Explicação curta: Se você fez o download do WordPress 2.1.1 nos últimos 3-4 dias, os seus arquivos podem incluir um exploit de segurança que foi acrescentada por um cracker, e você deve fazer uma atualização de todos dos seus arquivos para a versão 2.1.2 imediatamente.

Explicação mais longa: esta manhã recebemos um aviso em nosso e-mail de segurança, sobre o código altamente explorável no WordPress. A questão foi investigada, e parece que o download 2.1.1 tinha sido modificado do seu código original. Derrubamos o site imediatamente para investigar o que aconteceu.

Foi determinado que um cracker obteve acesso de nível de usuário a um dos servidores da wordpress.org, e tinha usado esse acesso para modificar os arquivos de download. Este servidor foi desabilitado para estudos, mas neste período parece que o download do 2.1.1 foi à única coisa modificada no ataque. Eles modificaram dois arquivos no WP para incluir o código que permitiria a execução remota PHP.

Isto é a tipo da coisa você reza para que nunca aconteça, mas foi feito e agora estamos lidando com o problema da melhor forma que podemos. Embora não tenham sido todos os download do 2.1.1 afetados, estamos declarando que a versão inteira é perigosa e lançamos a nova versão 2.1.2 que inclui atualizações menores e arquivos inteiramente verificados. Também estamos tomando muitas medidas para assegurar que algo como isto não aconteça novamente, uma delas é a verificação externa minuto a minuto do pacote de download, portanto saberemos imediatamente se algo estiver errado por qualquer razão.

Finalmente, resetamos as senhas de alguns usuários com acesso ao SVN e outros acesso, portanto você pode ter de resetar a sua senha nos fóruns antes que você possa entrar novamente.

O que Você Pode Fazer para Ajudar

Se o seu blog estiver rodando o 2.1.1, por favor, faça a atualização imediatamente e sobrescreva todos seus arquivos velhos, especialmente aqueles do diretório wp-includes. Verifique os Blog de seus amigos e se algum deles estiver rodando o 2.1.1 deixe uma nota e, se você puder ajude os com a atualização.

Se você é um host de web ou o administrador de rede, bloqueie o acesso aos arquivos “theme.php” e “feed.php”, e qualquer cadeia de strings “com ix =” ou “iz =” nele. Se você for cliente em um host de web, você pode enviar uma nota para avisá-los sobre este lançamento e a informação mencionada acima.

Graças a Ryan, Barry, Donncha, Marca, Michael, e Dougal por trabalhar à noite para compreender e conduzir este problema, e graças a Ivan Fratric por informá-lo em primeiro lugar.

Perguntas e Respostas

Por causa da natureza altamente excepcional deste evento e lançamento, disponibilizamos o endereço eletrônico 21securityfaq@wordpress.org para que você possa enviar perguntas, e estaremos atualizando esta entrada com mais informação durante todo o dia.

A versão 2.0 está afetada?

Nenhum download foi alterado exceto 2.1.1, assim se você tiver rodando alguma versão 2.0 você deve ficar bem.

E se atualizarmos pelo SVN?

Nada no repositório da Subversão foi tocado, assim se você fizer uma atualização e mantiver o seu blog via SVN não há nenhuma possibilidade de você ter feio o download do arquivo corrupto.

Fonte: WordPress.org

Atualização:

Download da nova versão 2.1.2