Обновление WordPress 6.2.1 приводит к поломке сайтов
Обновление безопасности WordPress 6.2.1 дает неприятные последствия на некоторых веб-сайтах, разработчики называют исправление безумием
Недавнее обновление безопасности WordPress, включающее множество исправлений безопасности, также приводит к тому, что некоторые сайты перестают работать, из-за чего один из разработчиков восклицает: «Это хаос!!»
Обновление удалило ключевую функциональность, из-за которой многие плагины переставали работать на сайтах, использующих систему блоков WordPress.
Затронутые плагины варьировались от форм до ползунков и хлебных крошек.
Обновление: WordPress выпускает 6.2.2 с исправлением версии 6.2.1
WordPress поздно вечером в пятницу выпустил обновление, исправляющее дефектное исправление безопасности, представленное в версии 6.2.1.
В объявлении говорилось:
«WordPress 6.2.2 — это выпуск быстрого реагирования, направленный на устранение регресса в версии 6.2.1 и дальнейшее исправление уязвимости, устраненной в версии 6.2.1».
Издатели WordPress, затронутые ошибкой коротких кодов, появившейся в предыдущем обновлении, возможно, захотят рассмотреть возможность обновления до последней версии.
Сайты, поддерживающие автоматическое фоновое обновление, автоматически получили обновление WordPress 6.2.1, поскольку это была версия безопасности (официально это была версия для обслуживания и безопасности).
Согласно официальному объявлению о выпуске WordPress, обновление содержит пять исправлений безопасности:
Проблема возникает из-за первого исправления безопасности, затрагивающего короткие коды в темах блоков, которые и вызывают проблемы.
Шорткод — это одна строка кода, которая действует как замена или заполнитель для кода, обеспечивающего такие функции, как контактная форма.
Таким образом, вместо того, чтобы настраивать контактную форму на каждой странице, на которой она появляется, можно просто разместить одну строку, называемую коротким кодом, которая затем будет вставлять контактную форму.
К сожалению, было обнаружено, что хакеры могут использовать короткие коды в пользовательском контенте (например, в комментариях в блогах), что затем может привести к использованию эксплойта.
WordFence описывает уязвимость:
«WordPress Core обрабатывает короткие коды в пользовательском контенте в темах блоков в версиях до 6.2 включительно.
Это может позволить неаутентифицированным злоумышленникам выполнять короткие коды, отправляя комментарии или другой контент, позволяя им использовать уязвимости, которые обычно требуют разрешений на уровне подписчика или участника».
WordFence далее объясняет, что эта уязвимость подобна недостатку, который может привести к появлению еще одной, более серьезной уязвимости.
Решением уязвимости шорткода было полное удаление функциональности шорткода из шаблонов блоков WordPress.
В официальной документации по исправлению уязвимости поясняется:
«Удалить поддержку коротких кодов из шаблонов блоков».
Кто-то создал обходной путь для восстановления поддержки шорткодов в шаблонах блоков WordPress.
Но обходной путь также восстановил уязвимость:
«Для тех, кто хочет остаться на версии 6.2.1 и нуждается в восстановлении поддержки шорткодов в шаблонах, вы можете попробовать этот обходной путь.
…Но имейте в виду, что поддержка была удалена из-за устранения проблемы безопасности, и, восстанавливая поддержку шорткодов, вы, вероятно, возвращаете проблему безопасности».
Отключение поддержки коротких кодов фактически привело к тому, что некоторые сайты перестали работать или вообще перестали работать.
Поэтому добавление обходного пути до тех пор, пока не будет найдено более постоянное решение, имело смысл для многих пользователей.
Разработчики WordPress сообщили о своем разочаровании обновлением WordPress:
Один человек написал:
«… для меня абсолютно безумие, что короткие коды были удалены намеренно!! Каждый из сайтов FSE нашего агентства использует блок коротких кодов в шаблонах для всего: фильтров, поиска, ACF и интеграции плагинов. Это хаос!
Обходной путь, кажется, не работает для меня. Собираюсь вернуться к предыдущей версии и надеюсь, что это будет исправлено».
Другой человек написал:
«Да, я не понимаю ненависти Гутенберга, но, по крайней мере, им следовало запретить некоторые блоки, такие как шорткод, которые они постепенно удаляли в полнофункциональном редакторе сайта.