Druhá opravná verze pro WordPress 4.1 vyšla během včerejšího dne a tentokrát jde o závažné bezpečnostní problémy. Samotná aktualizace proběhne automaticky, aniž byste museli nějak zasahovat.

Asi nejzávažnější problém se objevil v podobě Cross-site scriptingu (XSS), kdy za určitých okolností mohl na web proniknout nepřihlášený uživatel a provést nežádoucí změny. Zájemci mohou prostudovat velmi poučný článek, kde je chyba podrobně vysvětlena, a to včetně jejího nalezení a následné opravy (celé to trvalo déle než rok). Z tohoto důvodu byla chyba označena za kritickou a objevuje se i ve všech předchozích verzích, takže vyšel i WordPress 4.0.2, 3.9.4, 3.8.6 a 3.7.6. Pokud používáte ještě nějakou starší verzi, tak i tam mohou případní útočníci chybu zneužít, ale automatické aktualizace se nedočkáte. Není tedy na co čekat a doporučujeme v tomto případě aktualizovat.

Opraveny byly ještě další 3 bezpečnostní chyby:

• Ve WordPressu 4.1 se vývojáři pokoušeli opravit problém s chybnou kontrolou některých souborů (v případě volitelných parametrů v URL adrese) ve funkci wp_check_filetype(), ale bohužel to vedlo k tomu, že umožnili nahrávat i soubory s neplatným nebo nebezpečným názvem (oprava).
• Od WordPressu 3.9 byla aktivní další XSS chyba, která mohla být zneužita pro skrytou instalaci škodlivých pluginů (oprava). Další podrobnosti si můžete přečíst zde.
• Některé pluginy mohly být potenciálně napadeny prostřednictvím SQL injection.

Dále byla na čtyřech místech bezpečnost ještě raději preventivně posílena, např. názvy příspěvků uvedené na Nástěnce v administraci jsou nyní správně escapovány, tedy převedeny na bezpečné znaky (oprava).

Další podrobnosti o nové verzi naleznete zde, zájemci si mohou projít i detailní přehled změn ve zdrojovém kódu. A nezapomeňte také na pluginy s bezpečnostními problémy, které se aktualizovat samy nebudou a budete muset zasáhnout (nebo byste alespoň měli, a to co nejdříve).

Čeština pro WordPress 4.1.2 patrně nikdy nevyjde, protože bude nahrazena (patrně již zítra) novým WordPressem 4.2. Aktualizace na anglickou verzi WordPress 4.1.2 proběhne automaticky a k žádným změnám v lokalizaci nedošlo, takže čeština zůstane zachována v původním stavu. Noví uživatelé si mohou zatím stáhnout český instalační balíček pro WordPress 4.1.1, který bude hned po instalaci automaticky aktualizován na nejnovější verzi.