WordPress 4.8 Release Candidate

O release candidate (versão candidata, em tradução livre) do WordPress 4.8 já está disponível.

Este tipo de lançamento significa que achamos que está tudo pronto, mas com milhões de usuários e milhares de plugins e temas, é possível que tenhamos deixado passar alguma coisa. Esperamos lançar a versão 4.8 do WordPress em 8 de junho, uma quinta-feira, mas precisamos da sua ajuda para isso. Se você ainda não testou a versão 4.8, agora é a hora!

Para testar o WordPress 4.8 você pode usar o plugin WordPress Beta Tester ou fazer o download do release candidate aqui (zip).

Fizemos um monte de mudanças desde o lançamento da versão Beta 2, no começo da semana. Para mais detalhes sobre as novidades da versão 4.8, leia os posts sobre a Beta 1 e Beta 2.

Acha que encontrou um bug? Publique no fórum de versões Alfa/Beta/RC. Se aparecer qualquer problema, você poderá encontrá-lo aqui.

Desenvolvedores, testem seus plugins e temas na versão 4.8 do WordPress e atualize a informação Testado até o WordPress para 4.8 no arquivo readme. Se você encontrar problemas de compatibilidade publique nos fóruns de suporte para que possamos resolvê-los antes do lançamento da versão final – trabalhamos duro para evitar que as coisas parem de funcionar. Um guia aprofundado sobre as mudanças voltado para desenvolvedores será publicado em breve no blog de desenvolvimento dos arquivos básicos.

Ajude-nos a traduzir o WordPress para mais de 100 idiomas, inclusive o Português!

O haicai desta versão é uma cortesia de @matveb:

Érrese uno
Cien veces y más
Erre ce dos

Agradecemos a ajuda nos testes das últimas versões do WordPress.

WordPress 4.8 Beta 2

WordPress 4.8 Beta 2 já está disponível!

Mas lembre-se, versões beta são de um software ainda em período de testes, com isso não recomendamos que você utilize esta versão em seu site ainda. Considere utilizar este verão apenas para testar as novas funcionalidades desta versão (mencionadas no post sobre a versão beta 1 deste release). Caso você seja um desenvolvedore de plugins ou temas, recomendamos o teste também para garantir que seu tema está alinhado com as novidades desta versão.

Ainda sobre esta nova versão, com a adição dos novos widgets de áudio e vídeo, foi descoberto que arquivos no formato WMV e WMA não são mais suportados pela biblioteca de mídia utilizada no WordPress, a MediaElements.js, com isso o suporte nativo a estas extensões foi removida do WordPress. Caso necessite utilizar tais arquivos através de plugins, você pode utilizar a função para adicionar tal compatibilidade citada neste post no Make (onde a comunidade que está desenvolvendo a nova versão documenta as conversas importantes relativas a todo universo WordPress).

WordPress 4.7.5 – Atualização de segurança e manutenção

O WordPress 4.7.5 já está disponível. Esta é uma atualização de segurança para todas as versões anteriores, recomendamos que você atualize seus sites imediatamente.

As versões 4.7.4 e anteriores do WordPress foram afetadas por seis problemas de segurança:

  1. Validação insuficiente dos redirecionamentos na classe HTTP. Relatado por Ronni Skansing.
  2. Manipulação imprópria dos valores dos metadados dos posts na API XML-RPC. Relatado por Sam Thomas.
  3. Falta de verificação de capacidades para os metadados dos posts na API XML-RPC. Relatado por Ben Bidner da equipe de segurança do WordPress.
  4. Uma vulnerabilidade a ataques por falsificação de solicitação entre sites (CRSF, do inglês Cross Site Request Forgery) descoberta na troca de informações sobre credenciais no sistema de arquivos. Relatado por Yorick Koster.
  5. Uma vulnerabilidade a execução de scripts de outros sites (XSS, do inglês Cross-Site Scripting) descoberta na tentativa de uploads de arquivos grandes. Relatado por Ronni Skansing.
  6. Uma vulnerabilidade a XSS relacionada ao Personalizar. Relatado por Weston Ruter da equipe de segurança do WordPress.

Agradecemos a todos os que identificaram e relataram esses problemas pelo modo responsável como isso foi feito.

Além destas questões de segurança, o WordPress 4.7.5 contém 3 ajustes de manutenção para a série de versões 4.7. Para mais informações, leia as notas de lançamento ou consulte a lista de mudanças.

Faça o download do WordPress 4.7.5 ou navegue pelo Painel → Atualizações e clique em “Atualizar agora”. Sites com suporte a atualizações automáticas em segundo plano já começaram a se atualizar para o WordPress 4.7.5.

Agradecemos a todos que contribuíram para a versão 4.7.5.

WordPress agora está na HackerOne

O WordPress cresceu muito nos últimos 13 anos e agora ele está por trás de mais de 28% dos 10 milhões de sites de maior destaque na Web. Durante este crescimento, cada equipe do WordPress trabalhou com afinco para melhorar continuamente suas ferramentas e processos. Hoje, a Equipe de Segurança do WordPress tem o prazer de anunciar que agora o WordPress está oficialmente na HackerOne!

HackerOne é uma plataforma criada para que pesquisadores em segurança possam comunicar a nossa equipe as vulnerabilidades por eles encontradas, de maneira segura e responsável. Ela dispõe de ferramentas que melhoram a qualidade e consistência da comunicação com estes pesquisadores, e permite reduzir o tempo gasto em responder problemas mais comuns já relatados. Isso libera nossa equipe para despender mais tempo trabalhando em melhorias na segurança do WordPress.

A equipe de segurança do WordPress tem trabalhado neste projeto já faz algum tempo. Nikolay Bachiyski iniciou a equipe de trabalho há um pouco mais de um ano. O projeto rodou como um programa privado enquanto nós desenvolvíamos nossos procedimentos e processos, e estamos entusiasmados em finalmente torná-lo público.

Com o anúncio do programa WordPress HackerOne, também apresentamos o programa de recompensas Bug Bounties (ou “recompensas por bugs”, em Português). O Bug Bounties nos permite recompensar aqueles nos comunicam bugs e brechas encontradas, além de nos auxiliar a manter mais seguro nossos produtos e infraestrutura. Nós já distribuímos mais de US$ 3.700 em recompensas a sete diferentes pesquisadores! Ficamos agradecidos a Automattic por pagar estas recompensas em nome do projeto WordPress.

O programa e as recompensas se estendem a todos os nossos projetos, incluindo WordPress, BuddyPress, bbPress, GlotPress e WP-CLI, bem como todos os nossos websites, incluindo WordPress.org, bbPress.org, WordCamp.org, BuddyPress.org e GlotPress.org.

WordPress 4.8 Beta 1

De acordo com o post publicado por Matt Mullenweg no blog do WordPress.org a equipe/comunidade mundial do WordPress.org está planejando uma versão nova do WordPress para o próximo mes, trazendo três melhorias principais:

  • Experiência aprimorada no editor visual, com um novo TinyMCE que permite que você navegue mais intuitivamente em elementos inline, como links.
  • Alteração no widget de notícias do painel administrativo trazendo os Meetups e WordCamps que estão por vir e os mais próximos de você.
  • Vários novos widgets de mídia para imagens, áudio e vídeo, e um aprimoramento no widget de texto para oferecer suporte à edição visual.

O primeiro beta do WordPress 4.8 já está disponível para testes. Você pode utilizar o plugin Beta Tester para baixar esta versão beta e testar estas novidades. O objetivo disso é tornar as postagens com links mais intuitivas, criar widgets de forma mais fácil para novos usuários do WordPress e também para os que já utilizam a ferramenta, além de fazer com que mais utilizadores do WordPress se conscientizem e prestigiem os eventos de nossa comunidade.

WordPress 4.8 não dará mais suporte para IE 8, 9 e 10

No fim de semana do dia 22 de abril, Matt Mullenweg anunciou que a versão 4.8 do WordPress não terá mais suporte para as versões 8, 9 e 10 do IE. Duas semanas antes, o suporte a navegadores foi discutido pelos colaboradores para definir os requisitos técnicos para o novo editor.

A Microsoft descontinuou o suporte para os IE 8, 9 e 10 em janeiro de 2016, o que significa que estas versões não recebem mais atualizações de segurança. Mullenweg disse que a tentativa de continuar dando suporte para estes navegadores está impedindo o avanço do desenvolvimento do WordPress.

“Acredito que o pessoal com estes navegadores provavelmente está preso a eles por algum motivo fora de seu controle, como estar em uma biblioteca ou coisa assim”, disse Mullenweg. “Dependendo de como você conta, estes navegadores juntos estão sendo usados por volta de 3% ou menos que 1% do total de usuários, mas, de qualquer forma, eles ficaram abaixo da linha de corte onde é útil ao WordPress continuar se desenvolvendo”.

Em um esforço para determinar quantas pessoas continuam usando estes navegadores inseguros e obsoletos, Jonathan Desrosiers coletou dados de três fontes diferentes. Os números abaixo representam o uso global do IE publicado pela StatCounter’s GlobalStats, que segundo Desrosiers são praticamente idênticos aos números do WordPress.com:

  • IE8: 0,41%
  • IE9: 0,26%
  • IE10: 0,26%
  • IE11: 3,79%

O WordPress não parará completamente de funcionar nestes navegadores, mas depois do lançamento da versão 4.8 os colaboradores não testarão novos recursos em versões antigas do IE. Algumas funções do painel poderão ser mais limitadas. Mullenweg confirmou que as próximas versões do TinyMCE não darão mais suporte para versões anteriores do Internet Explorer.

O uso global do IE caiu de 7,44% em março de 2016 para 4,18% em março de 2017. Com o aumento do uso de dispositivos móveis a participação do IE neste mercado vem diminuindo. Outubro de 2016 foi o primeiro mês na história no qual o tráfego oriundo de celulares e tablets ultrapassou o de desktops. Com esta tendência de queda do uso de desktops, o IE será praticamente enterrado em alguns anos.

“Fui bastante pressionado a encontrar uma agência governamental americana rodando uma versão do IE mais baixa que a 11”, comentou Andrew Nacin, líder de desenvolvimento do WordPress, durante o anúncio. “Sites de agências governamentais também veem tráfego insignificante vindo de versões do IE menores que a 11”.

A decisão de parar com o suporte a versões 8, 9 e 10 do IE foi recebida com celebração pela comunidade de desenvolvedores do WordPress. Concentrar-se em navegadores que ainda recebem atualizações de segurança é um uso melhor de tempo e recursos dos colaboradores de ferramentas de código aberto. Esta política de suporte do WordPress ao IE também pode ser usada como argumento por desenvolvedores que atendem a clientes que pedem por suporte a navegadores inseguros.

Naturalmente, o tópico sobre aumentar requisitos mínimos dos navegadores resultou no lobby de desenvolvedores para acabar com o suporte para o PHP 5.2, que teve sua vida encerrada há seis anos. Em março de 2015, estatísticas do WordPress estimaram em 16, 6% o uso do PHP 5.2, mas o número caiu drasticamente para 5,1% hoje. A tarefa de atualizar um navegador para sua última versão é fácil para os usuários, mas atualizar versões do PHP ainda é um pouco complicado para aqueles que não recebem ajuda de suas empresas de hospedagem. Os 5,1% usando PHP 5.2 representam milhões de usuários que precisariam transpor um obstáculo significativo para poder usar a última versão do WordPress.

Traduzido de https://wptavern.com/wordpress-4-8-will-end-support-for-internet-explorer-versions-8-9-and-10

WordPress Meetups: O que são estes encontros da comunidade WordPress?

No momento da pesquisa feita para criação desta matéria creio que algum Meetup da comunidade WordPress esteja acontecendo pelo mundo, pois existem 1.179 grupos de meetups englobando mais de 403.300 pessoas pelo mundo. Bastante gente não? Mas certamente já tem mais depois da publicação aqui.. duvida? Veja aqui!

Quem é da comunidade brasileira já está acostumado em ouvir que num determinado dia teremos o WordPress Meetup de uma determinada cidade, mas escrevi isso para você que ainda não sabe bem o que é isso ficar por dentro desses encontros que reúnem interessados nesta ferramenta! Continuar lendo “WordPress Meetups: O que são estes encontros da comunidade WordPress?”

WordPress 4.7.4 – Atualização de manutenção

Depois de quase sessenta milhões de downloads do WordPress 4.7, temos o prazer de anunciar o lançamento da versão 4.7.4, uma versão de manutenção.

Esta atualização contém 47 ajustes e melhorias, com destaque entre elas para uma incompatibilidade com uma versão vindoura do Chrome e o editor visual, inconsistências na manipulação das mídias e melhorias na REST API. Para uma lista completa de mudanças consulte as notas de lançamento e a lista de modificações. Continuar lendo “WordPress 4.7.4 – Atualização de manutenção”

WordPress 4.7.3 – Atualização de Segurança

O WordPress 4.7.3 está disponível. Esta é uma atualização de segurança para todas as versões anteriores e encorajamos fortemente que você atualize seus sites imediatamente.

O WordPress nas versões 4.7.2 e anteriores estão afetadas por 6 questões de segurança:

  1. Vulnerabilidade cross-site scripting (XSS) via metadadados de arquivos de mídia.  Reportado por Chris Andrè Dale, Yorick Koster, e Simon P. Briggs.
  2. Caracteres de controle podem enganar redirecionamentos para validação de URL. Reportado por Daniel Chatfield.
  3. Arquivos não intencionais podem ser excluídos pelos administradores usando a funcionalidade de exclusão de plugins.  Reportado por xuliang.
  4. Vulnerabilidade cross-site scripting (XSS) através de URL de embeds do Youtube.  Reportado por Marc Montpas.
  5. Vulnerabilidade cross-site scripting (XSS) via nomes de termos em taxonomias.  Reportado por Delta.
  6. Falsificação de solicitações entre sites (CSRF) na funcionalidade “Press This” levando ao uso excessivo de recursos do servidor. Reportado por Sipke Mellema.

Obrigado a todos que reportaram tais erros por praticarem a divulgação responsável.

Em adição as atualizações de segurança mencionadas acima, o WordPress 4.7.3 contém 39 correções em relação a versão 4.7. Para mais informações, veja as notas de lançamento ou consulte a lista de alterações.

Baixe o WordPress 4.7.3 ou aventure-se através do Dashboard → Atualizações simplemente clicando no botão “Atualizar Agora”. Sites com atualização automativa ativada já começaram e serem atualizados para esta nova versão.

WordPress 4.7.2 – Atualização de Segurança

WordPress 4.7.2 já está disponível. Esta é uma atualização de segurança para todas as versões anteriores e recomendamos fortemente que você atualize todos os seus sites imediatamente.

A versão 4.7.1 doWordPress e todas as anteriores estão afetadas por três questões de segurança:

  1. A interface do usuário para atribuir termos de taxonomias na funcionalidade “Publique Isso” (Press This) é mostrada para usuários que não têm permissão para isso. Relatado por David Herrera da Alley Interactive.
  2. WP_Query é vulnerável à SQL injection (SQLi)quando dados inseguros são passados. O core do WordPress não é diretamente vulnerável a esse problema, mas forçamos o código para prevenir que plugins e temas possam causar acidentalmente essa vulnerabilidade. Relatado por Mo Jangda (batmoo).
  3. Vulnerabilidade cross-site scripting (XSS) foi descoberta na tabela de listagem de posts. Reportado por Ian Dunn, do WordPress Security Team.
  4. Vulnerabilidade de Escalonamento de Privilégio Não Autenticado foi descoberta em um endpoint da REST API . Reportado por Marc-Alexandre Montpas, da Sucuri Security. *

Obrigado aos que reportaram estes problemas praticando a divulgação responsável em todo os casos.

Baixe o WordPress 4.7.2 ou aventure-se através do Dashboard → Atualizações simplemente clicando no botão “Atualizar Agora”. Sites com atualização automativa ativada já começaram e serem atualizados para esta nova versão.

Obrigado a todos que colaboraram com estas correções!

Atualização: Uma séria vulnerabilidade adicional foi corrigida nesta versão mas sua divulgação pública foi adiada e divulgada dias depois por motivos de segurança. Para mais informações sobre essa vulnerabilidade, passos para a mitigar e explicação do porque ela foi adiada, você pode ler o post original Disclosure of Additional Security Fix in WordPress 4.7.2 (em inglês) como fonte correta sobre o assunto. Trazemos abaixo a tradução desta explicação.

Correção adicional no WordPress 4.7.2

Além das 3 vulnerabilidades de segurança mencionadas na publicação original da atualização, as versões 4.7 e 4.7.1 possuíam mais uma vulnerabilidade, cuja divulgação fora adiada. Havia uma Vulnerabilidade de Escalonamento de Privilégio Não Autenticado em um endpoint da REST API. Versões anteriores do WordPress, mesmo as que usam o plugin REST API, não possuem essa vulnerabilidade.

Acreditamos que transparência é de interesse público. É nossa posição que falhas de segurança sejam sempre discutidas. Nesse caso, adiamos intencionalmente a divulgação dessa falha por uma semana para garantir a segurança de milhões de sites que utilizam o WordPress.

Em 20 de Janeiro, Sucuri nos alertou sobre uma vulnerabilidade descoberta por um de seus pesquisadores de segurança, Marc-Alexandre Montpas. O time de segurança começou a avaliar o problema e trabalhar numa solução. Enquanto uma primeira correção foi criada no início, a equipe sentiu que mais testes eram necessários.

Enquanto isso, Sucuri adicionou regras de segurança ao seu Firewall de Aplicações Web (FAW) para bloquear tentativas de exploração dessa falha contra seus clientes. Esse problema foi encontrado internamente e nenhuma tentativa externa foi registrada pela Sucuri.

Durante o fim de semana, comunicamos várias outras empresas com FAWs, incluindo SiteLock, Cloudflare e Incapsula e trabalhamos para criar um conjunto de regras para proteção de mais usuários. Pela segunda-feira, essas regras já haviam sido aplicadas e estávamos checando regularmente por tentativas de exploração dessa falha em sites ativos.

Na segunda-feira, enquanto continuávamos testando e refinando essa correção, nosso foco mudou para as empresas de hospedagem de WordPress. Entramos em contato em particular com informações sobre a vulnerabilidade e formas de como proteger seus usuários. Elas trabalharam juntamente com o time de segurança para implementar essas proteções e regularmente checar por tentativas de ataques contra seus usuários.

Na quarta-feira à tarde a maioria das empresas de hospedagem com que trabalhamos já tinham medidas de segurança funcionando. Os dados dos quatro FAWs e das empresas de hospedagem não indicavam que a vulnerabilidade havia sido explorada em sites ativos. Como resultado, tomamos a decisão de adiar a divulgação dessa falha em particular para dar tempo das atualizações automáticas serem executadas e garantir que o máximo possível de usuários haviam sido protegidos antes de torná-la pública.

Na quinta-feira, 26 de Janeiro, lançamos o WordPress 4.7.2 para o mundo. Este lançamento foi utilizado pelos sistemas com atualização automática habilitada e, em algumas horas, milhões de sites com o WordPress 4.7.x foram protegidos sem saber sobre tal problema e precisar tomar qualquer ação sobre isso.

Gostaríamos de agradecer a Sucuri pela divulgação responsável do caso, além de ter trabalhando conosco para adiar a divulgação até que estejamos confiantes de que muitos sites já estivessem atualizados para a versão 4.7.2 quanto possível. também gostariamos de agradecer aos WAFs e empresas de hospedagem que trabalharam conosco para criar camadas adicionais de proteção e monitorar seus sistemas por tentativas de explorar esta falha. Até hoje, para sua informação, não foram registradas tentativas de tentar explorar esta vulnerabilidade em sites ativos..

Créditos

Matéria originalmente publicada no blog em inglês do WordPress.org.

Publicada aqui por @gugaalves com colaboração na tradução por @mariovalney.