Ok, esta é a semana da segurança (ou falta dela) no universo da web, certo?

Já falamos de login sem usar senha no WordPress, bug Heartbleed que abalou a Internet, e hoje chegou a vez de dar o alerta para uma atualização crítica do Jetpack.

Se você usa o famoso plugin criado pela Automattic, deve ter recebido um email informando que uma vulnerabilidade de segurança séria foi descoberta no código do plugin.

A vulnerabilidade atinge o plugin desde a versão 1.9 (a atual é 2.9.3). De acordo com um dos desenvolvedores:

“Ao fazer uma auditoria de segurança, encontramos um bug que permite que uma pessoa mal intencionada tenha acesso ao site e publique posts. Esta vulnerabilidade poderia ser combinada com outras formas de ataque para ampliar o acesso (à instalação WordPress inteira)”

Segundo o time de desenvolvimento, não há evidência até o momento de que a vulnerabilidade tenha sido explorada em qualquer dos sites que estejam usando o plugin (e conectados ao WordPress.com). Ainda assim, com o informe público de que há uma vulnerabilidade, toda e qualquer instalação do WordPress que esteja usando o Jetpack fica exposta ao abuso. É recomendável que você tome uma ação imediata e atualize o plugin no dashboard (ou faça download na página oficial e substitua os arquivos).

Ainda de acordo com um dos desenvolvedores, a seriedade do bug é tão grande que instalações com versões vulneráveis do plugin poderão ser desconectadas do serviço Jetpack em breve.

E você, já conferiu se o seus plugins (e o WordPress) estão atualizados? A segurança do seu site depende fundamentalmente disso (e de outras coisas, claro)!