Para resolver uma vulnerabilidade crítica no plug-in, a empresa por trás do WordPress instalou uma correção do Jetpack em milhões de sites.
O Jetpack é um plug-in imensamente popular que fornece melhorias gratuitas de segurança, desempenho e gerenciamento de sites, incluindo backups de sites, proteção contra ataques de força bruta, logins seguros, verificação de malware e muito mais.
De acordo com o repositório oficial de plug-ins do WordPress, o plug-in é mantido pela Automattic e agora possui mais de 5 milhões de instalações ativas.
Agora, a Automattic, a empresa por trás do sistema de gerenciamento de conteúdo de código aberto WordPress, começou a forçar a instalação de um patch de segurança em milhões de sites hoje para resolver uma vulnerabilidade crítica no plug-in Jetpack WordPress.
WordPress instalou uma correção do Jetpack em milhões de sites
O Jetpack 12.1.1, o patch de segurança atualmente implementado automaticamente em todos os sites WordPress usando o plug-in, começou a ser implementado recentemente e já foi instalado em mais de 4.130.000 sites usando todas as versões do Jetpack desde 2.0.
“Durante uma auditoria de segurança interna, encontramos uma vulnerabilidade com a API disponível no Jetpack desde a versão 2.0, lançada em 2012”, disse o engenheiro de relações com desenvolvedores da Automatic, Jeremy Herve.
“Esta vulnerabilidade pode ser usada por autores em um site para manipular qualquer arquivo na instalação do WordPress.”
Isso significa que os sites mais vulneráveis já foram atualizados automaticamente para a versão segura mais recente, e o restante também será corrigido em breve.
Herve também alertou os administradores do site que, embora não haja sinais de que o bug tenha sido abusado em ataques, eles devem garantir que seus sites sejam protegidos, pois os invasores provavelmente captarão os detalhes da falha e criarão exploits direcionados a sites WordPress não corrigidos.
“Não temos evidências de que essa vulnerabilidade tenha sido explorada. No entanto, agora que a atualização foi lançada, é possível que alguém tente tirar proveito dessa vulnerabilidade”, disse Herve.
“Atualize sua versão do Jetpack o mais rápido possível para garantir a segurança do seu site. Para ajudá-lo nesse processo, trabalhamos em estreita colaboração com a equipe de segurança do WordPress.org para lançar versões corrigidas de todas as versões do Jetpack desde 2.0. A maioria os sites foram ou serão em breve atualizados automaticamente para uma versão segura.”
Esta não é a primeira vez que a Automattic usa a implantação automatizada de atualizações de segurança para corrigir problemas críticos em plug-ins ou instalações do WordPress.
Por exemplo, o desenvolvedor do WordPress Samuel Wood disse em outubro de 2020 que a Automattic usou essa abordagem para enviar “lançamentos de segurança para plug-ins muitas vezes” desde que o WordPress 3.7 foi lançado.