WordPress: Resumo das Notícias de Maio

O mês de maio trouxe com ele um grande marco: o 20º aniversário do WordPress! 

Para celebrar esse grande momento, a comunidade do WordPress, presente no mundo inteiro, organizou alguns eventos (link em inglês).

Mesmo em clima de festa, o ecossistema do WordPress continuou trabalhando a todo vapor. Além de serem lançadas novas atualizações de manutenção e segurança, recebemos a notícia de que o WordPress 6.3 já começou a ser planejado. Plugins populares também receberam atualizações importantes que corrigem problemas de vulnerabilidade. Continue lendo este post para conferir todas as novidades!

20º Aniversário do WordPress

O aniversário de 20 anos do WordPress foi comemorado no mundo inteiro. De encontros presenciais a workshops interativos, cada comunidade tinha sua própria maneira de celebrar.

Para homenagear esse grande marco, convidamos Tammie Lister, uma das maiores colaboradoras do WordPress, para falar sobre o progresso do Gutenberg e sobre como os testes e feedbacks impulsionam o desenvolvimento do CMS mais popular do mundo.

Assista ao podcast completo em nosso canal do YouTube (vídeo em inglês) ou leia o post em nosso blog (link em inglês).

Ainda em nosso blog, confira um conteúdo exclusivo, onde você descobrirá como quatro clientes alcançaram o sucesso online usando o WordPress.

• Lotte Johansen – defensora da acessibilidade na internet.
• Verônica Naka – arquiteta e CEO da Nakasa.
• Phoebe Poon – CEO e co-fundadora do Liker Land (link em inglês) e do plugin Web3Press (link em inglês).
• Michelle Frechette – profissional de marketing e produtora dos podcasts do Audacity Marketing (link em inglês).

Atualizações do WordPress

Curiosamente, o mês que o WordPress comemorou seu aniversário acabou sendo um dos mais movimentados para o projeto principal. Em apenas quatro dias, houve dois grandes lançamentos.

WordPress 6.2.1 e 6.2.2

O WordPress 6.2.1 (link em inglês) e 6.2.2 foi lançado em 16 de maio de 2023 e 20 de maio de 2023, respectivamente.

O WordPress 6.2.1 corrigiu 20 erros principais e 10 erros do editor. Outros 5 problemas de segurança também foram corrigidos incluindo a vulnerabilidade Cross-Site Request Forgery (CSRF), ataques Cross-Site Scripting, aprimoramento na função KSES, e vulnerabilidade de path traversal.

No entanto, ainda havia um problema de segurança devido à análise de shortcode em dados gerados pelo usuário em temas de bloco. Os invasores podiam usar conteúdos como comentários de posts de blog para executar códigos de acesso, resultando em riscos de exploits.

Para corrigir o problema, o WordPress 6.2.1 removeu o suporte a shortcode dos templates de bloco. Infelizmente, essa solução rápida deixou vários sites que dependiam dos temas de bloco e dos códigos de acesso fora do ar.

É por isso que o WordPress 6.2.2 (link em inglês) foi lançado alguns dias depois. Além de restaurar o suporte a shortcode, esta versão também impede a análise de shortcode. Essa análise foi o motivo que desencadeou a vulnerabilidade.

Atualizações do Gutenberg

Todas essas atualizações de manutenção do núcleo do WordPress e planejamentos de lançamento não impediram que fossem lançadas duas novas versões do Gutenberg esse mês. Se você usa o editor de blocos, instalar o Gutenberg garante ainda mais recursos.

Confira alguns dos recursos das versões do Gutenberg lançadas este mês: 15.7 (link em inglês) e 15.8 (link em inglês).

Menu de Páginas na Barra Lateral de Navegação

Imagine que você está personalizando seu site com o editor e precisa editar uma página. Em vez de retornar ao painel e abrir a aba Páginas, você pode fazer isso diretamente no editor do site, usando o menu Páginas na barra lateral esquerda. O menu irá exibir 10 páginas atualizadas recentemente.

UI de Revisão de Estilos Globais

Rastrear revisões é uma das coisas mais difíceis de fazer no WordPress, mas a interface de usuário para os estilos globais facilitou esse processo. Agora você pode usar a interface de revisão para reverter os estilos anteriores.

Acesse a ferramenta de revisão pelo ícone de reticências no painel de estilos global. Ele mostra quantas revisões estão disponíveis, a data e hora, e os usuários que fizeram as alterações. Para reverter, basta selecionar qualquer uma das versões e clicar em Aplicar.

Novos Controles no Painel de Configurações do Bloco

Dois blocos receberam novas ferramentas em seu painel de configurações tornando a experiência de edição mais rápida.

O bloco de logo do site agora tem uma ferramenta para adicionar, substituir ou redefinir a imagem. Embora essa funcionalidade seja a mesma que o espaço reservado para blocos e para a ferramenta na barra de ferramentas de blocos, o painel de configurações facilita seu trabalho.

O controle duotone agora está disponível no painel de configurações do bloco, na guia Estilos. Semelhante ao caso do bloco de logo do site, a funcionalidade desse recurso é a mesma que o controle de tom duplo na barra de ferramentas. Ter esse recurso no painel de configurações do bloco elimina a necessidade de ir e voltar entre essas duas áreas para personalizar.

Cronograma de Lançamento do WordPress 6.3

A próxima versão do WordPress será a 6.3 (link em inglês), e a equipe principal concluiu o planejamento e o cronograma com as seguintes datas:

• Primeira versão beta: 27 de junho de 2023
• Candidato a primeiro lançamento: 18 de julho de 2023
• Versão 6.3 do WordPress: 8 de agosto de 2023

Você pode conferir uma prévia dos novos recursos e testar o funcionamento do seu site usando versões beta ou versões que estão próximas de serem lançadas. Para contribuir com a contínua melhora do WordPress, você também pode contar como foi testar as novas versões no fórum do WordPress.

Notícias de segurança do WordPress

No mês de maio, muitas vulnerabilidades foram encontradas em alguns plugins, o que ocupou o tempo dos desenvolvedores. Ao analisar o banco de dados do Patchstack, verificamos que alguns plugins populares foram expostos a riscos de segurança.

Para resolver esse problema, foram lançadas novas atualizações. Tudo o que você precisa fazer é verificar se o seu plugin está usando a versão mais recente.

Vulnerabilidade de Privilege Escalation no Plugin Easy Digital Downloads

Pontuação CVSS: 9,8 (Vulnerabilidade Crítica)

No final de abril de 2023, foi descoberta uma vulnerabilidade de privilege escalation (link em inglês), no plugin Easy Digital Downloads que permite aos usuários – independentemente da tarefa – executar qualquer função com o prefixo edd_.

É fundamental que esse prefixo seja usado para redefinir senhas, pois sua função é impedir que um invasor que saiba seu nome de usuário, assuma seu site redefinindo a senha de qualquer um dos usuários do seu sistema, inclusive do administrador.

Uma vez que o Easy Digital Downloads (link em inglês) é um dos plugins de e-Commerce mais populares para a venda de produtos digitais, essas vulnerabilidades podem causar muitos prejuízos.

Por sorte, o patch para corrigir esse problema, a versão 3.1.1.4.2, foi lançado no início deste mês. Se você ainda estiver usando a versão mais antiga, é importante que você atualize esse plugin o mais rápido que puder.

Vulnerabilidade de Privilege Escalation no Plugin Essential Addons do Elementor

Pontuação CVSS: 9,8 (Vulnerabilidade Crítica)

Uma vulnerabilidade de Privilege Escalation (link em inglês) semelhante também foi encontrada no plugin Essential Addons do Elementor (link em inglês). Como a função de redefinição de senha altera a senha do usuário em vez de validar a chave de redefinição, se o invasor souber seu nome de usuário ele pode redefinir sua senha.

Assim como na vulnerabilidade do plugin Easy Digital Downloads, um invasor pode redefinir a senha de um administrador e assumir o site. Um fato preocupante é que mais de 1 milhão de sites têm esse plugin instalado, e o banco de dados do Patchstack mostra que os invasores se aproveitam dessa vulnerabilidade.

A vulnerabilidade afeta as versões 5.4.0 a 5.7.1. A versão 5.7.2 tem o patch que resolve este problema, por isso, se você usa este plugin, é importante ter esta versão ou superior instalada.

Vulnerabilidade de SQL Injection no plugin LearnDash

Pontuação CVSS: 8,5 (Alta Severidade)

O plugin popular LMS, o LearnDash (link em inglês), foi exposto à vulnerabilidade de SQL Injection (link em inglês). Esse tipo de problema permite que usuários mal-intencionados acessem bancos de dados e informações confidenciais, incluindo dados de clientes.

Assim, essa vulnerabilidade pode ser extremamente prejudicial para as empresas, especialmente porque o LearnDash é muito usado por sites de cursos online.

Esse problema afetou a versão 4.5.3 do LearnDash e inferiores. Para não correr riscos, é importante que você atualize este plugin para a versão 4.5.3.1 ou superiores. 

Vulnerabilidade de Cross-Site Scripting no plugin Advanced Custom Fields

Pontuação CVSS: 7,1 (Alta Severidade)

As versões gratuitas e premium do Advanced Custom Fields (ACF) (link em inglês) foram expostas à vulnerabilidade de Cross-Site Scripting (XSS) (link em inglês). Essa vulnerabilidade permite que os invasores insiram códigos maliciosos ou scripts, resultando em inúmeras consequências.

O relatório do Patchstack mostra que essa vulnerabilidade pode levar ao roubo de dados confidenciais e ao escalonamento de privilégios do usuário. Embora o ACF seja um dos plugins de campo personalizados mais populares, com mais de dois milhões de instalações, o Patchstack afirma que não detectou exploits.

A vulnerabilidade afetou a versão 6.1.5 e inferiores, por isso recomendamos que seu plugin seja atualizado para a versão 6.1.6, seja sua conta gratuita ou premium.

Vulnerabilidade de API do Jetpack

A equipe do plugin Jetpack (link em inglês) descobriu uma vulnerabilidade de API (link em inglês) durante uma das auditorias internas de segurança. O problema permite que os autores do site ajustem qualquer arquivo de instalação do WordPress, mesmo que não sejam administradores.

A API está disponível da versão 2.0 a 12.1 no Jetpack. Como resultado, a equipe do Jetpack lançou um patch para corrigir essa vulnerabilidade na versão mais recente, a 12.1.1.

O Jetpack vai forçar a atualização dos plugins na maioria dos sites que continuam usando a versão vulnerável. Por isso, recomendamos que você verifique seu site e atualize-o imediatamente.

O que Esperar em Junho

Como já falamos, a fase de testes beta para o próximo lançamento do WordPress começará em junho, e é sempre muito emocionante ver os novos recursos chegando ao núcleo do WordPress.

Além disso, a comunidade WordPress está aguardando a chegada de um grande evento: o WordCamp 2023 da Europa (link em inglês). Esse evento acontecerá de 8 a 10 de junho, em Atenas, na Grécia! 

A Hostinger tem muito orgulho em patrocinar esse evento e estamos ansiosos para te encontrar lá! Compre seu ingresso no site oficial do WordCamp (link em inglês).