WordPress 4.2.3 – bezpečnostní a opravná aktualizace

Trochu nečekaně se včera objevil nový WordPress 4.2.3, který opravuje dva bezpečnostní problémy a mnoho dalších chyb. Bohužel však tato automaticky spouštěná aktualizace může způsobit problémy s některými zkrácenými zápisy (shortcodes).

WordPress 4.2.2 a všechny předchozí verze (minimálně až do 3.0) dlouhodobě obsahovaly bezpečnostní chybu, pomocí které mohli uživatelé s oprávněním Spolupracovník (Contributor) nebo Redaktor (Author) provádět na webu nepovolené aktivity. Jde o klasickou ukázku XSS chyby (Cross-site scripting), což vedlo k poměrně rozsáhlé opravě. A o co vlastně konkrétně šlo? Útočník mohl použít speciální zkrácený zápis a publikovat ho v rámci nějakého příspěvku či stránky (na to měl potřebné oprávnění) a obejít tak částečně funkce, které by se měly o podobnou ochranu starat. I bez potřebného oprávnění tak mohl útočník spouštět nebezpečný JavaScriptový kód. Opraveny byly i starší verze, takže je nově dostupný také WordPress 4.1.6, 4.0.6, 3.9.7, 3.8.9 a 3.7.9.

Bezpečnostní opravy jsou už nějaký čas distribuovány a instalovány automaticky, ale v tomto případě došlo k výrazným změnám a mnoha uživatelům přestaly fungovat některé zkrácené zápisy. Tato situace může do budoucna bohužel zvýšit nedůvěru k automaticky spouštěným aktualizacím, protože v rámci opravy bezpečnostního problému se najednou změnila pravidla pro Shortcode API. A i když mohli uživatelé používat zkrácené zápisy trochu jinak (možná i nevhodně či nelogicky), tak asi nebylo ideální to “opravit” v rámci automaticky spouštěné aktualizace. Vývojáři sice upozorňují, že za celý problém mohou spíše uživatelé (či autoři pluginů a šablon), protože nepoužívali zkrácené zápisy tak, jak bylo původně zamýšleno, ale všichni víme, že jsou uživatelé obecně velmi tvůrčí a když jim několik let něco funguje, tak nemohli tušit, že se to náhle (a bez varování) změní.

Dalším argumentem byla nutnost rychlé opravy bezpečnostního problému, ale po přečtení dalších podrobností to tak už bohužel nevypadá. Chyba byla totiž původně nahlášena už v listopadu 2014 a od té doby patrně ignorována (či nepovažována za důležitou). Pokud to tedy nakonec stručně shrneme, tak vývojáři o problému věděli mnoho měsíců, nic moc s tím nedělali a najednou to bylo nutné rychle zveřejnit v rámci nové bezpečnostní verze? No, prostě asi jen neznáme všechny zákulisní informace :-)

Druhá bezpečnostní chyba spočívala v tom, že mohl uživatel s oprávněním Návštěvník (Subscriber) vytvořit na Nástěnce koncept prostřednictvím funkce pro Rychlý příspěvek, což obvykle není možné (oprava).

Kromě bezpečnostních problémů bylo opraveno také 20 dalších chyb (s některými jste se mohli třeba setkat):

  • Opět se opravovaly chyby související se změnou kódování databázových tabulek na utf8mb4. Nepodařilo se totiž migrovat databázi u všech webů, takže pokud se po nové aktualizaci WordPressu objeví ještě výzva k aktualizaci databáze, tak to bude právě tento případ.
  • Problémy byly také s novým způsobem aktualizace pluginů, který byl představen ve WordPressu 4.2. Bohužel se třeba občas stalo, že plugin sice nahlásil úspěšnou aktualizaci, ale přitom došlo k nějaké skryté chybě a k aktualizaci tedy vlastně vůbec nedošlo.
  • Některým šablonám zmizelo tlačítko pro odeslání komentáře, což bylo způsobeno špatným fungováním výchozích argumentů funkce comment_form().
  • A pokud jste měli mnoho dostupných widgetů, tak občas nebylo možné je přetahovat v rámci administrační stránky (Vzhled – Widgety).

Nakonec bych ale rozhodně doporučil automaticky spouštěné aktualizace nevypínat a v případě problémů raději opravit to, co máte na webu špatně. I přes všechny zmiňované problémy je totiž WordPress 4.2.3 ta nejlepší verze, kterou můžete na webu mít.

Ideální český hosting pro český WordPress je CZECHIA.CZ

3 komentáře u „WordPress 4.2.3 – bezpečnostní a opravná aktualizace“

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *