Um dia após o WordPress lançar uma atualização de segurança crítica, a versão 5.5.2, corrigindo um bug de execução de código remoto e nove falhas adicionais, alguns problemas ocorreram e a plataforma foi obrigada a enviar uma segunda atualização e, em seguida, uma terceira atualização, a versão 5.5.3.
O problema está relacionado ao recurso de atualização automática do WordPress que acidentalmente começou a enviar a 455 milhões de sites uma atualização do WordPress (5.5.2) que causou a falha nas novas instalações de temas e plugins. Depois de perceber o erro, O WordPress parou a implementação e adicionou uma versão Alpha do WordPress para ser baixada para alguns clientes que estavam com seus sites fora do ar.
O problema foi corrigido rapidamente no dia seguinte, mas não antes que os operadores do site WordPress relatassem falhas nas novas instalações e usuários reclamassem sobre páginas de login fora do ar ou com as url’s quebradas. O WordPress disse que uma atualização final 5.5.3 já está disponível. “WordPress 5.5.2 causou um problema com a instalação de pacotes ZIP disponíveis em WordPress.org para novas versões de 5.5.x, 5.4.x, 5.3.x, 5.2.x e 5.1.x. O dano afetou apenas novas instalações do WordPress sem um arquivo wp-config.php existente”, disse a empresa.
De mal a pior
Enquanto o trabalho estava sendo realizado para receber o WordPress 5.5.3, a equipe de lançamento tentou tornar o 5.5.2 indisponível para download no WordPress.org para limitar a disseminação do problema observado na seção acima, já que o erro afetou apenas novas instalações. Essa ação resultou na atualização de algumas instalações para uma versão de pré-lançamento ‘5.5.3-alpha’.
A atualização alfa causou mais preocupação do que problemas técnicos para os administradores do site. A versão não estava pronta e instalou antigos temas como o “Tweenty” e o plugin “Akismet” como parte do pacote pré-lançamento 5.5.2-alpha.
Os usuários do WordPress ficaram confusos já que os sites que gerenciavam começaram a exibir a mensagem “BETA TESTERS: Este site está sendo configurado para instalar atualizações de versões beta automaticamente” em seu console de administração.
Esses temas e plugins não foram ativados e, portanto, permanecem não funcionais, a menos que você os tenha instalado anteriormente. Ele explicou que a instalação do WordPress pode ser revertida para 5.5.2 visitando o painel de atualização (visitando Dashboard> Atualizações) e clicando no botão Reinstalar WordPress.
Enquanto a maioria dos clientes do WordPress não relatou nenhum problema técnico, vários usuários observaram anomalias inexplicáveis na configuração do WordPress. “Isso poderia ter mudado alguma coisa na configuração do servidor MySQL? Eu uso o Moodle no mesmo site que o WordPress e todos os meus sites Moodle estão recebendo um erro de gravação de banco de dados”, escreveu um usuário.
Atualização automática: confiança de volta
Os patches atualizados destacam as preocupações dos usuários em relação à falta de controle sobre o recurso de atualização automática do WordPress. “Esta é mais uma lição sobre o quão poderoso é o mecanismo de atualização automática do WordPress. Milhões de sites se comportam como zumbis, fazendo tudo o que a API de atualização automática recomenda”, escreveu Knut Sparhell no fórum do WordPress.
Outro administrador do WordPress identificado como pcdeveloper apontou que, “Esta é uma preocupação de segurança séria, pois um desenvolvedor desonesto pode enviar um código malicioso em uma atualização que ninguém mais verifica”.
O WordPress permite que os usuários desabilitem as atualizações automáticas para manutenção e atualizações de segurança maiores ou menores. No entanto, como Samuel Wood, um colaborador do fórum do WordPress, apontou: “Agora parece um bom momento para documentar uma maneira correta e adequada de para um lançamento ainda em andamento”.
Palavra oficial do WordPress
Por outro lado, o WordPress incentivou seus usuários a atualizar para a versão estável do WordPress 5.5.2. “Esta versão de manutenção corrige um problema introduzido no WordPress 5.5.2 que torna impossível instalar o sistema em um site totalmente novo que não tenha uma conexão de banco de dados configurada. Esta versão não afeta sites onde uma conexão de banco de dados já está configurada, por exemplo, por meio de instaladores ou um arquivo wp-config.php existente”.
Ele acrescentou: “Se não estiver na versão 5.5.2, desabilite as atualizações automáticas de versões anteriores e atualize manualmente para a versão 5.5.3 baixando o WordPress 5.5.3 ou visitando o Painel → Atualizações e clique em ‘Atualizar agora’”.