Actualização de segurança para WordPress

Olá! Se é a primeira vez que visitas o Web Milionário podes querer subscrever a RSS feed para receberes as actualizações do blog. Junta-te a mais de 3000 leitores!

Actualização de segurança é uma expressão que nenhum webmaster gosta de ouvir. Significa que até agora os nossos sites estavam vulneráveis a ataques exteriores. É o caso de todos os blogs WordPress até à versão 2.8.3.

Se tens um blog em WordPress, como é o meu caso, e não instalaste ainda a versão 2.8.4, qualquer pessoa pode fazer reset à tua password de administrador. É extremamente simples e basta ter acesso a um browser.

Se estavas a adiar um upgrade ao teu WordPress, se calhar está na altura de o fazer. Desde que o problema foi divulgado, é natural que muitos aprendizes de hacker já estejam a tentar invadir todos os blogs que encontrarem desactualizados.

Se por acaso recebeste um mail indicativo de reset da password e não sabes porquê, então já foste vitíma do bug. Não há razão para alarme porque o brincalhão não consegue ter acesso à password. Mas pode tornar-se muito irritante se for feito repetidamente.

WordPress 2.8.4

Passaram apenas 2 meses desde que fiz o upgrade para a versão 2.8 do WordPress e já sairam mais 4 versões! A este ritmo não vou escrever um post sempre que sai uma nova versão, mas a mais recente tem que ser divulgada o mais possível.

Esta actualização do código do WordPress é uma actualização de segurança, ou seja, corrige uma falha que punha em risco a segurança dos nossos blogs. Não há mais nada digno de registo nesta versão, o objectivo é só tapar o buraco que tinha ficado aberto nas versões anteriores.

A falha de segurança

O WordPress permite que se faça reset à password de administrador, em caso de esquecimento. Infelizmente estava aberta uma porta para qualquer pessoa executar o reset da password, sem passar pela confirmação do email.

Esta é uma falha com pouca gravidade porque é o próprio administrador que recebe a nova password no seu email. De qualquer maneira, eu não quero ninguém a brincar com a minha password.

No pior caso possível, um atacante podia passar o dia todo a fazer reset da password, tornando impossível a manutenção normal do blog.

Como fazer o upgrade

Nas versões mais recentes do WordPress, o upgrade tornou-se extremamente simples. Basta clicar num botão e inserir os dados de FTP, o resto é automático. No entanto há alguns cuidados a ter, devido ao enorme número de plugins desenvolvidos por terceiros.

Como não sabemos se todos os plugins vão ser compatíveis com a nova versão, o melhor é fazer um backup geral do site antes de começar o processo. Depois desligamos os plugins, fazemos o upgrade, e ligamos um de cada vez. Em princípio não surge nenhum problema, mas o seguro morreu de velho e convém ter sempre o backup a jeito.

Queres receber os próximos artigos? Subscreve o RSS feed.

No related posts found

4 comentários a “Actualização de segurança para WordPress”

Estevao

14 August, 2009 at 10:15 am

este “problema” já existe a bastante tempo, mas como é mesmo so reset e não acesso ao blogue, nunca olhei como trabalho de hacker porque não hackam nada! Nunca me aconteceu fazerem reset a password.

Reply
- Web Milionário
  
  14 August, 2009 at 11:15 am
  
  Tens razão, mas pode ser explorado. Se alguém fizer um script para te fazer reset à pass 1000 vezes por hora, nunca consegues entrar
  
  Reply
Estevao

14 August, 2009 at 8:28 pm

isso seria bem chato!!!

Reply

Como fazer backup do Wordpress | Web Milionário

14 August, 2009 at 10:40 pm

[...] aconselhei toda a gente a actualizar o WordPress e sugeri um backup do blog antes de qualquer upgrade. É claro que os backups também devem ser [...]

Reply