WordPress 4.3.1 – bezpečnostní a opravná verze

Po necelém měsíci se konečně objevila opravná verze v podobě WordPressu 4.3.1, na kterou uživatelé obvykle čekají, aby mohli bez obav aktualizovat. Tentokrát se ale čekání vyplatilo, protože byla opravena poměrně závažná chyba, která mohla vést až ke zhroucení webu. V nové verzi bylo také odstraněno několik bezpečnostních problémů.

WordPress 4.3 představil poměrně unikátní situaci, kdy vývojáři provedli “školáckou” chybu (aneb nikdo není neomylný) v podobě záměny argumentů u funkce wp_schedule_single_event(), která slouží k plánování automatických akcí. A v některých případech bohužel mohlo dojít k zacyklení, kdy došlo k přidávání stále nových a nových akcí, dokud nenarostla tabulka wp_options do stavu, kdy přestal stačit např. memory_limit (či docházelo k jiným problémům s výkonem). S tímto problémem jsme se setkali i na místním fóru podpory a osobně jsem ho viděl na několika dalších webech.

WordPress 4.3.1 opravuje celkem 3 bezpečnostní chyby:

  • Patrně nejčastějším bezpečnostním problémem ve WordPressu je XSS (Cross-site scripting), tentokrát byla tato chyba objevena firmou Check Point a opět souvisela se zkrácenými zápisy (shortcode), respektive nedostatečně ošetřenými hodnotami parametrů, pokud obsahovaly HTML značky (oprava). Pokud máte čas a chuť na detailní vysvětlení, tak určitě doporučuji přečíst zajímavý článek (a vlastně i celý seriál).
  • Další XSS chybu objevili sami vývojáři, a to na administrační stránce s přehledem uživatelů, kde nebyla správně ošetřeno zobrazení emailové adresy (oprava) pomocí funkce esc_url().
  • A poslední problém mohl být zneužit spíše náhodně, kdy mohl být v rámci protokolu XML-RPC publikován soukromý příspěvek a bez potřebného oprávnění označen jako zvýrazněný (oprava).

Bezpečnostní problémy byly opraveny také pro všechny předchozí verze, které podporují automatické aktualizace, tedy WordPress 4.2.5, 4.1.8, 4.0.8, 3.9.9, 3.8.11 a 3.7.11.

Kromě bezpečnostních problémů bylo ale opraveno i mnoho dalších chyb:

  • Při použití rychlých úprav u komentářů v administraci byl zcela rozhozený formulář v mobilních zařízeních (chyba).
  • Vizuální editor TinyMCE byl kvůli některým problémům (mohly způsobit pád používaného prohlížeče) aktualizován na verzi 4.2.5.
  • Pokud jste chtěli smazat nějakého uživatele v síti webů (multisite), tak zmizela možnost přiřadit stávající obsah někomu jinému.
  • Opraven byl problém s formátováním, pokud jste přímo v příspěvku použili HTML komentáře.
  • Komentáře u stránek jsou sice od verze 4.3 ve výchozím nastavení zakázané, ale zapomnělo se na automaticky vytvářenou stránku při instalaci WordPressu :-)
  • V případě použití SSH2 docházelo k problémům s aktualizacemi pluginů.
  • Pokud jste chtěli použít malý obrázek pro ikonu webu a přeskočili jeho ořezávání, tak se mohla objevit chyba.
  • Opraveno bylo také několik drobných problémů s nově generovanými hesly a nástrojem pro aktuální náhled webu (Customizer).

Na češtině pro WordPress 4.3 se průběžně pracuje, za zpoždění se omlouvám, ale bohužel to nevyšlo podle původních představ (podrobnosti a diskuze přímo ve fóru).

Ideální český hosting pro český WordPress je CZECHIA.CZ

5 komentářů u „WordPress 4.3.1 – bezpečnostní a opravná verze“

  1. Dotaz k chybě wp_schedule_single_event() – je po aktualizaci tabulka “opravena” sama, pokud se v ní něco navíc objevilo, nebo je potřeba ruční zásah a jak na něj?

  2. Michal Stanke: Ano, nesmyslně naplánované akce by měly být po aktualizaci automaticky smazány a není potřeba žádný zásah uživatele. Nezkoušel jsem to, ale myslím, že to budou mít ošetřeno, aby nemusela spousta uživatelů zasahovat do databáze…

  3. Prosím obsahuje již instalační balík wordpress-4.3.1-en_US.zip češtinu a mohu tedy provést upgrade přímo z administrace WordPressu, aníž bych přišel o češtinu? Nebo musím po upgrade doinstalovat lokalizaci ručně, případně použít pouze český WordPress starší verze (wordpress-4.2.4-cs_CZ.zip)?

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *