WordPress 4.6.1 – bezpečnostní a opravná verze

Po necelém měsíci se během dnešního večera objevil nový WordPress 4.6.1, který opravuje dva bezpečnostní problémy a několik dalších chyb, které se dostaly do nedávného WordPressu 4.6.

WordPress 4.6.1 opravuje celkem 15 chyb a dva bezpečnostní problémy, takže se rozhodně nebraňte automatické aktualizaci. Z hlediska bezpečnosti sice nejsou problémy označeny jako kritické, ale přesto došlo k vydání aktualizací i pro všechny starší verze, které podporují automaticky spouštěné aktualizace, tedy WordPress 4.5.4, 4.4.5, 4.3.6, 4.2.10, 4.1.13, 4.0.13, 3.9.14, 3.8.16 a 3.7.16. Nějakého notifikačního emailu se tedy dočká snad každý :-) Až mě překvapuje, že jsou ještě podporovány několik let staré verze, protože pokud se dobře pamatuji, tak to bylo zamýšleno pouze pro poslední 3 verze. Každopádně pochvala pro vývojáře!

V případě první bezpečnostní chyby šlo o klasickou možnost napadení prostřednictvím XSS (Cross-site scripting), tentokrát ve funkci media_handle_upload(), kde chyběla funkce sanitize_title() pro název obrázku (oprava). Druhý bezpečnostní problém pak umožňoval provést útok známý pod názvem Path traversal a objevil ho přímo jeden z hlavních vývojářů WordPressu (oprava).

Celkem bylo také opraveno 15 různých chyb (přehled), z nichž některé stručně zmíním:

  • Objevilo se několik problémů souvisejících se zakázanými funkcemi v rámci PHP, které byly ve WordPressu 4.6 nově použity (např. v rámci implementované knihovny Requests), aniž by byla ošetřena situace, že mohou být u některých hostingů zakázané. V českém prostředí se bohužel podobné omezení také ještě občas používá, takže jsou určité PHP funkce zakázané z “bezpečnostních důvodů”, ale už se neřeší, že je to třeba kvůli historické (a nebezpečné) verzi PHP na serveru :-( Uživatelé se ale mohli setkat s problémy u zakázaných funkcí ini_get_all(), curl_exec() nebo chybovými hláškami pro některé curl požadavky. Podobné problémy se objevily i v místním fóru (1 a 2), ale i když se nepodařilo přesně identifikovat příčinu chyby, tak by mohl WordPress 4.6.1 pomoci.
  • Před čtyřmi lety jsem osobně nahlásil jeden problém s odesíláním emailů (v případě použité hlavičky Reply-To v kombinaci s českými znaky), který byl sice ve WordPressu 4.6 konečně opraven, ale zároveň se tím zase rozbilo odesílání emailů na některých serverech :-) WordPress 4.6.1 by to měl snad konečně dořešit.
  • Další záhadná chyba pak spočívala v tom, že se mohl náhledový obrázek pro konkrétní příspěvek zobrazovat i na jiných místech webu (a v URL adrese se objevovalo podivné ID). Sice pouze v případě použití náhledu, ale i tak to mnohé uživatele zmátlo. Problém souvisel s nenápadnou novinkou verze 4.6, kdy už nejsou změněné náhledové obrázky ihned ukládány. Dříve se totiž mohlo stát, že když jste publikovali příspěvek a pak ho chtěli upravit, tak se změna náhledového obrázku ihned zobrazila na webu (uloženo bez kliknutí na tlačítko “Aktualizovat”), zatímco změny textu ještě nebyly uloženy a publikovány.
  • Všimnout jste si mohli také poměrně nepřijemného problému, kdy v HTML verzi editoru při použití kláves Backspace (poměrně časté) a Delete mohlo docházet k nečekanému odskočení kurzoru.

Objevil se nám také jeden specifický problém s novým skloňováním počtu komentářů v češtině, který sice ještě nebyl dořešen, ale obecně už asi můžeme považovat WordPress 4.6.x za funkční a bezpečnou verzi a nastal čas aktualizovat :-)

Nejoblíbenější hosting pro WordPress WEDOS.cz

18 thoughts on “WordPress 4.6.1 – bezpečnostní a opravná verze”

  1. Dobrý den, web se mě sice automaticky aktualizoval, ale chybí mě čeština … Co s tím ? Děkuji za odpověď.

  2. @Martin: Na webu jste měl WordPress 4.6, který se sám aktualizoval a přitom zmizela čeština? Nemohl to způsobit nějaký plugin? V menu Nastavení – Obecné máte nastavenou češtinu?

  3. Dobrý den, mám ten samý problém, po aktualizaci mám místo českých znaků toto �. Zkoušel jsem zpět nakopírovat adresáře “wp-admin” a “wp-includes” a pomohlo, čeština je ok, ale to asi není řešení.

  4. @Rosta: Bohužel to moc nechápu, takže jste se vrátil na nějakou starší verzi WordPressu? Jediná podobná zmínka o tomto problému je zde, ale tam šlo patrně o problém s pluginem?

  5. Díky za odpověď. Po automatické aktualizaci z verze 4.6 na 4.6.1 se mi rozhodila čeština jak na frontendu tak i v administraci, udělal jsem jen to, že jsem na zkoušku překopíroval zpět (ze zálohy verze 4.6) ty dva adresáře a čeština je ok. Před tím jsem zkoušel vypnout všechny moduly a nepomohlo to.

  6. @Rosta: To asi nadlouho nepomůže, protože se WordPress 4.6 bude chtít během několika hodin zase sám aktualizovat na nejnovější verzi :-) Je to ale dost podivné, vůbec netuším, co by to mohlo způsobit, možná nějaký problém, který vznikl během automatické aktualizace, těžko říci, uvidíte, až to proběhne znovu…

  7. Aktualizaci jsem zkoušel několikrát, vždy byl stejný problém.
    Přišel jsem na to, že to dělá soubor wp-db.php v adresáři wp-includes. Jenom jsem ho po upgradu překopíroval ze zálohy zpět a čeština byla ok.

  8. @Rosta: Aha, takže nejde o lokalizační soubory, ale databázi (obsah webu)? Tam by nějaký problém mohl být, k jedné opravě ve WordPressu 4.6.1 v tomto případě došlo. Mohl byste mě pustit na FTP, abych zkontroloval nastavení a kódování databáze?

  9. Super, děkuju, nechám už si verzi 4.6.1 s tím překopírovaným souborem, snad to nebude problém.

  10. Dobrý den, na čem záleží zda proběhne automatická aktualizace nebo ne? Dříve se mi WP aktualizoval automaticky ale již několik verzí zpět se tak neděje.

  11. Automatické aktualizace by měly být podporovány až do WP verze 3.7.x.
    Pro zkontrolování funkčnosti automatických aktualizací jádra můžete zkusit použít plugin Background Update Tester.

    Popřípadě jen stačí do souboru wp-config.php přidat následující řádek:

    define( 'WP_AUTO_UPDATE_CORE', 'minor' );

    Podrobnější informace o automatických aktualizacích se dozvíte na stránce CODEXu.

  12. @hansgut: Je to přesně tak, jak píše Tomáš (díky!). Mezi nejčastější příčiny, které jsem měl možnost vidět, patří zejména problém s hostingem (např. CHMOD) nebo verzovaný web (SVN či Git). Ale zkusil bych určitě odkazovaný plugin.

  13. Tak jsem si jako amatér spustil aktualizaci a web přestal být funkční.

    Fatal error: Call to undefined function is_customize_preview() in/data/web/virtuals/145154/virtual/www/domains/czechoslovakiainfoblok.com/wp-content/themes/twentyfourteen/inc/widgets.php
    on line 40

  14. Vladimír Rytíř Prokeš: Podobných problémů jsme už na fóru řešili více. Příčina je v tom, že jste aktualizoval šablonu Twenty Fourteen, ale na webu přitom zůstala starší verze WordPressu, který nyní budete muset aktualizovat ručně prostřednictvím FTP.

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *