Alerta: Golpistas se passando pela equipe de segurança do WordPress

A equipe de segurança do WordPress está ciente de vários golpes de phishing em andamento que se passam pela equipe “WordPress” e da “WordPress Security Team” na tentativa de convencer os administradores a instalar um plugin que contém malware em seus sites.

A equipe de segurança do WordPress nunca enviará um e-mail solicitando que você instale um plugin ou tema em seu site e nunca pedirá um nome de usuário e senha do administrador.

Se você receber um e-mail não solicitado alegando ser do WordPress com instruções semelhantes às descritas acima, desconsidere os e-mails e indique que o e-mail é um spam para o seu provedor de e-mails.

Esses e-mails são vinculados a um site de phishing que parece ser o repositório de plugins do WordPress em um domínio que não é de propriedade do WordPress ou de uma entidade associada. Tanto o Patchstack quanto o Wordfence escreveram artigos com mais detalhes.

E-mails oficiais do projeto WordPress sempre:

  • Venha de um domínio @wordpress.org ou @wordpress.net
  • Também deve apresentar “Assinado por: wordpress.org” na seção de detalhes do e-mail

A equipe de segurança do WordPress só se comunicará com os usuários do WordPress nos seguintes locais:

A equipe de plugins do WordPress não entra em contato direto com os usuários individuais de um plugin. Qualquer comunicação será realizada exclusivamente com os membros da equipe do plugin, incluindo funcionários, proprietários e colaboradores autorizados. Esses e-mails serão enviados a partir de plugins.wordpress.org e serão assinados conforme indicado acima.

O repositório oficial de plugins do WordPress está localizado em wordpress.org/plugins com versões internacionalizadas em subdomínios, como fr.wordpress.org/plugins, en-au.wordpress.org/plugins, etc. Um subdomínio pode conter um hífen, no entanto, um ponto sempre aparecerá antes do wordpress.org.

Os administradores de um site WordPress também podem acessar o repositório de plugins através do menu de plugins no painel do WordPress.

Como o WordPress é o CMS mais usado, esses tipos de golpes de phishing acontecerão ocasionalmente.  Esteja sempre alerta a e-mails não solicitados que lhe peçam para instalar temas ou plugins, ou que contenham links para formulários de login suspeitos

O site Scamwatch tem algumas dicas para identificar e-mails e mensagens de texto que provavelmente serão fraudes.

Como sempre, se você acredita ter descoberto uma vulnerabilidade de segurança no WordPress, siga as políticas de segurança do projeto divulgando de forma privada e responsável o problema diretamente para a equipe de segurança do WordPress através da página oficial do projeto HackerOne.


Agradecemos a Aaron Jorbin, Otto, Dion Hulse, Josepha Haden Chomphosy e Jonathan Desrosiers por suas colaborações e revisão deste post.

WordPress 5.8.3 – Atualização de Segurança

Esta atualização apresenta quatro correções de segurança. Como este é um lançamento de segurança, é recomendável que você atualize seus sites imediatamente. Todas as versões desde o WordPress 3.7 também foram atualizadas.

O WordPress 5.8.3 é uma versão de segurança de ciclo curto. O próximo grande lançamento será a versão 5.9 , que já está no estágio de Release Candidate.

Você pode atualizar para o WordPress 5.8.3 baixando em WordPress.org ou visitando seu Painel → Atualizações e clicando em Atualizar agora.

Se você tiver sites que suportam atualizações automáticas em segundo plano, eles já iniciaram o processo de atualização.

Atualizações de Segurança

Quatro problemas de segurança afetam as versões do WordPress entre 3.7 e 5.8. Se você ainda não atualizou para a versão 5.8, todas as versões do WordPress desde 3.7 também foram atualizadas para corrigir os seguinte problemas (exceto onde indicado de outra forma):

  • Agradecemos a Karim El Ouerghemmi e Simon Scannell da SonarSource por encontrar uma vulnerabilidade a XSS no armazenamento de slugs de posts.
  • Agradecemos a Simon Scannell da SonarSource por relatar um problema com injeção de objeto em algumas instalações multisite.
  • Agradecemos a ngocnb e khuyenn de GiaoHangTietKiem JSC por trabalhar com a Trend Micro Zero Day Initiative em relatar uma vulnerabilidade de injeção de SQL na WP_Query.
  • Agradecemos a Ben Bidner da equipe de segurança do WordPress por relatar uma vulnerabilidade de injeção de SQL na WP_Meta_Query (relevante apenas para as versões 4.1-5.8).

Agradecemos a todos os colaboradores acima por divulgarem as vulnerabilidades em particular. Isso deu à equipe de segurança tempo para corrigir as vulnerabilidades antes que os sites do WordPress pudessem ser atacados. Agradecemos também aos membros da equipe de segurança do WordPress por implementar essas correções no WordPress.

Para obter mais informações, consulte a página de documentação do 5.8.3 HelpHub .

Agradecimentos!

A versão 5.8.3 foi liderada por @ desrosj e @ circlecube .

Além dos pesquisadores de segurança e membros do esquadrão de lançamento mencionados acima, agradecemos a todos que ajudaram a fazer o WordPress 5.8.3 acontecer:

Alex Concha, Dion Hulse, Dominik Schilling, ehtis, Evan Mullins, Jake Spurlock, Jb Audras, Jonathan Desrosiers, Ian Dunn, Peter Wilson, Sergey Biryukov, vortfu e zieladam.

WordPress 4.9.1 – Atualização de segurança e manutenção

O WordPress 4.9.1 já está disponível. Essa é uma atualização de segurança e manutenção para todas as versões a partir do WordPress 3.7. Encorajamos que você atualize seus sites imediatamente.

As versões 4.9 e anteriores do WordPress foram afetadas por quatro problemas de segurança que podem ser explorados como parte de um ataque multivetor. Como parte do compromisso da equipe dos arquivos básicos de aumentar a segurança, os seguintes ajustes foram implementados na versão 4.9.1:

  1. Uso de um hash gerado apropriadamente para a chave newbloguser ao invés de uma determinada substring.
  2. Tratamento dos atributos de idiomas nos elementos html.
  3. Verificação do escape dos fechamentos dos atributos em feeds RSS e Atom.
  4. Remoção da habilidade de subir arquivos JavaScript para usuários que não tenham a capacidade unfiltered_html.

Agradecemos a todos os que identificaram e relataram esses problemas pelo modo responsável como isso foi feito: Rahul Pratap Singh e John Blackbourn.

Outros onze erros foram resolvidos no WordPress 4.9.1. Os mais importantes foram:

  • Problemas relacionados ao cache de arquivos de templates nos temas.
  • Um erro de JavaScript no MediaElement que não permitia que os usuários de determinados idiomas subissem arquivos de mídia.
  • A impossibilidade de editar arquivos de temas e plugins em servidores Windows.

Para saber mais, acesse este post com mais informações sobre todos os problemas ajustados na versão 4.9.1.

Baixe o WordPress 4.9.1 ou visite o Painel → Atualizações e simplesmente clique em “Atualizar agora”. Sites com suporte a atualizações automáticas em segundo plano já começaram a se atualizar.

Agradecemos a todos que contribuíram para o WordPress 4.9.1:

Alain Schlesser, Andrea Fercia, Angelika Reisiger, Blobfolio, bobbingwide, Chetan Prajapati, Dion Hulse, Dominik Schilling (ocean90), edo888, Erich Munz, Felix Arntz, Florian TIAR, Gary Pendergast, Igor Benic, Jeff Farthing, Jeffrey Paul, jeremyescott, Joe McGill, John Blackbourn, johnpgreen, Kelly Dwan, lenasterg, Marius L. J., Mel Choyce, Mário Valney , natacado, odyssey, precies, Saša, Sergey Biryukov, and Weston Ruter.

WordPress agora está na HackerOne

O WordPress cresceu muito nos últimos 13 anos e agora ele está por trás de mais de 28% dos 10 milhões de sites de maior destaque na Web. Durante este crescimento, cada equipe do WordPress trabalhou com afinco para melhorar continuamente suas ferramentas e processos. Hoje, a Equipe de Segurança do WordPress tem o prazer de anunciar que agora o WordPress está oficialmente na HackerOne!

HackerOne é uma plataforma criada para que pesquisadores em segurança possam comunicar a nossa equipe as vulnerabilidades por eles encontradas, de maneira segura e responsável. Ela dispõe de ferramentas que melhoram a qualidade e consistência da comunicação com estes pesquisadores, e permite reduzir o tempo gasto em responder problemas mais comuns já relatados. Isso libera nossa equipe para despender mais tempo trabalhando em melhorias na segurança do WordPress.

A equipe de segurança do WordPress tem trabalhado neste projeto já faz algum tempo. Nikolay Bachiyski iniciou a equipe de trabalho há um pouco mais de um ano. O projeto rodou como um programa privado enquanto nós desenvolvíamos nossos procedimentos e processos, e estamos entusiasmados em finalmente torná-lo público.

Com o anúncio do programa WordPress HackerOne, também apresentamos o programa de recompensas Bug Bounties (ou “recompensas por bugs”, em Português). O Bug Bounties nos permite recompensar aqueles nos comunicam bugs e brechas encontradas, além de nos auxiliar a manter mais seguro nossos produtos e infraestrutura. Nós já distribuímos mais de US$ 3.700 em recompensas a sete diferentes pesquisadores! Ficamos agradecidos a Automattic por pagar estas recompensas em nome do projeto WordPress.

O programa e as recompensas se estendem a todos os nossos projetos, incluindo WordPress, BuddyPress, bbPress, GlotPress e WP-CLI, bem como todos os nossos websites, incluindo WordPress.org, bbPress.org, WordCamp.org, BuddyPress.org e GlotPress.org.