Wordpress 2.3.2: segurança torna-se preocupação, finalmente (act.)
publicado 31 Dezembro 2007 em web social.Matt Mullenweg e Ryan Boren não responderam propriamente de imediato, mas também não empataram: o WordPress levou menos de três meses a dar primazia à segurança do sistema e 65 dias depois da versão 2.3.1 lança a 2.3.2 que é essencialmente um remendo dos buracos entretanto detectados.
A maioria das questões de segurança do WordPress, sobretudo as de pior risco, não têm a ver directamente com o WordPress mas com as duas tecnologias escolhidas para o desenvolvimento: a formidável linguagem de scripting PHP e o espantoso motor de base de dados MySQL (ambos em regime de código aberto).
A maior ameaça este ano veio do SQL injection — um tipo de fragilidade comum a qualquer sistema que use estas duas tecnologias, e não só (também o motor comercial MS SQL é vulnerável).
O que a equipa do WordPress fez, no fundo, foi incorporar no código, de raiz, algumas soluções já apontadas por terceiros para mitigar os ataques a esta e a outras fragilidades. Dessas soluções, algumas estavam já em plugin, como o WPIDS, outras consistem em ligeiras alterações ao código que qualquer um pode fazer, como a alteração do nome por defeito da base de dados e a supressão das mensagens de erro.
Não sou adepto de instalar religiosamente cada upgrade, em regra sigo o conselho dos experts que apontam as versões estáveis como as que são fundamentais — mas neste caso estamos perante um upgrade imprescindível, apesar de pequeno demais para justificar uma mudança maior no número da versão.
Os blogues da TubarãoEsquilo que usam Wordpress foram todos actualizados em cinco minutos.
Act: A versão em Português do WordPress 2.3.2 está aqui (dica de Bruno Miguel).
Ontem actualizei o meu. Curiosamente, ainda estou para descobrir o que está a causar as alterações do alinhamento de texto na minha barra lateral, que só ocorre a quem acede pelo Internet Explorer. Estas coisinhas pequenas é que me irritam um bocado.
O Internet Exploder é uma fonte de problemas. Felizmente o seu uso vai diminuindo.
Boas entradas.
Obrigado Paulo, boas entradas para si também!
É bom ver que o Paulo lê o Webtuga
Não sei se terá sido pelo update da versão do Wordpress, mas os caracteres dos seus posts aparecem, no Google Reader, substituidos por ????
Perdão, caracteres com acentos.
Bruno, eu leio pouco por cá, mas vou lendo — e linko sempre que posso, não me fecho em copas nem finjo que não leio por causa disto ou daquilo, como é muito prática por aí…
Obrigado pela dica. Demorou uns 10 minutos a descobrir o busílis. O feed saía daqui com uma linha em branco a abrir o cabeçalho, isto é, o < ?xml só aparecia na segunda linha, o que era fatal: o FeedBurner baralhava-se todo.
Não foi do WordPress 2.3.2 mas sim de um plugin novo que meti no domingo (e que darei conta em breve aqui, pois é "nosso" e cumpre um função útil para os blogues portugueses em WordPress). Nada errado com o código do plugin, não dá direito a mudar a versão sequer: apenas uma linha em branco depois do ?> final
Abraço, bom 2008.
Isso do “fechar em copas” é bem verdade. Acontece em blogs com menos projecção e com mais projecção - nalguns casos, até nos blogs mais lidos em Portugal e de forma absurdamente (eu nem sei se esta palavra existe, mas soa bem ;)) flagrante. Mas lá diz o ditado: “Cada um sabe de si, deus sabe de todos e da minha vida sei eu”.
(esta última parte foi acrescentada para dar mais realismo ao ditado)
Um bom 2008 para si também
É a escol da blogosfera. Tudo gente boa.