Již ve středu vyšel WordPress 3.1.4, který přináší několik bezpečnostních oprav a hlavně konečně zbaví mnohé uživatele chybových hlášek v Knihovně médií. Sice nás už během několika málo dní čeká nová “velká” verze v podobě WordPressu 3.2, ale mnoho uživatelů aktualizuje raději kvůli kompatibilitě používaných pluginů až trochu později, takže byla raději uvolněna i tato “malá” opravná verze.

WordPress 3.1.4 opravuje celkem 3 chyby:

1) “Otravná” chyba 17556 představená ve WordPressu 3.1.3 byla konečně oficiálně opravena. Vyznačovala se následujícími chybovými hláškami v Knihovně médií (podobných řádků bylo ještě více) a ani už nepočítám, kolik dotazů na toto téma jsme zodpovídali.

Warning: explode() expects parameter 2 to be string, ...
Warning: in_array() expects parameter 2 to be array, ...

O co vlastně šlo? Parametr post_status pro třídu WP_Query přijímal hodnoty pouze v podobě pole, zatímco v Knihovně médií mu byly předávány jako čárkami rozdělený řetězec. Výsledkem pak bylo výše uvedené upozornění ze strany PHP (pokud měl hosting zapnuté zobrazování chyb E_WARNING). Chyba je už tedy sice opravena, ale zároveň se objevil závažnější problém (komplexně bude řešen až ve WordPressu 3.3), který spočívá v upozorňování na nadále nepodporovaný filtr (v tomto případě query_string), při jehož použití by k výše řešené chybě mohlo zase docházet (na druhou stranu je zase třeba zachovat zpětnou kompatibilitu pluginů).

2) Chyba 17855 – Nahrávání souborů nefungovalo správně pokud obsahoval MIME type nahrávaného souboru znaménko plus (+), např. application/atom+xml či application/vnd.google-earth.kml+xml (KML soubor). Pro připomenutí, MIME type je vlastně parametr Content-Type pro standard MIME (Multipurpose Internet Mail Extensions), který byl původně vytvořen, aby umožnil posílání emailových zpráv obsahujících nejen základní ASCII znaky, ale i diakritiku z různých dalších jazyků a umožnil také definovat rozličné přílohy. Část před lomítkem se nazývá “typ” (text, image, audio, video, …) a za ním jde pak o “subtyp”, který slouží k dalšímu upřesnění. Podrobnější informace naleznete v tomto článku, nás už pouze zajímá, že počínaje WordPressem 3.1.4 bude tento problém odstraněn.

3) Chyba 17910 – Úpravy JavaScriptu v uživatelském profilu pro rozevírací nabídku zobrazení uživatele (menu Uživatelé – Profil – Název – Veřejně zobrazovat jako).

Nejzávažnějším bezpečnostním problémem byla možnost napadení webu prostřednictvím metody SQL Injection, kterou objevil K. Gudinavicius a informoval o ní vývojáře WordPressu. Potenciální útočník by ale musel mít na webu pravomoci Šéfredaktora (anglicky Editor), aby mohl následně získat přístup k datům, ke kterým nemá oprávnění. Tento problém byl ve WordPressu 3.1.4 odstraněn, a to ve funkci get_terms (oprava) a get_bookmarks (oprava). Trochu nesmyslně tuto chybu bohužel interpretoval (přeložil) např. server Root: “Jedná se o udržovací verzi, která odstraňuje bezpečnostní chyby, z nichž jedna umožňovala se dostat přes editor k vyšším právům.”

Další bezpečnostní chybky už nebudeme detailně rozebírat, protože nešlo o nic závažného a spíše byla preventivně posilována bezpečnost WordPressu a ošetřeny některé nezabezpečené vstupy (s minimální možností zneužití). Všechny opravy si můžete prohlédnout přímo v podobě zdrojového kódu a jsou samozřejmě zahrnuty i do chystaného WordPressu 3.2. Takže pokud používáte vývojářskou (testovací) verzi, tak raději aktualizujte na nově vydanou Release Candidate 3 (RC3, stáhnout). Včera už pak dokonce vyšla i neveřejná RC4 (použijte plugin WordPress Beta Tester), takže vydání se už opravdu blíží a můžeme začít klidně spekulovat o pondělí 4. července, které se zatím jeví jako velmi příhodné (v USA se slaví Den nezávislosti, takže proč nevydat novou verzi oblíbeného “open source” programu).

WordPress 3.1.4 můžete stahovat (anglická verze) na oficiálním webu nebo jednoduše použít automatickou aktualizaci. Připravili jsme pro vás i oblíbený aktualizační balíček (určen pouze pro aktualizaci z předchozí verze 3.1.3 na 3.1.4, změněno bylo celkem 19 souborů). Čeština pro WordPress 3.1.4 vyjde snad ještě během dneška, téměř nic se ale nemění.