Недавнее обновление безопасности WordPress с несколькими исправлениями безопасности также приводит к тому, что некоторые сайты перестают работать, что заставляет одного разработчика воскликнуть: «Это хаос!!”
Обновление удалило ключевую функцию, из-за которой многие плагины перестали работать на сайте, использующем систему блоков WordPress.
Затронутые плагины варьировались от форм до ползунков и хлебных крошек.
WordPress 6.2.1 Обновить
Сайты, которые поддерживают автоматические фоновые обновления, автоматически получили обновление WordPress 6.2.1, потому что это был выпуск безопасности (официально это был выпуск обслуживания и безопасности).
По словам официального Объявление о выпуске WordPressобновление содержало пять исправлений безопасности:
- «Блокировать темы, анализирующие шорткоды в пользовательских данных;…
- Проблема CSRF с обновлением эскизов вложений; сообщил Джон Блэкборн из команды безопасности WordPress
- Недостаток, позволяющий использовать XSS через автоматическое обнаружение открытого встраивания; сообщил независимо Якуб Жочек из Securitum и во время независимого аудита безопасности
- Обход санации KSES в атрибутах блокировки для пользователей с низким уровнем привилегий; обнаружены в ходе аудита безопасности третьей стороны.
- Проблема обхода пути через файлы перевода; независимо от Рамуэля Галла и во время независимого аудита безопасности».
Проблема возникает из-за первого исправления безопасности, затрагивающего короткие коды в блочных темах, которое вызывает проблемы.
Шорткод — это отдельная строка кода, которая действует как замена или заполнитель для кода, обеспечивающего функциональность, подобную контактной форме.
Таким образом, вместо того, чтобы настраивать контактную форму на каждой странице, на которой она появляется, можно просто поместить одну строку, называемую шорткодом, которая затем встроит контактную форму.
К сожалению, было обнаружено, что хакеры могут запускать шорткоды в пользовательском контенте (например, в комментариях в блогах), что может привести к эксплойту.
WordFence описывает уязвимость:
«WordPress Core обрабатывает шорткоды в пользовательском контенте в блочных темах в версиях до 6.2 включительно.
Это может позволить злоумышленникам, не прошедшим проверку подлинности, выполнять короткие коды, отправляя комментарии или другой контент, что позволяет им использовать уязвимости, которые обычно требуют разрешений на уровне подписчика или участника».
Далее WordFence объясняет, что эта уязвимость похожа на недостаток, который может привести к возникновению другой, более серьезной уязвимости.
Решение уязвимости шорткода состояло в том, чтобы полностью удалить функциональность шорткода из шаблонов блоков WordPress.
официальная документация для исправления уязвимости объяснил:
«Удалить поддержку шорткодов из шаблонов блоков».
Кто-то придумал обходной путь для восстановления поддержки шорткодов в блочных шаблонах WordPress.
Но обходной путь также восстановил уязвимость:
«Для тех, кто хочет остаться на 6.2.1 и хочет восстановить поддержку шорткодов в шаблонах, вы можете попробовать этот обходной путь.
… Но имейте в виду, что поддержка была удалена для устранения проблемы безопасности, и восстановление поддержки шорткода, вероятно, вернет проблему безопасности».
Отключение поддержки шорткодов фактически привело к тому, что некоторые сайты стали нефункциональными, вообще перестали работать.
Поэтому добавление обходного пути до тех пор, пока не будет найдено более постоянное решение, имело смысл для многих пользователей.
Разработчики WordPress называют исправление «безумным» и «глупым»
Разработчики WordPress сообщили о своем недовольстве обновлением WordPress:
Один человек написал:
«… для меня абсолютно безумие, что шорткоды были удалены намеренно!! Каждый из сайтов FSE нашего агентства использует блок шорткодов в шаблонах для всего: фильтров, поиска, ACF и интеграции плагинов. Это хаос!!
Обходной путь, похоже, не работает для меня. Собираюсь вернуться к предыдущей версии и надеюсь, что есть исправление».
Другой человек опубликовано:
«Да, я не понимаю ненависти к Гутенбергу, но по крайней мере они должны были запретить некоторые блоки, такие как шорткод, которые они постепенно удаляли в полнофункциональном редакторе сайта.
Это было глупо со стороны разработчиков WP.
Люди будут использовать старые способы, если вы не скажете им иначе или не направите их к новым вещам.
Но, как я уже сказал, было бы лучше построить мост, скажем, через официальный блок PHP — или действительно прислушаться к тому, что хотят пользователи и разработчики».
Одним из заметных затронутых плагинов был Rank Math. После обновления 6.2.1 не удалось использовать навигационную цепочку, если она присутствовала в блочных темах.
Страница поддержки Rank Math содержала запрос на исправление от пользователя плагина Rank Math.
Ранговая математическая поддержка рекомендуется добавить обходной путь. К сожалению, это обходное решение не только восстанавливает функциональность шорткода, но и устраняет уязвимость.
Обновление также заблокировало функциональность плагина Smart Slider 3.
А нить поддержки был открыт на странице плагина Smart Slider 3:
«Не совсем ваша вина, но Automattic решила извлечь шорткоды из шаблонов блоков. … заявляя о «проблеме с безопасностью», но фактически уничтожая два плагина, которые я использую, включая ваш.
Это означает, что ваш плагин просто показывает [smartslider3 slider=”6″] при использовании в шаблоне FSE. Но в редакторе FSE показывает нормально!
Просто подумал, что вы, возможно, захотите узнать, прежде чем сбитые с толку люди, которым Automattic ДОЛЖНА была сообщить, начнут обвинять вас. Они не должны просто удалять такие функции — это как старые недобрые времена.
Теперь мне также нужно решить, как подключить некоторый код формы/PHP, чтобы поместить списки категорий в окна поиска. Грр.
Команда поддержки Smart Slider 3 рекомендовала добавить обходной путь.
Другие участники ветки поддержки WordPress.org, посвященные этой проблеме, предложили решения. Если ваш сайт затронут, может быть полезно прочитать обсуждение.
Прочтите страницу поддержки WordPress о проблеме с короткими кодами
WordPress v6.2.1 ломает блок шорткодов в шаблонах
Избранное изображение Shutterstock/ВиЧиж
