WordPress 4.8.1 – Atualização de manutenção

Depois de mais de 13 milhões de downloads do WordPress 4.8, temos o prazer de anunciar o lançamento da versão 4.8.1, uma versão de manutenção.

Este lançamento contém 29 ajustes e melhorias, com destaque para os acertos no widget de edição de texto e a introdução do widget de HTML personalizado. Para a lista completa de mudanças consulte as notas de lançamento, os tickets encerrados e a lista de modificações.

Faça o download do WordPress 4.8.1 ou visite o Painel → Atualizações e simplesmente clique em “Atualizar agora”. Sites com suporte a atualizações automáticas em segundo plano já começaram a se atualizar para o WordPress 4.8.1.

Agradecemos a todos que contribuíram para esta nova versão:
Adam SilversteinAndrea FerciaAndrew OzzAtanas AngelovbongerBoone GorgesBoro SitnikovskiDavid HerreraJames NylenJeffrey PaulJennifer M. DoddK. Adam WhiteKonstantin ObenlandMel Choycer-a-yReuben GundayRinku YSaid El BakkaliSergey BiryukovSiddharth ThevarilTimmy Crawford, e Weston Ruter.

WordPress 4.8 “Evans”

Uma atualização pensando em você

Prepare-se para um WordPress mais intuitivo!

A versão 4.8 do WordPress, chamada “Evans” em honra do pianista de jazz e compositor John William “Bill” Evans, está disponível para download ou atualização no seu painel do WordPress. Os novos recursos do 4.8 adicionam mais formas de se expressar e representar sua marca.

Embora algumas atualizações pareçam pequenas, elas foram feitas por centenas de contribuidores pensando em você. Prepare-se para novos recursos que você receberá de braços abertos: melhorias nos links, três novos widgets de mídia para imagens, áudio e vídeo, um widget de texto atualizado com suporte a edição visual e uma seção de notícias remodelada no seu painel, que traz os próximos eventos do WordPress perto da sua localidade.

Atualizações emocionantes nos widgets

Widget de imagem

Agora adicionar uma imagem a um widget é uma tarefa simples, possível para qualquer usuário do WordPress, sem necessidade de conhecimento de código. Simplesmente insira sua imagem direto nas configurações do widget. Tente adicionar uma foto de perfil ou uma imagem da sua aventura no último fim de semana e ela aparecerá automaticamente no seu site.

Widget de vídeo

Um vídeo de boas vindas é uma ótima maneira de humanizar a marca do seu site. Agora você pode adicionar qualquer vídeo da biblioteca de mídia do seu site à sua barra lateral com o novo widget de vídeo. Use um vídeo de boas vindas para apresentar seu site aos seus visitantes ou para promover seus conteúdos mais recentes.

Widget de áudio

É músico ou produz podcast? Adicionar um widget com seu arquivo de áudio nunca foi tão fácil. Faça o upload do seu arquivo de áudio na biblioteca de mídia, vá até as configurações do widget, selecione seu arquivo e está tudo pronto. Esta pode ser uma boa forma de adicionar uma mensagem de boas vindas mais convidativa também!

Widget de texto rico

Este recurso merece uma chuva de confetes na avenida principal! Agora é possível usar o editor visual no widget de texto. Adicione um widget em qualquer lugar e saia formatando. Crie listas, adicione ênfase e de maneira rápida e fácil insira links. Divirta-se com seus novos poderes de formatação e repare em tudo o que você pode alcançar em um tempo bem pequeno.

Limites dos links

Alguma vez você já tentou atualizar um link ou o texto de um link e achou que você não pode editar isso corretamente? Quando você edita o texto após o link, seu novo texto também acaba vinculado. Ou você edita o texto no link, mas seu texto termina fora dele. Isso é frustrante! Com limites de link, uma nova funcionalidade, o processo é simplificado e seus links funcionará corretamente. Você ficará feliz! Nós prometemos.

Eventos WordPress perto de você

Você sabia que o WordPress tem uma próspera comunidade offline com grupos se encontrando regularmente em mais de 400 cidades pelo mundo? O WordPress agora chama sua atenção para eventos que podem lhe ajudar a melhorar ainda mais suas habilidades com o WordPress, fazer amigos e, claro, publicar!

Este está se tornando rapidamente um dos nossos recursos favoritos. Enquanto você está no painel (porque você está atualizando seu site e escrevendo seus posts, certo?) todos os WordCamps e Meetups do WordPress perto de você serão exibidos.

Fazer parte da comunidade pode ajudar a melhorar suas habilidades no WordPress e a encontrar pessoas que você não encontraria de outra forma. Agora você pode encontrar eventos locais com facilidade, é só fazer login e dar uma olhada no novo widget de eventos e notícias no próprio painel.

Ainda mais felicidade para os desenvolvedores 🙂

Cabeçalhos mais acessíveis no painel de administração

Devido a novas regras de CSS, conteúdo alheio ao cabeçalho da área de administração, como links de “Adicionar novo”, não precisam mais estar nestas áreas. Isso melhora a acessibilidade para aqueles que usam tecnologias assistivas.

Remoção do suporte para arquivos WMV e WMA

Como cada vez menos navegadores dão suporte para o Silverlight, formatos de arquivo que necessitam da presença do plugin não recebem mais suporte pelos arquivos básicos. Os arquivos continuarão sendo exibidos como um link para download, mas não serão mais incorporados automaticamente.

Atualizações no multisite

Novas capacidades foram introduzidas na versão 4.8 com a intenção de remover chamadas para is_super_admin(). Além disso, foram adicionados novos ganchos e ajustes para uma maior granularidade no controle dos sites e na contagem de usuários por rede.

API JavaScript para o editor de texto

Com a adição do TinyMCE no widget de texto na versão 4.8 vem uma nova API JavaScript para instanciar o editor depois que a página for carregada. Isso pode ser usado para adicionar uma instância do editor em qualquer área de texto e personalizá-la com botões e funções.

API dos widgets de mídia

A introdução na versão 4.8 de um novo esquema para o widget de mídia na API REST cria novas possibilidades para outros widgets desse tipo no futuro, como galerias ou listas de reprodução. Uma classe básica é compartilhada pelos três novos widgets de mídia e cobre a maior parte das interações com a janela de mídia. Esta classe também torna mais fácil criar novos widgets de mídia e abre caminho para outras inovações.

Largura variável no Personalizar

Novos pontos de quebra no layout responsivo foram adicionados à barra lateral do Personalizar para torná-lo mais largo em telas de alta resolução. Os controles do Personalizar agora usam tamanhos baseados em porcentagem, ao invés de píxeis.

O esquadrão

Esta versão foi liderada por MattJeff Paul, com a ajuda dos fabulosos colegas a seguir. São 346 contribuidores responsáveis por este lançamento, sendo 106 deles contribuindo pela primeira vez. Coloque um Bill Evans para tocar no serviço de música que você mais gosta e dê uma olhada em alguns de seus perfis:

1naveengiri, 4nickpick, Aaron D. Campbell, Aaron Jorbin, abhishek, Abhishek Kumar, abrain, Adam Harley (Kawauso), Adam Silverstein, Adam Soucie, Afzal Multani, Ahmad Awais, ajoah, Alex Concha, Alex Floyd Marshall, Alex King, Alex Shiels, Andrea Fercia, Andrea Middleton, Andrew Nacin, Andrew Ozz, Andrew Rockwell, Andy Mercer, Ankit K Gupta, arena94, Arshid, Arun, asalce, ashokkumar24, Barry Ceelen, bcworkz, Bharat Kambariya, Blobfolio, bonger, Boone B. Gorges, Boro Sitnikovski, Brad Touesnard, Brady Vercher, Brandon Kraft, Brandon Lavigne, Bridget Willard, Bunty, Cami Kaos, Carl Alberto, Casey Driscoll, cazm, ccprog, Chandra Patel, chesio, chetansatasiya, Chirag Patel, Chouby, Chris Klosowski, Chris Mok, chriseverson, Christian Chung, Corey McKrill, Courtney P.K., Cristiano Zanca, csloisel, Curdin Krummenacher, Cyrus Collier, Daniel Bachhuber , Daniel Llewellyn, Daniele Scasciafratte, Darren Ethier (nerrad), Darshan_dj, darthaud, Daryl L. L. Houston (dllh), David A. Kennedy, David Anderson, David Binovec, David Herrera, David Shanske, davidbenton, designsimply, Dhanendran, Dharmesh Patel, Dhaval Parekh, dingo-d, Dion Hulse, Dominik Schilling, Dotan Cohen, DoubleH, DreamOn11, Drew Jaynes, Drivingralle, dspilka, Edwin Cromley, Ejner Galaz, Ella Iseulde Van Dorpe, emirpprime, Eric Andrew Lewis, Erick Hitter, Ethan Allen, Fabien Quatravaux, Felix Arntz, fibonaccina, Florian TIAR, Francesca Marano, Frank Neumann-Staude, Franz Josef Kaiser, Gabriel Maldonado, Garth Mortensen, Gary Cao, Gary Pendergast, George Stephanis, Gustave F. Gerhardt, hedgefield, Helen Hou-Sandí, helgatheviking, Hristo Pandjarov, Ian Dunn, ig_communitysites, Igor Zinovyev, imath, Ipstenu (Mika Epstein), ireneyoast, Ivan Stefanov, ivantedja, J.D. Grimes, Jack Reichert, Jake Spurlock, James Nylen, Jaydeep Rami, jazbek, Jeff Bowen, Jeff Farthing, Jeff Paul, Jeffrey de Wit, Jen Miller, Jeremy Felt, Jeremy Pry, Jignesh Nakrani, Jip Moors, jjcomack, Joe Dolson, Joe Hoyle, Joe McGill, John Blackbourn, John James Jacoby, John Regan, Jonathan Desrosiers, Jonny Harris, Joost de Valk, Josepha, Josh Pollock, Juhi Saxena, Justin Kopepasah, Justin Tucker, K.Adam White, kafleg, Kailey (trepmal), karinedo, Kathryn, kaushik, Keanan Koppenhaver, keesiemeijer, Kelly Dwan, Kite, kjellr, Konstantin Kovshenin, Konstantin Obenland, kostasx, kubik-rubik, KUCKLU, Lance Willett, Laurel Fulford, Lee Willis, leemon, LewisCowles, LiamMcArthur, Lucas Stark, lukasbesch, Luke Cavanagh, Maedah Batool, Mahesh Prajapati, mantismamita, Marin Atanasov, Mario Aguiar, Mark Jaquith, Mark Root-Wiley, Mark Uraine, Marko Heijnen, Matheus Martins, MatheusGimenez, mathieuhays, matias, Matt Wiebe, Matthew Boynes, Matthew Haines-Young, mattyrob, Maxime Culea, Mayo Moriyama, Mayur Keshwani, Mel Choyce, Menaka S., Michael Arestad, michalzuber, michelleweber, Miina Sikk, Mike Crantea, Mike Hansen, Mike Jolley, Mike Little, Mike Nelson, Mike Schroder, Milan Dinić, Milind More, Mithun Raval, MMDeveloper, Mohammad Jangda, mohanjith, monikarao, Morgan Estes, moto hachi ( mt8.biz ), MrGregWaugh, mschadegg, Muhammet Arslan, MULTIDOTS, Naoko Takano, Naomi C. Bush, Nate Reist, Ned Zimmerman, Nick Halsey , Nikhil Chavan, Nitin Kevadiya, Nitish Kaila, nobremarcos, NoseGraze, nsundberg, nullvariable, odyssey, page-carbajal, Pascal Birchler, Paul Bearne, Paul Biron, Paul de Wouters, Paul Ryan, pavelevap, Payton Swick, pdufour, Perdaan, Peter Wilson, Philip John, Piotr Delawski, Piotr Soluch, postpostmodern, Pranali Patel, Pratik Shrestha, Presskopp, printsachen1, Priyanka Behera, prosti, ptbello, Rachel Baker, Rafael Ehlers, raggedrobins, raisonon, Rami Yushuvaev, ramiabraham, ranh, RC Lations, redrambles, reidbusi, reldev, rellect, RENAUT, rensw90, reportermike, Rian Rietveld, Riddhi Mehta, Robbie Cahill, Robert O’Rourke, Robin Cornett, runciters, Ryan Boren, Ryan McCue, Ryan Welcher, Sagar Jadhav, Sagar Prajapati, sagarkbhatt, Sal Ferrarello, Samantha Miller, Sami Keijonen, Samuel Sidler, Sanket Parmar, sathyapulse, sboisvert, Scott Reilly, Scott Taylor, Sean Hayes, Sebastian Pisula, Sergey Biryukov, sfpt, sgolemon, Shady Sharaf, Shashwat Mittal, shazahm1, shulard, slbmeh, Soren Wrede, Stanimir Stoyanov, Stephane Daury (stephdau), Stephen Edgar, Stephen Harris, Steven Word, Storm Rockwell, Sudar Muthu, Supercoder, Sybre Waaijer, szaqal21, taggon, Takayuki Miyauchi, Takayuki Miyoshi, Tammie Lister, technopolitica, teinertb, tejas5989, terwdan, tharsheblows, theMikeD, thepelkus, Thorsten Frommen, Timmy Crawford, Timothy Jacobs, timph, tmatsuur, tomdxw, Topher, Travis Smith, triplejumper12, truongwp, tymvie, Ulrich, Utkarsh, vaishu.agola27, vijustin, vortfu, Weston Ruter, wpfo, xrmx, ze3kr, e Zeljko Ascic.

Finalmente, agradecemos a toda a comunidade de tradutores que trabalharam no WordPress 4.8. Seus esforços trazem o WordPress 4.8 completamente traduzido em seu lançamento para 38 idiomas e vem mais por aí.

Você quer falar sobre o WordPress 4.8? Compilamos um kit para imprensa compilando informações sobre os recursos desta versão e alguns arquivos de mídia que podem ajudar.

Se você quer nos acompanhar ou ajudar, dê uma olhada no Make WordPress e no nosso blog de desenvolvimento dos arquivos básicos. Agradecemos por escolher o WordPress — esperamos que você goste!


WordPress 4.8 Release Candidate

O release candidate (versão candidata, em tradução livre) do WordPress 4.8 já está disponível.

Este tipo de lançamento significa que achamos que está tudo pronto, mas com milhões de usuários e milhares de plugins e temas, é possível que tenhamos deixado passar alguma coisa. Esperamos lançar a versão 4.8 do WordPress em 8 de junho, uma quinta-feira, mas precisamos da sua ajuda para isso. Se você ainda não testou a versão 4.8, agora é a hora!

Para testar o WordPress 4.8 você pode usar o plugin WordPress Beta Tester ou fazer o download do release candidate aqui (zip).

Fizemos um monte de mudanças desde o lançamento da versão Beta 2, no começo da semana. Para mais detalhes sobre as novidades da versão 4.8, leia os posts sobre a Beta 1 e Beta 2.

Acha que encontrou um bug? Publique no fórum de versões Alfa/Beta/RC. Se aparecer qualquer problema, você poderá encontrá-lo aqui.

Desenvolvedores, testem seus plugins e temas na versão 4.8 do WordPress e atualize a informação Testado até o WordPress para 4.8 no arquivo readme. Se você encontrar problemas de compatibilidade publique nos fóruns de suporte para que possamos resolvê-los antes do lançamento da versão final – trabalhamos duro para evitar que as coisas parem de funcionar. Um guia aprofundado sobre as mudanças voltado para desenvolvedores será publicado em breve no blog de desenvolvimento dos arquivos básicos.

Ajude-nos a traduzir o WordPress para mais de 100 idiomas, inclusive o Português!

O haicai desta versão é uma cortesia de @matveb:

Érrese uno
Cien veces y más
Erre ce dos

Agradecemos a ajuda nos testes das últimas versões do WordPress.

WordPress 4.8 Beta 2

WordPress 4.8 Beta 2 já está disponível!

Mas lembre-se, versões beta são de um software ainda em período de testes, com isso não recomendamos que você utilize esta versão em seu site ainda. Considere utilizar este verão apenas para testar as novas funcionalidades desta versão (mencionadas no post sobre a versão beta 1 deste release). Caso você seja um desenvolvedore de plugins ou temas, recomendamos o teste também para garantir que seu tema está alinhado com as novidades desta versão.

Ainda sobre esta nova versão, com a adição dos novos widgets de áudio e vídeo, foi descoberto que arquivos no formato WMV e WMA não são mais suportados pela biblioteca de mídia utilizada no WordPress, a MediaElements.js, com isso o suporte nativo a estas extensões foi removida do WordPress. Caso necessite utilizar tais arquivos através de plugins, você pode utilizar a função para adicionar tal compatibilidade citada neste post no Make (onde a comunidade que está desenvolvendo a nova versão documenta as conversas importantes relativas a todo universo WordPress).

WordPress 4.7.5 – Atualização de segurança e manutenção

O WordPress 4.7.5 já está disponível. Esta é uma atualização de segurança para todas as versões anteriores, recomendamos que você atualize seus sites imediatamente.

As versões 4.7.4 e anteriores do WordPress foram afetadas por seis problemas de segurança:

  1. Validação insuficiente dos redirecionamentos na classe HTTP. Relatado por Ronni Skansing.
  2. Manipulação imprópria dos valores dos metadados dos posts na API XML-RPC. Relatado por Sam Thomas.
  3. Falta de verificação de capacidades para os metadados dos posts na API XML-RPC. Relatado por Ben Bidner da equipe de segurança do WordPress.
  4. Uma vulnerabilidade a ataques por falsificação de solicitação entre sites (CRSF, do inglês Cross Site Request Forgery) descoberta na troca de informações sobre credenciais no sistema de arquivos. Relatado por Yorick Koster.
  5. Uma vulnerabilidade a execução de scripts de outros sites (XSS, do inglês Cross-Site Scripting) descoberta na tentativa de uploads de arquivos grandes. Relatado por Ronni Skansing.
  6. Uma vulnerabilidade a XSS relacionada ao Personalizar. Relatado por Weston Ruter da equipe de segurança do WordPress.

Agradecemos a todos os que identificaram e relataram esses problemas pelo modo responsável como isso foi feito.

Além destas questões de segurança, o WordPress 4.7.5 contém 3 ajustes de manutenção para a série de versões 4.7. Para mais informações, leia as notas de lançamento ou consulte a lista de mudanças.

Faça o download do WordPress 4.7.5 ou navegue pelo Painel → Atualizações e clique em “Atualizar agora”. Sites com suporte a atualizações automáticas em segundo plano já começaram a se atualizar para o WordPress 4.7.5.

Agradecemos a todos que contribuíram para a versão 4.7.5.

WordPress 4.8 Beta 1

De acordo com o post publicado por Matt Mullenweg no blog do WordPress.org a equipe/comunidade mundial do WordPress.org está planejando uma versão nova do WordPress para o próximo mes, trazendo três melhorias principais:

  • Experiência aprimorada no editor visual, com um novo TinyMCE que permite que você navegue mais intuitivamente em elementos inline, como links.
  • Alteração no widget de notícias do painel administrativo trazendo os Meetups e WordCamps que estão por vir e os mais próximos de você.
  • Vários novos widgets de mídia para imagens, áudio e vídeo, e um aprimoramento no widget de texto para oferecer suporte à edição visual.

O primeiro beta do WordPress 4.8 já está disponível para testes. Você pode utilizar o plugin Beta Tester para baixar esta versão beta e testar estas novidades. O objetivo disso é tornar as postagens com links mais intuitivas, criar widgets de forma mais fácil para novos usuários do WordPress e também para os que já utilizam a ferramenta, além de fazer com que mais utilizadores do WordPress se conscientizem e prestigiem os eventos de nossa comunidade.

WordPress 4.7.4 – Atualização de manutenção

Depois de quase sessenta milhões de downloads do WordPress 4.7, temos o prazer de anunciar o lançamento da versão 4.7.4, uma versão de manutenção.

Esta atualização contém 47 ajustes e melhorias, com destaque entre elas para uma incompatibilidade com uma versão vindoura do Chrome e o editor visual, inconsistências na manipulação das mídias e melhorias na REST API. Para uma lista completa de mudanças consulte as notas de lançamento e a lista de modificações. Continuar lendo “WordPress 4.7.4 – Atualização de manutenção”

WordPress 4.7.3 – Atualização de Segurança

O WordPress 4.7.3 está disponível. Esta é uma atualização de segurança para todas as versões anteriores e encorajamos fortemente que você atualize seus sites imediatamente.

O WordPress nas versões 4.7.2 e anteriores estão afetadas por 6 questões de segurança:

  1. Vulnerabilidade cross-site scripting (XSS) via metadadados de arquivos de mídia.  Reportado por Chris Andrè Dale, Yorick Koster, e Simon P. Briggs.
  2. Caracteres de controle podem enganar redirecionamentos para validação de URL. Reportado por Daniel Chatfield.
  3. Arquivos não intencionais podem ser excluídos pelos administradores usando a funcionalidade de exclusão de plugins.  Reportado por xuliang.
  4. Vulnerabilidade cross-site scripting (XSS) através de URL de embeds do Youtube.  Reportado por Marc Montpas.
  5. Vulnerabilidade cross-site scripting (XSS) via nomes de termos em taxonomias.  Reportado por Delta.
  6. Falsificação de solicitações entre sites (CSRF) na funcionalidade “Press This” levando ao uso excessivo de recursos do servidor. Reportado por Sipke Mellema.

Obrigado a todos que reportaram tais erros por praticarem a divulgação responsável.

Em adição as atualizações de segurança mencionadas acima, o WordPress 4.7.3 contém 39 correções em relação a versão 4.7. Para mais informações, veja as notas de lançamento ou consulte a lista de alterações.

Baixe o WordPress 4.7.3 ou aventure-se através do Dashboard → Atualizações simplemente clicando no botão “Atualizar Agora”. Sites com atualização automativa ativada já começaram e serem atualizados para esta nova versão.

WordPress 4.7.2 – Atualização de Segurança

WordPress 4.7.2 já está disponível. Esta é uma atualização de segurança para todas as versões anteriores e recomendamos fortemente que você atualize todos os seus sites imediatamente.

A versão 4.7.1 doWordPress e todas as anteriores estão afetadas por três questões de segurança:

  1. A interface do usuário para atribuir termos de taxonomias na funcionalidade “Publique Isso” (Press This) é mostrada para usuários que não têm permissão para isso. Relatado por David Herrera da Alley Interactive.
  2. WP_Query é vulnerável à SQL injection (SQLi)quando dados inseguros são passados. O core do WordPress não é diretamente vulnerável a esse problema, mas forçamos o código para prevenir que plugins e temas possam causar acidentalmente essa vulnerabilidade. Relatado por Mo Jangda (batmoo).
  3. Vulnerabilidade cross-site scripting (XSS) foi descoberta na tabela de listagem de posts. Reportado por Ian Dunn, do WordPress Security Team.
  4. Vulnerabilidade de Escalonamento de Privilégio Não Autenticado foi descoberta em um endpoint da REST API . Reportado por Marc-Alexandre Montpas, da Sucuri Security. *

Obrigado aos que reportaram estes problemas praticando a divulgação responsável em todo os casos.

Baixe o WordPress 4.7.2 ou aventure-se através do Dashboard → Atualizações simplemente clicando no botão “Atualizar Agora”. Sites com atualização automativa ativada já começaram e serem atualizados para esta nova versão.

Obrigado a todos que colaboraram com estas correções!

Atualização: Uma séria vulnerabilidade adicional foi corrigida nesta versão mas sua divulgação pública foi adiada e divulgada dias depois por motivos de segurança. Para mais informações sobre essa vulnerabilidade, passos para a mitigar e explicação do porque ela foi adiada, você pode ler o post original Disclosure of Additional Security Fix in WordPress 4.7.2 (em inglês) como fonte correta sobre o assunto. Trazemos abaixo a tradução desta explicação.

Correção adicional no WordPress 4.7.2

Além das 3 vulnerabilidades de segurança mencionadas na publicação original da atualização, as versões 4.7 e 4.7.1 possuíam mais uma vulnerabilidade, cuja divulgação fora adiada. Havia uma Vulnerabilidade de Escalonamento de Privilégio Não Autenticado em um endpoint da REST API. Versões anteriores do WordPress, mesmo as que usam o plugin REST API, não possuem essa vulnerabilidade.

Acreditamos que transparência é de interesse público. É nossa posição que falhas de segurança sejam sempre discutidas. Nesse caso, adiamos intencionalmente a divulgação dessa falha por uma semana para garantir a segurança de milhões de sites que utilizam o WordPress.

Em 20 de Janeiro, Sucuri nos alertou sobre uma vulnerabilidade descoberta por um de seus pesquisadores de segurança, Marc-Alexandre Montpas. O time de segurança começou a avaliar o problema e trabalhar numa solução. Enquanto uma primeira correção foi criada no início, a equipe sentiu que mais testes eram necessários.

Enquanto isso, Sucuri adicionou regras de segurança ao seu Firewall de Aplicações Web (FAW) para bloquear tentativas de exploração dessa falha contra seus clientes. Esse problema foi encontrado internamente e nenhuma tentativa externa foi registrada pela Sucuri.

Durante o fim de semana, comunicamos várias outras empresas com FAWs, incluindo SiteLock, Cloudflare e Incapsula e trabalhamos para criar um conjunto de regras para proteção de mais usuários. Pela segunda-feira, essas regras já haviam sido aplicadas e estávamos checando regularmente por tentativas de exploração dessa falha em sites ativos.

Na segunda-feira, enquanto continuávamos testando e refinando essa correção, nosso foco mudou para as empresas de hospedagem de WordPress. Entramos em contato em particular com informações sobre a vulnerabilidade e formas de como proteger seus usuários. Elas trabalharam juntamente com o time de segurança para implementar essas proteções e regularmente checar por tentativas de ataques contra seus usuários.

Na quarta-feira à tarde a maioria das empresas de hospedagem com que trabalhamos já tinham medidas de segurança funcionando. Os dados dos quatro FAWs e das empresas de hospedagem não indicavam que a vulnerabilidade havia sido explorada em sites ativos. Como resultado, tomamos a decisão de adiar a divulgação dessa falha em particular para dar tempo das atualizações automáticas serem executadas e garantir que o máximo possível de usuários haviam sido protegidos antes de torná-la pública.

Na quinta-feira, 26 de Janeiro, lançamos o WordPress 4.7.2 para o mundo. Este lançamento foi utilizado pelos sistemas com atualização automática habilitada e, em algumas horas, milhões de sites com o WordPress 4.7.x foram protegidos sem saber sobre tal problema e precisar tomar qualquer ação sobre isso.

Gostaríamos de agradecer a Sucuri pela divulgação responsável do caso, além de ter trabalhando conosco para adiar a divulgação até que estejamos confiantes de que muitos sites já estivessem atualizados para a versão 4.7.2 quanto possível. também gostariamos de agradecer aos WAFs e empresas de hospedagem que trabalharam conosco para criar camadas adicionais de proteção e monitorar seus sistemas por tentativas de explorar esta falha. Até hoje, para sua informação, não foram registradas tentativas de tentar explorar esta vulnerabilidade em sites ativos..

Créditos

Matéria originalmente publicada no blog em inglês do WordPress.org.

Publicada aqui por @gugaalves com colaboração na tradução por @mariovalney.

WordPress 4.4 “Clifford”

A versão 4.4 do WordPress, nomeada como “Clifford” em honra ao trumpetista de jazz Clifford Brown, foi disponibilizada no dia 8 de dezembro de 2015, e você já pode a baixar ou atualizar seus sites WordPress diretamente do seu dashboard.

Novas funções nesta versão deixam seu site mais conectado e responsivo, além de trazer um novo tema padrão, o Twenty Sixteen.

Esta versão teve a contribuição de 469 pessoas, sendo a que mais teve colaboradores até agora.

Confiram a vídeo de lançamento (com legendas em português feitas por Guga Alves).

Novo tema: Twenty Sixteen

twenty-sixteen-ipad-white-desktop-2x-1024x694

O novo tema padrão, Twenty Sixteen, é um tema de blog moderno com uma pegada clássica, feito para ser totalmente adaptado a qualquer dispositivo. Seu design em grid fluido com cabeçalho flexível, divertidos esquemas de cores e muito mais, farão seus novos sites ficarem fantásticos (além de ser uma boa opção para ser o pai de temas filhos, permitindo assim sua extensão e modificação).

Imagens Responsivas

responsive-devices-ipad-2x.png

Se adaptando ainda mais ao mundo responsivo, o WordPress agora criou um novo modo de trabalhar com imagens responsivas utilizando o atributo srcset na tag img, com HTML5.

Faremos um post mais extenso sobre isso ainda, mas basicamente o atributo scrset irá listar todos os tamanhos disponíveis desta imagem, deixando assim o servidor decidir qual imagem deve carregar em qual dispositivo, o que trás um ganho de performace substancial no front-end.

Detalhe técnico: O core passa a ter um novo tamanho de imagem, denominado “medium_large”. Terá 768 pixéis de largura e sem limite na altura.

Embed tudo!

WordPress 4.4 “Clifford”

Agora você poderá embedar posts em outros sites WordPress. Simplesmente cole a URL do post no seu editor e veja um preview instantâneo deste embed, bem completo com título, excerpt e imagem destacada, além dos ícones para compartilhar e comentar.

Além disso, o Embed do WordPress 4.4 agora suporta novos 5 serviços: Cloudup, Reddit Comments, ReverbNation, Speaker Deck, e VideoPress.

Novidades sob o capô (a parte que os devs mais gostam)

wp-rest-api

Depois de um processo de cerca de dois anos desenvolvendo a REST API em um plugin, ela finalmente chegou ao core do sistema. Na verdade, a infraestrutura estará presente no WordPress mas os ‘endpoints’ estão previstos apenas para a próxima versão, talvez em Abril. Isto significa que os programadores podem agora criar temas e plugins que façam da REST API. Mas quem pretende usar o WordPress em aplicações móveis, por exemplo, deverá continuar usando o plugin por mais algum tempo.

Meta termos

Os termos passam a poder ter metadados de forma mais simples, como já acontece com os artigos e os utilizadores. Há uma nova tabela para isto: wp_termmeta.

Veja as funções add_term_meta(),get_term_meta(), e update_term_meta() para mais informações.

Melhorias na WP_Comment_Query

Esta query (para busca de comentários) foi reformulada e agora lida melhor com cache visando a melhoria de sua performance, com argumentos mais robustos em uma query mais simples.

Multisite

Há uma nova classe: WP_Network. Também surge a função_network_option que facilita o usode diversas redes de sites. Há novos ‘hooks’, resolução de bugs e elementos que ficam obsoletos.

Personalizador

A equipa de desenvolvimento procurou melhorar o funcionamento da área de personalização. O objetivo é mais rapidez e menor necessidade de recursos de memória.

 

Post Original em https://wordpress.org/news/2015/12/clifford/ traduzido e modificado por Guga Alves.