WordPress 3.0.5 aneb opravdu to není vtip

I když už všichni spíše netrpělivě očekáváme novou “velkou” verzi v podobě WordPressu 3.1, vývojáři ho zatím ještě stále pečlivě testují. Bohužel také průběžně nacházejí různé chybky, takže se oficiální vydání postupně odkládá a vzhledem k nedávno nalezeným bezpečnostním chybám nastal čas na WordPress 3.0.5, který s sebou předevčírem přinesl několik bezpečnostních oprav.

Hned na začátek je třeba říci, že nechybělo mnoho a mohli jsme tu mít včera dokonce už WordPress 3.0.6, protože jedno z vylepšení WordPressu 3.0.5 způsobilo problémy zase jinde. O co přesně šlo? Administrátoři a Šéfredaktoři mohou vkládat do komentářů i mnohé složitější HTML značky (např. pro obrázky), které se ve WordPressu 3.0.5 přestaly zobrazovat. Naštěstí tato způsobená chyba ovlivňuje pouze malý počet uživatelů (ve WordPressu 3.1 už bude samozřejmě vše v pořádku) a je možné ji opravit i bez zásahu do zdrojových souborů WordPressu. Pokud se tedy potřebujete chyby zbavit, tak máte dvě vcelku jednoduché možnosti. Pokud používáte plugin Akismet, tak ho pouze aktualizujte na nejnovější verzi 2.5.3, která již opravu této chyby obsahuje. Ostatní si pak mohou nainstalovat nový plugin Hotfix, který byl sice vytvořen speciálně pro tuto příležitost, ale objevily se i názory, že by se mohl stát součástí WordPressu a pokud to bude možné (mnohé opravy bohužel není možné řešit pomocí API WordPressu), tak bude průběžně aktualizován, čímž bude zajištěno rychlé a jednoduché šíření aktuálních oprav bez nutnosti vydávání dalších verzí WordPressu. Tento plugin tedy zatím doporučujeme nainstalovat a průběžně aktualizovat.

A co nového se tedy objevilo ve WordPressu 3.0.5? Hlavním tématem byla bezpečnost, bezpečnost a ještě jednou bezpečnost. Detailní změny si můžete prohlédnout přímo ve zdrojovém kódu, textový popis změn pak naleznete v manuálu (anglicky). WordPress 3.0.5 je oficiálně první verzí, která vychází pod licencí GPL verze 2 nebo vyšší (dosud pouze GPL), i když to zatím stále trochu porušuje tím, že v sobě obsahuje starší verzi pluginu Akismet. Ano, pokud používáte Akismet a už jste ho aktualizovali na nejnovější verzi, tak po přechodu na WordPress 3.0.5 budete zpátky na starší verzi 2.4, kterou budete muset znovu aktualizovat.

Ve WordPressu 3.0.5 byly odstraněny dvě chyby v oblasti Cross-site scriptingu (XSS). Nejdříve nebyl správně chráněn název (a další pole) při používání rychlých a hromadných úprav, což mohli zneužít případní záškodníci, pokud měli přístup na web a oprávnění Spolupracovník či Redaktor. Dále pak šlo o nekvalitně zabezpečené pole pro vkládání štítků při vytváření/úpravách příspěvků (obecně vlastních typů obsahu), opět však pouze pro výše uvedená uživatelská oprávnění. Další opravená chyba spočívala v možnosti Redaktorů získat informace o příspěvcích prostřednictvím Knihovny médií. Většinou šlo ale o chyby, které se týkají zejména webů s mnoha uživateli, kteří mohou web upravovat a mají zájem ho nějakým způsobem poškodit (a hlavně to umí). Jedna z úprav pak spočívala v bezpečnostním vylepšení, které automaticky zapnulo filtrování HTML značek pro obsah komentářů v administraci, což ale zase způsobilo výše uvedený problém a nutnost použití pluginu Hotfix pro některé weby. Dále byla ještě upravena funkce check_admin_referer(), jejíž volání bez parametrů bude ve WordPressu 3.2 ještě dále zpřísněno, což také do budoucna odstraní některé nevhodné praktiky autorů pluginů (podrobnosti).

Společně s WordPressem 3.0.5 vyšla také již čtvrtá Release candidate WordPressu 3.1 a testování stále pokračuje, takže snad bude alespoň do budoucna méně “malých” verzí. Také my jsme jednu chybku spojenou s překladem před několika dny nahlásili a byla velmi rychle opravena. Sice to na první pohled možná vypadá, že WordPress 3.0.5 vyšel tak trochu zbytečně, protože se má během několika málo dní (?) už opravdu objevit WordPress 3.1, ale jisté argumenty za tímto rozhodnutím patrně jsou. Mnoho uživatelů totiž provádí aktualizaci na novou “velkou” verzi až s vydáním první menší opravné verze (tedy 3.1.1), aby si byli jisti, že bude vše v pořádku fungovat, případně také čekají na aktuální verze používaných pluginů. Každopádně nechejme se překvapit dalším vývojem, vydání WordPressu 3.1 už odhadovat raději nebudeme :-)

V oblasti překladu se nic nezměnilo, ale pokud ještě zítra WordPress 3.1 nevyjde, tak patrně vydáme i češtinu pro WordPress 3.0.5, abychom zamezili množícím se dotazům na její existenci.

Nejoblíbenější hosting pro WordPress WEDOS.cz

4 komentáře u „WordPress 3.0.5 aneb opravdu to není vtip“

  1. Je dobře, že se vývojáři soustřeďují na bezpečnost, ale mám takový pocit, že poslední dobou, je těch bezpečnostních děr, už nějak moc :-(

  2. czblog: Ano, naštěstí ovlivňují zejména weby s více autory, takže je alespoň omezená možnost zneužití. A také za to trochu vděčíme už opravdu dlouhému testování WordPressu 3.1. Uvidíme, třeba to už bude lepší. Každopádně jsem raději když jsou objevené chyby hned opraveny a distibuovány k uživatelům než kdyby se půl roku čekalo na nějakou větší verzi.

  3. Ten, komu už jednou nějací aktivisti hackli web, (což se mě stalo) je za každou bezpečnostní aktualizaci jenom rád…

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *