulnerabilidades de segurança afetam as versões do WordPress entre 3.7 e 5.8. Por isso, a recomendação da própria equipe é a de que seus usuários certifiquem-se, imediatamente, de que sua instalação do WordPress esteja atualizada para a versão mais recente, atualmente 5.8.3.

Esta versão apresenta as quatro correções de segurança, apesar de ter um caráter de ciclo curto. O próximo grande lançamento será a versão 5.9, que já está no estágio release candidate. Todas as versões desde o WordPress 3.7 também foram atualizadas.

Como atualizar

A princípio, é possível imaginar que a atualização manual possa ser uma tarefa complexa para aqueles pouco experientes na área da programação, mas isso pode ser feito com apenas um clique na própria página principal. Basta visitar seu Painel, escolher a opção “Atualizações” e clicar em “Atualizar agora”.

Se você utiliza sites que já oferecem atualizações automáticas em segundo plano não é preciso se preocupar, pois eles já iniciaram o processo. Mas é preciso ter atenção, pois existem vários critérios a serem analisados antes de fazer uma atualização no WordPress.

O que fazer antes

É recomendado que qualquer mudança em seu site seja feita primeiramente em um ambiente de testes, para evitar futuros problemas na página.

• Realize um backup de seu banco de dados e arquivos do site (como imagens).
• Certifique-se de que o seu host realmente é compatível com a nova versão.
• Cheque também a compatibilidade dos plugins que você usa.
• Anote a versão atual assim que terminar uma atualização.

Depois da atualização, não deixe de fazer testes para ter certeza de que todos os recursos do site estão funcionando normalmente.