WordPress 3.8.2 – bezpečnostní aktualizace

Většině administrátorů už patrně dorazil informační email s upozorněním, že byl jejich WordPress automaticky aktualizován na nejnovější verzi 3.8.2, která vyšla teprve nedávno a odstraňuje některé bezpečnostní problémy a chyby (podrobnosti). WordPress 3.8.2 je tak vcelku příjemnou ukázkou toho, jak by to mělo ideálně fungovat.

Postupně bylo odhaleno několik bezpečnostních problémů, které vývojáři potají opravili a společně s dalšími vyřešenými chybami je nyní vše automaticky distribuováno v podobě nového WordPressu 3.8.2. Nikdo už nemusí nic ručně aktualizovat a pokud jste používali WordPress 3.8.x nebo 3.7.x (vyšel totiž také WordPress 3.7.2), tak se žádných bezpečnostních problémů nemusíte obávat, protože proběhla automatická aktualizace.

V nové verzi nedošlo k žádným zásadním změnám, které by měly přímo ovlivnit funkčnost webu (ani se neobjevily žádné nové řetězce určené pro překlad), takže by se nikdo neměl proběhnuté aktualizace obávat. A rozhodně nedoporučujeme je nějak omezovat a zakazovat, i když se ve WordPressu 3.8.2 už jeden nový problém objevil, kdy přestala fungovat sekce “Rychlý příspěvek” (přímo na Nástěnce), takže se možná ještě dočkáme WordPressu 3.8.3.

O jaké bezpečnostní problémy konkrétně šlo?

  • Asi nejdůležitější chyba spočívala v možnosti zneužití cookies, kdy se případný útočník mohl dostat přímo na web (oprava). Vývojáře odkážu na zajímavý článek, který se detailně zabývá právě ověřováním prosřednictvím HMAC.
  • Odstraněn byl problém, kdy mohl Spolupracovník (Contributor) za jistých okolností publikovat příspěvky (problém).
  • Při odesílání pingbacků jsou nově připojovány některé dodatečné informace, aby se do budoucna zamezilo dalším problémům s jejich anonymním zneužíváním (problém). Jeden z důsledků jsme detailně probírali i na fóru.
  • Oprava SQL injection, kterou ale mohl využít pouze důvěryhodný (tedy registrovaný) uživatel s přístupem k webu (problém).
  • Došlo i k prevenci možného cross-domain útoku prostřednictvím externí knihovny Plupload, kterou WordPress používá pro nahrávání mediálních souborů (oprava).

Kromě bezpečnostních problémů bylo opraveno také celkem 9 dalších chyb, většinou ale nešlo o nic závažného a původně mělo vše počkat až na chystaný WordPress 3.9. Kromě WordPressu 3.8.2 vyšel také WordPress 3.7.2 (automatická aktualizace proběhla pro všechny uživatele verze 3.7.x) a první RC verze WordPressu 3.9 (podrobnosti), který nás čeká patrně už příští týden (oficiální datum je zatím stanoveno na 16. duben 2014) a bude obsahovat mnoho zajímavých novinek.

A nakonec ještě odstavec pro čtenáře, kteří si tento článek opravdu přečetli :-) Zajímalo by mě, zda opravdu někdo četl celý článek a alespoň nějaké informace z něj považuje za přínosné. Zpráviček o nové verzi se na internetu objevuje poměrně dost (i v češtině), ale nevím, jestli jsou pro čtenáře důležité a má cenu je vůbec psát a publikovat, respektive zda by nestačilo “WordPress 3.8.2 právě vyšel (odkaz), nemusíte nic dělat, už je na cestě k webu :-)”. Díky za komentáře!

Nejoblíbenější hosting pro WordPress WEDOS.cz

15 komentářů u „WordPress 3.8.2 – bezpečnostní aktualizace“

  1. Četl jsem celý článek a všechny informace považuju za přínosné. Díky moc :)

  2. Taky jsem četl celý článek a za informace jsem vděčný. Jak to bude s češtinou pro verzi 3.9 ? Pracuje se už na ní ?

  3. Taky moc díky! Osobně tyto informace nevyhledávám (většinou jsou novinky o aktualizaci přímo na nástěnce wordpressu), ale před každou aktualizací zamířím přímo sem, na tento web, a když už se taková informace objeví, je určitě přínosná! Takže ještě jednou díky ;-) btw: škoda, že jste vyměnil vzhled, za to palec dolů – ten se wordpressu poprvé opravdu nepovedl – je to jen můj názor jakožto grafika, ale určitě mě to neodradí :-)

  4. Moc díky za přínosné informace. Četl jsem až do úplného konce a možná ještě dál :-)

  5. Ahoj, mam dotaz. Momentalne jedu na verzi 3.5.2 (proste jsem, blbec, nainstaloval starsi verzi, co jsem mel zrovna stazenou) – v momente, kdyz aktualizace nabizela 3.8.1 cs_cz jsem zrovna resil prechod z free hostingu, kde jsem mel testovaci verzi webu na vlastni domenu a placeny hosting,ale nez jsem se dostal k tomu, abych aktualizoval na 3.8.1 cs_cz, tak se objevila 3.8.2, ale pouze en_us. Manualne se mi to na 3.8.1 cs_cz aktualizovat nechce, abych si neco nahodou nerozvrtal a nestravil pak tunu casu vracenim do funkcniho stavu. Bude i oficialni 3.8.2 cs_cz (kdyz vlastne neni vzhledem k 3.8.1 co noveho prekladat)? Diky predem za odpoved. s.

  6. Také jsem četl celý článek a rozhodně ho považuji za přínosný, až doteď jsem netušil, co všechno vlastně update 3.8.2 dělal :-) I mne by nicméně zajímalo, jestli bude vůbec (vzhledem k omezenému množství překladatelů, jak vím z Wordcampu) čeština na 3.8.2, a má-li vůbec její množství textů smysl překládat (ani jsem nikde nezaznamenal, že by se mi něco objevilo anglicky popravdě, možná tak nápověda), a mnohem důležitěji, jak to pak následně časově vypadá s češtinou pro WordPress 3.9. :-) Díky

  7. Díky všem!

    Na češtině pro WordPress 3.9 se ve volných chvílích pracuje. Důležitých a viditelných změn zase neproběhlo tolik, takže vyjde snad brzy po anglické verzi.

    Filip: Díky i za palec dolů, nejste první :-) Zajímavé, že se šablona Twenty Fourteen uživatelům buď hodně líbí nebo vůbec nelíbí. Cílem bylo mít stejný vzhled jako je aktuální výchozí šablona WordPressu (dobře na ní lze otestovat češtinu a různé zajímavé funkce). Takže změna se asi v dohledné době nechystá, možná jen nějaká odvozená šablona s úpravou vzhledu.

    smrk: Bohužel jde o jeden z nedořešených problémů. Uživatelům verze 3.8.x se automaticky nainstalovala aktuální verze 3.8.2 a čeština jim zůstala v původní stavu. Pokud ale někdo aktualizuje ze starší české verze, tak je dostupná pouze nejnovější anglická verze, protože česká (zatím) nevyšla. Pokud ale vydám oficiální českou verzi, tak se zase všem uživatelům nejnovější verze 3.8.2 objeví hláška, že je k dispozici nová česká verze a budou muset kliknout na aktualizaci, i když se vlastně nic nezměnilo (a tomu jsem se chtěl vyhnout). WordPress bohužel neumí aktualizovat na nejnovější českou verzi. Jakmile ale ve středu (čtvrtek) vyjde WordPress 3.9, tak by se stejně už zase nikdo k češtině pro WordPress 3.8.2 nedostal.

    Weredragon: Ano, raději vyjde čeština pro WordPress 3.9 bez kompletně přeložené nápovědy (která se neustále trochu mění) v horizontu několika dní po anglické verzi než čekat na kompletní dokončení překladu mnohem delší dobu.

  8. admin: Diky za info! Z toho mi vyplyva dotaz: Pokud bych ted provedl aktualizaci na anglickou 3.8.2, bude mi potom – v momente, kdy bude dostupna – nabidnuta wordpressem aktualizace zpet na ceskou verzi 3.9?

  9. Jinak mne osobne se Twentyfourteen ve srovnani s predchozimi defaultnimi sablonami celkem libi, ale vadi mi pouzite pismo Lato. Ono je samo o sobe pekne, ale nema ceskou znakovou sadu a tim padem jsou ceske znaky automaticky nahrazovany jinym pismem, u mne v prohlizeci konkretne Arialem a nepusobi to moc pekne.

  10. Článek jsem také přečetl a jsem rád, že je možné na jednom místě najít informace o provedených změnách. Vyhovuje mi, že autor změny vypíše v bodech, což vyhovuje nám, kterým stačí základní info. Zároveň je tu ale pro zájemce o hlubší informace možnost kliknout na odkaz, kde se dozví více. Ideální forma pro všechny.

  11. Přečetl jsem celý článek a informace z něj považuji za přínosné :-)

  12. Dobrý den!
    Jde nějak automatické aktualizace vypnout?
    Jak je možné, že mi info o provedené aktualizaci přijde na mail a má tvar wordpress@mojedoména.cz?!!

  13. smrk: Ano, pokud jste někdy používal českou verzi, tak to máte v souboru wp-config.php označeno a kdykoli vyjde česká verze, tak se automaticky objeví upozornění přímo na webu. Takže můžete aktualizovat ze stávající české verze na nejnovější anglickou 3.9 a jakmile vyjde čeština, tak se o tom určitě dozvíte (horní proužek v administraci webu). Stále vám totiž zůstává česká verze, pouze se staršími lokalizačními soubory. A většina tak bude stejně v češtině, pouze některé novinky anglicky.

    Zajímavé, font Lato by měl být v české verzi vypnutý? Jaký používáte prohlížeč? Mám teď zapnutý Chrome a žádný problém na webu nevidím?

    zeman: Řešeno zde.

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *