Acabei de instalar a nova versão do WordPress — 2.0.5-Ronan — que corrige algumas falhas de segurança.
Tudo parece OK, mas eu queria que o pessoal do WordPress detalhasse as mudanças e os problemas de segurança com mais seriedade. A versão 2.0.5 é uma versão de bugfix, ou seja, não devem haver novos recursos que tentem os usuários a atualizar. As pessoas precisam saber o que está sendo corrigido para ter algum incentivo. Caso contrário veremos um worm de WordPress na primeira falha grave que aparecer (como já aconteceu com o phpBB).
Infelizmente, toda a informação que temos, olhando no site da Secunia, é que existem “vulnerabilidades de impacto desconhecido” devido a “erros não especificados”. Não acredito que alguém precisa dizer à comunidade de código aberto que falta de informação não é o jeito de se fazer segurança. E não, um link para a página de bug tracking do WordPress não conta.
E uma pequena contradição: enquanto procurava por uma página sobre segurança no WordPress.org, encontrei um guia do WordPress Codex, Hardening WordPress, onde é recomendado que você esconda a versão do WordPress que você roda. Entretanto, o tema padrão do WordPress vem com este código:
<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” /> <!– leave this for stats –>
Em outras palavras, um código que exibe a versão do WordPress no código HTML, acompanhando por um pedido para não removê-lo devido a “estatísticas”. Se realmente ajuda esconder a versão eu não sei, mas o fato é que o tema padrão do WordPress não segue as dicas apresentadas em um artigo sobre segurança na documentação oficial e ainda a contradiz, pedindo que a informação de versão seja mantida. (Os feeds do WordPress também imprimem a informação de versão.)
Acho o WordPress um ótimo software, mas isso não significa que não há nada de mais que possa ser feito pela segurança.