Se você usa a versão 1.5 do WordPress para rodar o seu blog, certamente já viu o aviso de atualização deste que é um dos mais populares softwares do gênero (segundo eles mesmos, claro). Chamou minha atenção o fato da equipe de desenvolvimento do programa ter “invertido o lide”, ou seja, colocando a notícia mais importante no final do texto:
Development has moved on to some exciting new features for the next major release, but an important security issue was brought to our attention which required an update for our users. The problem is not yet public but you should update your blog as soon as possible to 1.5.1.3. If you are unable to do upgrade in the short-term you may protect yourself by deleting the xmlrpc.php file from your WordPress directory.
Ou seja: esqueça o lançamento da nova versão e trate de driblar o tal problema de segurança e fazer o que pedem – seja baixando e instalando a versão nova ou apagando o tal arquivo. Vai que o tal problema de segurança seja grave mesmo…
Atualizado – Levei um esporro do Neto Cury pela minha postura alarmista, já que a atualização saiu há pouco menos de uma semana, ou seja, tempo suficiente pra meio mundo saber. O tal “problema não divulgado” é uma falha de segurança do protocolo XML-RPC, encontrado em diversas aplicações web como gerenciador de blogs e sites wiki (mais aqui). No blog do Matt Mullenweg, criador do WordPress, a nova versão utiliza versões mais seguras deste protocolo.
A propósito, esse mesmo Matt Mullenweg foi pego recentemente usando a home do WordPress para tapear o Google AdSense e faturar uns trocados – para a causa, diz ele. O que não deixa de suspeito para um projeto envolvendo centenas de programadores engajados na prática do código aberto. Fato batizado pelo Fabio Mont’Alegre (o DJ Spiceee) como o fiasco do WordPress e responsável por um acalorado debate sobre código aberto x fechado, dividido em duas partes, no blog do Charles Pilger.
Claro que é notícia velha, e que eu também não sabia. Talvez eu tenha que trabalhar menos e navegar mais. Ou tirar férias logo.
Caramba, eu mal consegui instalar o WP e você me vem com uma notícia dessas?! Ou melhor, foi o próprio progaminha do meu host que o instalou, então cá estou eu perdidinha de novo. Humpf… :0(
Isso significa: trabalho pro Evilasio! 🙂
Ah eu bem que tentei postar do Flickr uma fotinha ontem e deu erro no arquivo xmlrpc.php ….será que já é indicio do problema? Ixi…
Beijo pra tu!
Legal sua iniciativa… Muita gente ainda não sabia (incluindo eu)…
Valeu.
Viu só, mesmo sem blog eu sou antenada! Hohohoho…
Que isso, não foi esporro, desculpe-me se assim fiz parecer, é que trato a todos da comunidade como amigos, e com amigos temos liberdade para falar mais diretamente.
O esporro vai agora, pois devias ficar de olho nas informações da comunidade, pois sempre emitimos os alertas de atualizações, e sendo você assinante da comunidade, trata de ler pelo menos o ASSUNTO das mensagens né!
Bão, esporro dado (risos), abração cumpádi.
Já tirei o daily digest da lista… Agora vou ler os assuntos!