WordPress 6.4.2 – Atualização de manutenção e segurança

O WordPress 6.4.2 já está disponível!

Esta versão apresenta 7 correções de erros no núcleo. Esta versão inclui correções para um erro que faz com que as listas de folhas de estilo e tema às vezes retornem resultados incorretos.

Esta versão também possui uma correção de segurança. Como esta é uma versão de segurança, é recomendável que você atualize seus sites imediatamente.

Você pode baixar o WordPress 6.4.2 no WordPress.org ou visitar seu Painel WordPress, clicar em “Atualizações” e clicar em “Atualizar agora”. Se você tiver sites que suportam atualizações automáticas em segundo plano, o processo de atualização será iniciado automaticamente.

O WordPress 6.4.2 é uma versão de ciclo curto. O próximo grande lançamento será a versão 6.5 que está programada para o início de 2024.

Para mais informações sobre esta versão, visite o site HelpHub.

Atualizações de segurança incluídas nesta versão

A equipe de segurança abordou a seguinte item nesta versão:

  • Uma vulnerabilidade de execução remota de código que não é diretamente explorável no núcleo, no entanto, a equipe de segurança sente que há um potencial de alta gravidade quando combinada com alguns plugins, especialmente em instalações multisite.

Para ajudar a equipe de segurança e o WordPress em todo o mundo, você é encorajado a relatar vulnerabilidades de forma responsável. Isso permite que as vulnerabilidades sejam corrigidas em versões futuras.

Agradecimentos

Este lançamento foi liderado por Aaron Jorbin.

O WordPress 6.4.2 não teria sido possível sem as contribuições das seguintes pessoas. Sua coordenação assíncrona para fornecer correções de manutenção e segurança em uma versão estável é um testemunho do poder e capacidade da comunidade WordPress.

Aaron Jorbin, Aki Hamano, Akira Tachibana, Alex Concha, Angela Jin, Anton Vlasenko, Barry, bernhard-reiter, Caleb Burks, Corey Worrell, crstauf, Darren Ethier (nerrad), David Baumwald, Dennis Snell, Dion Hulse, Erik, Fabian Todt, Felix Arntz, Héctor Prieto, ironprogrammer, Isabel Brison, Jb Audras, Jeffrey Paul, Jessica Lyschik, Joe McGill, John Blackbourn, Jonathan Desrosiers, Kharis Sulistiyono, Krupal Panchal, Kylen Downs, meta4, Mike Schroder, Mukesh Panchal, partyfrikadelle, Peter Wilson, Pieterjan Deneys, rawrly, rebasaurus, Sergey Biryukov, Tonya Mork e vortfu.

Como contribuir

Para se envolver no desenvolvimento do núcleo do WordPress, vá para o Trac, escolha um ticket e participe da conversa no canal do núcleo. Precisa de ajuda? Confira o Manual do colaborador do núcleo.

Como um lembrete final, a equipe de segurança do WordPress nunca enviará um e-mail para você solicitar que você instale um plugin ou tema em seu site e nunca pedirá um nome de usuário e senha do administrador. Por favor, mantenha-se vigilante contra ataques de phishing.

Agradecemos a @angelasjin e @desrosj pela revisão.

Alerta: Golpistas se passando pela equipe de segurança do WordPress

A equipe de segurança do WordPress está ciente de vários golpes de phishing em andamento que se passam pela equipe “WordPress” e da “WordPress Security Team” na tentativa de convencer os administradores a instalar um plugin que contém malware em seus sites.

A equipe de segurança do WordPress nunca enviará um e-mail solicitando que você instale um plugin ou tema em seu site e nunca pedirá um nome de usuário e senha do administrador.

Se você receber um e-mail não solicitado alegando ser do WordPress com instruções semelhantes às descritas acima, desconsidere os e-mails e indique que o e-mail é um spam para o seu provedor de e-mails.

Esses e-mails são vinculados a um site de phishing que parece ser o repositório de plugins do WordPress em um domínio que não é de propriedade do WordPress ou de uma entidade associada. Tanto o Patchstack quanto o Wordfence escreveram artigos com mais detalhes.

E-mails oficiais do projeto WordPress sempre:

  • Venha de um domínio @wordpress.org ou @wordpress.net
  • Também deve apresentar “Assinado por: wordpress.org” na seção de detalhes do e-mail

A equipe de segurança do WordPress só se comunicará com os usuários do WordPress nos seguintes locais:

A equipe de plugins do WordPress não entra em contato direto com os usuários individuais de um plugin. Qualquer comunicação será realizada exclusivamente com os membros da equipe do plugin, incluindo funcionários, proprietários e colaboradores autorizados. Esses e-mails serão enviados a partir de plugins.wordpress.org e serão assinados conforme indicado acima.

O repositório oficial de plugins do WordPress está localizado em wordpress.org/plugins com versões internacionalizadas em subdomínios, como fr.wordpress.org/plugins, en-au.wordpress.org/plugins, etc. Um subdomínio pode conter um hífen, no entanto, um ponto sempre aparecerá antes do wordpress.org.

Os administradores de um site WordPress também podem acessar o repositório de plugins através do menu de plugins no painel do WordPress.

Como o WordPress é o CMS mais usado, esses tipos de golpes de phishing acontecerão ocasionalmente.  Esteja sempre alerta a e-mails não solicitados que lhe peçam para instalar temas ou plugins, ou que contenham links para formulários de login suspeitos

O site Scamwatch tem algumas dicas para identificar e-mails e mensagens de texto que provavelmente serão fraudes.

Como sempre, se você acredita ter descoberto uma vulnerabilidade de segurança no WordPress, siga as políticas de segurança do projeto divulgando de forma privada e responsável o problema diretamente para a equipe de segurança do WordPress através da página oficial do projeto HackerOne.


Agradecemos a Aaron Jorbin, Otto, Dion Hulse, Josepha Haden Chomphosy e Jonathan Desrosiers por suas colaborações e revisão deste post.