Недавнее обновление безопасности WordPress с несколькими исправлениями безопасности также приводит к тому, что некоторые веб-сайты перестают работать, что побудило одного разработчика воскликнуть: «Это беспредел!!”
Обновление удалило ключевую функцию, из-за которой многие плагины перестали работать на сайтах, использующих систему блокировки WordPress.
Затронутые плагины варьировались от форм до ползунков и хлебных крошек.
Обновление WordPress 6.2.1
Сайты, которые поддерживают автоматические фоновые обновления, автоматически получили обновление WordPress 6.2.1, поскольку это был выпуск безопасности (официально это был выпуск обслуживания и безопасности).
По словам официального Объявление о выпуске WordPressОбновление включает пять исправлений безопасности:
- «Блокируйте темы, анализирующие шорткоды в пользовательских данных;…
- Проблема CSRF при обновлении эскизов вложений; сообщил Джон Блэкборн из команды безопасности WordPress
- Ошибка, которая позволяет XSS через автоматическое обнаружение открытого встраивания; независимо от Якуба Жочека из Securitum и в рамках независимого аудита безопасности
- Обход очистки KSES в атрибутах блокировки для пользователей с низким уровнем привилегий; обнаружены во время сторонней проверки безопасности.
- Проблема обхода пути в файлах перевода; независимо от Рамуэля Галла и сообщается как часть допуска третьей стороны».
Проблема возникает из-за первого обновления безопасности, затрагивающего короткие коды в темах блоков, вызывающих проблемы.
Шорткод — это одна строка кода, которая действует как замена или заполнитель для кода, обеспечивающего функциональные возможности, такие как контактная форма.
Таким образом, вместо того, чтобы настраивать контактную форму на каждой странице, где она появляется, вы можете просто добавить одну строку, называемую шорткодом, которая затем будет встраивать контактную форму.
К сожалению, было обнаружено, что хакеры могут запускать шорткоды в пользовательском контенте (например, в комментариях в блогах), что может привести к эксплойту.
WordFence описывает уязвимость:
«WordPress Core обрабатывает шорткоды в пользовательском контенте в блочных темах в версиях до 6.2 включительно.
Это может позволить злоумышленникам, не прошедшим проверку подлинности, выполнять короткие коды, отправляя комментарии или другой контент, тем самым используя уязвимости, которые обычно требуют разрешений на уровне подписчика или участника».
Далее WordFence объясняет, что уязвимость — это ошибка, которая может привести к другой, более серьезной уязвимости.
Решение уязвимости шорткода состояло в том, чтобы полностью удалить функциональность шорткода из шаблонов блоков WordPress.
официальная документация Чтобы исправить уязвимость объяснил:
«Удалить поддержку шорткодов из шаблонов блоков».
Кто-то придумал обходной путь для восстановления поддержки шорткодов в блочных шаблонах WordPress.
Но и обходной путь уязвимость восстановлена:
«Для тех, кто хочет остаться с 6.2.1 и хочет восстановить поддержку шорткодов в шаблонах, вы можете попробовать этот обходной путь.
… Однако обратите внимание, что поддержка была удалена, чтобы решить проблему безопасности, и восстановление поддержки шорткода, вероятно, вернет проблему безопасности».
Отключение поддержки шорткодов фактически привело к тому, что некоторые веб-сайты перестали работать или вообще перестали работать.
Поэтому для многих пользователей имело смысл добавить обходной путь, пока не будет найдено более постоянное решение.
Разработчики WordPress называют исправление «сумасшедшим» и «глупым»
Разработчики WordPress сообщили о своем недовольстве обновлением WordPress:
Персона написал:
«… мне совершенно не по себе, что шорткоды были удалены намеренно!! Каждый сайт FSE нашего агентства использует блок шорткодов в шаблонах для всего: фильтров, поиска, ACF и интеграции плагинов. Это беспредел!!
Обходной путь, похоже, не работает для меня. Я вернусь к предыдущей версии и надеюсь, что там будет исправление».
Другой человек Опубликовано:
«Да, я не понимаю ненависти к Гутенбергу, но, по крайней мере, они должны были запретить некоторые блоки, такие как шорткод, который они постепенно убрали в полнофункциональном редакторе сайта.
Это было глупо со стороны разработчиков WP.
Люди будут использовать старые способы, если вы не скажете им иначе или не приведете их к новым вещам.
Но, как я уже сказал, было бы лучше построить мост, например, через официальный блок PHP — или на самом деле прислушаться к тому, что хотят пользователи и разработчики».
Одним из заметных затронутых плагинов был Rank Math. Функциональность Breadcrumb, если она присутствовала в блочных темах, перестала работать после обновления 6.2.1.
Страница поддержки Rank Math содержала запрос на исправление от пользователя плагина Rank Math.
Поддержка ранговой математики Рекомендуется добавить временное исправление. К сожалению, это обходное решение не только восстанавливает функциональность шорткода, но и устраняет уязвимость.
Обновление также заблокировало функциональность плагина Smart Slider 3.
А нить поддержки открыто на странице плагина Smart Slider 3:
«Это не совсем ваша вина, но Automattic решила извлечь шорткоды из шаблонов блоков. … заявляет о «проблеме безопасности», но в основном ломает два плагина, которые я использую, включая ваш.
Это означает, что ваш плагин доступен только для просмотра [smartslider3 slider=”6″] при использовании в шаблоне FSE. Но в редакторе FSE отображается нормально!
Просто подумал, что вы, возможно, захотите узнать, прежде чем сбитые с толку люди, которые должны были сообщить Automattic, начнут обвинять вас. Вы не должны просто удалять такие функции — это как в старые добрые времена.
Теперь мне также нужно выяснить, как встроить код формы/PHP для включения списков категорий в поля поиска. гр.»
Команда поддержки Smart Slider 3 рекомендовала добавить обходной путь.
Другие участники ветки поддержки WordPress.org по этой проблеме нашли решения. Если ваш сайт затронут, чтение обсуждения может помочь.
Прочтите страницу поддержки WordPress, чтобы узнать о проблеме с шорткодом.
WordPress v6.2.1 ломает блокировку шорткода в шаблонах
Избранное изображение с Shutterstock/ВиЧиж
