{"id":64343,"date":"2022-01-11T13:13:06","date_gmt":"2022-01-11T16:13:06","guid":{"rendered":"https:\/\/www.psafe.com\/blog\/?p=64343"},"modified":"2022-03-10T15:59:53","modified_gmt":"2022-03-10T18:59:53","slug":"wordpress-lanca-atualizacao-para-corrigir-falhas-de-seguranca","status":"publish","type":"post","link":"https:\/\/www.psafe.com\/blog\/wordpress-lanca-atualizacao-para-corrigir-falhas-de-seguranca\/","title":{"rendered":"WordPress lan\u00e7a atualiza\u00e7\u00e3o para corrigir falhas de seguran\u00e7a"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">O WordPress anunciou a corre\u00e7\u00e3o de quatro vulnerabilidades encontradas no seu pr\u00f3prio n\u00facleo, identificadas por sua equipe de desenvolvimento, na \u00faltima semana de dezembro. Classificadas em uma escala de criticidade que vai de 1 a 10, metade das falhas foram classificadas em n\u00edvel 8, pr\u00f3ximas ao maior patamar de risco.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Apesar da implementa\u00e7\u00e3o de melhorias e corre\u00e7\u00e3o de problemas cont\u00ednuos, o WordPress tamb\u00e9m pode ser uma porta de entrada para a explora\u00e7\u00e3o de vulnerabilidades.&nbsp;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Uma simples falha de seguran\u00e7a \u00e9 o suficiente para tornar mais de 16 milh\u00f5es de sites suscet\u00edveis a ataques como <a href=\"https:\/\/www.psafe.com\/blog\/o-que-e-malware-e-como-se-proteger\/\">malwares<\/a> e <a href=\"https:\/\/www.psafe.com\/blog\/o-que-e-ransomware\/\">ransomwares<\/a>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Vale citar que o WordPress \u00e9 uma das plataformas open-source mais usadas do mercado, e \u00e9 usada por <a href=\"https:\/\/w3techs.com\/technologies\/history_overview\/content_management\" target=\"_blank\" rel=\"noreferrer noopener\">mais de um ter\u00e7o da web<\/a>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"as-vulnerabilidades-encontradas\">As vulnerabilidades encontradas<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Veja abaixo as quatro vulnerabilidades identificadas, acompanhadas de seus n\u00edveis de risco.<\/p>\n\n\n\n<ol class=\"wp-block-list\"><li>SQL injection devido \u00e0 falta de sanitiza\u00e7\u00e3o de dados em WP_Meta_Query (nota 7.4).<\/li><li>Authenticated Object Injection em Multisites (nota 6.6).<\/li><li>Stored Cross Site Scripting (XSS) por meio de usu\u00e1rios autenticados. Usu\u00e1rios com poucos privil\u00e9gios (como autores) no n\u00facleo do WordPress s\u00e3o capazes de executar JavaScript\/executar ataques XSS armazenados, o que pode afetar usu\u00e1rios com altos privil\u00e9gios (nota 8.0).<\/li><li>SQL injection por meio de WP_Query. Devido \u00e0 higieniza\u00e7\u00e3o inadequada, pode haver casos em que a SQL injection \u00e9 poss\u00edvel por meio de plugins ou temas que o utilizam de uma determinada maneira (nota 8.0).<\/li><\/ol>\n\n\n\n<p class=\"wp-block-paragraph\">A maior parte delas foi identificada pela primeira vez por analistas de seguran\u00e7a externos, que reportaram as notifica\u00e7\u00f5es para que a equipe do WordPress pudesse corrigi-las, antes que fossem disseminadas nos computadores de seus usu\u00e1rios.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"a-nova-versao-de-seguranca-do-wordpress-5-8-3\">A nova vers\u00e3o de seguran\u00e7a do WordPress 5.8.3<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Essas quatro vulnerabilidades de seguran\u00e7a afetam as vers\u00f5es do WordPress entre 3.7 e 5.8. Por isso, a recomenda\u00e7\u00e3o da pr\u00f3pria equipe \u00e9 a de que seus usu\u00e1rios <a href=\"https:\/\/br.wordpress.org\/2022\/01\/07\/wordpress-5-8-3-atualizacao-de-seguranca\/\">certifiquem-se, imediatamente, de que sua instala\u00e7\u00e3o do WordPress esteja atualizada<\/a> para a vers\u00e3o mais recente, atualmente 5.8.3.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Esta vers\u00e3o apresenta as quatro corre\u00e7\u00f5es de seguran\u00e7a, apesar de ter um car\u00e1ter de ciclo curto. O pr\u00f3ximo grande lan\u00e7amento ser\u00e1 a vers\u00e3o 5.9, que j\u00e1 est\u00e1 no est\u00e1gio <em>release candidate<\/em>. Todas as vers\u00f5es desde o WordPress 3.7 tamb\u00e9m foram atualizadas.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"como-atualizar\">Como atualizar<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">A princ\u00edpio, \u00e9 poss\u00edvel imaginar que a atualiza\u00e7\u00e3o manual possa ser uma tarefa complexa para aqueles pouco experientes na \u00e1rea da programa\u00e7\u00e3o, mas isso pode ser feito com apenas um clique na pr\u00f3pria p\u00e1gina principal. Basta visitar seu Painel, escolher a op\u00e7\u00e3o \u201cAtualiza\u00e7\u00f5es\u201d e clicar em \u201cAtualizar agora\u201d.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Se voc\u00ea utiliza sites que j\u00e1 oferecem atualiza\u00e7\u00f5es autom\u00e1ticas em segundo plano n\u00e3o \u00e9 preciso se preocupar, pois eles j\u00e1 iniciaram o processo. Mas \u00e9 preciso ter aten\u00e7\u00e3o, pois existem v\u00e1rios crit\u00e9rios a serem analisados antes de fazer uma atualiza\u00e7\u00e3o no WordPress.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"o-que-fazer-antes\">O que fazer antes<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">\u00c9 recomendado que qualquer mudan\u00e7a em seu site seja feita primeiramente em um ambiente de testes, para evitar futuros problemas na p\u00e1gina.<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Realize um backup de seu banco de dados e arquivos do site (como imagens).<\/li><li>Certifique-se de que o seu host realmente \u00e9 compat\u00edvel com a nova vers\u00e3o.<\/li><li>Cheque tamb\u00e9m a compatibilidade dos plugins que voc\u00ea usa.<\/li><li>Anote a vers\u00e3o atual assim que terminar uma atualiza\u00e7\u00e3o.<\/li><\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Depois da atualiza\u00e7\u00e3o, n\u00e3o deixe de fazer testes para ter certeza de que todos os recursos do site est\u00e3o funcionando normalmente.&nbsp;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>A plataforma tinha vulnerabilidades capazes de afetar mais 16 milh\u00f5es de sites. Atualiza\u00e7\u00e3o para nova vers\u00e3o deve ser imediata.<\/p>\n","protected":false},"author":113,"featured_media":64344,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_crdt_document":"","ngg_post_thumbnail":0,"footnotes":""},"categories":[5],"tags":[11935,6659,3369,12020,5471,12222],"class_list":["post-64343","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ciberseguranca","tag-empresarial","tag-noticia","tag-pessoal","tag-sql","tag-wordpress","tag-xss"],"_links":{"self":[{"href":"https:\/\/www.psafe.com\/blog\/wp-json\/wp\/v2\/posts\/64343","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.psafe.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.psafe.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.psafe.com\/blog\/wp-json\/wp\/v2\/users\/113"}],"replies":[{"embeddable":true,"href":"https:\/\/www.psafe.com\/blog\/wp-json\/wp\/v2\/comments?post=64343"}],"version-history":[{"count":0,"href":"https:\/\/www.psafe.com\/blog\/wp-json\/wp\/v2\/posts\/64343\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.psafe.com\/blog\/wp-json\/wp\/v2\/media\/64344"}],"wp:attachment":[{"href":"https:\/\/www.psafe.com\/blog\/wp-json\/wp\/v2\/media?parent=64343"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.psafe.com\/blog\/wp-json\/wp\/v2\/categories?post=64343"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.psafe.com\/blog\/wp-json\/wp\/v2\/tags?post=64343"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}