Po necelém měsíci tu máme nový WordPress 4.4.1, tedy první opravnou verzi, kde sice nebyl zaznamenán žádný závažný problém jako minule, ale některým uživatelům mohl WordPress 4.4 způsobit různé nepříjemné potíže. A nesmíme zapomenout ani na opravenou bezpečnostní chybu.

S bezpečností začneme nejdříve, protože objevená chyba mohla umožnit útočníkům s trochou štěstí a fantazie přístup k libovolnému webu. Podle všeho šlo o XSS chybu (Cross-site scripting) a opravena byla konkrétně zde, a to doplněním escapovací funkce esc_html(). O závažnosti však trochu napovídá i fakt, že došlo k vydání aktualizace i pro všechny starší verze, které umožňují automaticky spouštěné aktualizace, tedy WordPress 4.3.2, 4.2.6, 4.1.9, 4.0.9, 3.9.10, 3.8.12 a 3.7.12.

WordPress <=4.4.1 #XSS /wp-admin/customize.php?theme=<svg onload=alert(1)> (for a logged in admin)

— Brute (@brutelogic) January 7, 2016

WordPress 4.4.1 je poměrně důležitou aktualizací, protože kromě bezpečnostního problému opravuje více než 50 (!) dalších chyb. Souvisí to samozřejmě s mnoha pozitivními změnami, které se dostaly do WordPressu 4.4, ale bohužel se často objevila nějaká drobnost, která nebyla včas zachycena a ošetřena ještě v rámci vývoje.

Kromě opravených chyb byla také doplněna podpora nových emodži ikonek v rámci Unicode 8. Na ukázku sem ale zatím musím vložit screenshot, protože jsem se ještě neodhodlal k aktualizaci na WordPress 4.4 :-)

Jednou z novinek je u emodži třeba také možnost zobrazení rasové odlišnosti u ikonek s lidmi. Kromě standardních “bledých tváří” tak budou dostupné i různé další rasy. Mnozí uživatelé to určitě rádi využijí v rámci nějaké migrační diskuze :-)

A jaké byly nejdůležitější opravené chyby (celkový přehled)?

Problematické bylo zejména špatné přesměrování, pokud už někdy v minulosti existoval stejný název příspěvku. WordPress umí automaticky přesměrovat příspěvky (obecně nehierarchické typy obsahu) v případě, kdy změníte jejich název URL adresu (používá k tomu uživatelské pole _wp_old_slug). A pokud jste měli nastavenou strukturu trvalých odkazů na /%postname%/ a publikovali příspěvek “WordPress 4.4”, tak jeho název pro URL adresu byl wordpress-44. A když jste následně tento název změnili, např. na wordpress-44-neco a následně publikovali jiný příspěvek s původním názvem “WordPress 4.4”, tak byl automaticky přesměrován na ten první. Sice to na první pohled nevypadá jako příliš častý problém, ale stěžovalo si na něj docela dost uživatelů, kteří nemohli vůbec zobrazit nově publikovaný příspěvek (chyba). Bohužel to vypadá, že ještě nebyly odchyceny všechny možné souvislosti a dořešení se dočkáme až v další opravné verzi.

Opět se objevily problémy se staršími verzemi OpenSSL na některých serverech, takže docházelo k problémům v komunikaci s dalšími externími službami (zprovozněnými na základě pluginů), např. MailChimp (chyba).

Služba Rdio byla nedávno zcela zrušena, takže došlo k odstranění automatické oEmbed podpory (podrobnosti). V českém prostředí asi nebyla příliš využívána, každopádně se alespoň můžeme zamyslet nad tím, co bude se všemi odkazy a články, až zkrachuje nějaká známější služba s externím mediálním obsahem :-)

Nechyběly ani problémy s aktualizacemi pluginů na některých serverech (chyba) a objevilo se i několik chyb, které souvisely s novou podporou pro automaticky přizpůsobované velikosti obrázků a optimalizacemi komentářů (jeden problém byl zaznamenán i na místním fóru). Zkrácené zápisy (shortcode) způsobí nějaký problém snad v každé verzi a bylo tomu tak i tentokrát, kdy přestal fungovat poměrně jednoduchý zápis [shortcode=xxx] (chyba).

Pokud se pokusíte smazat ve WordPressu nějakého uživatele, tak by se měla objevit stránka s nabídkou, co chcete udělat s obsahem webu, který byl tímto uživatelem vytvořen. Ve WordPressu 4.4 se ale v některých případech tato možnost bohužel vůbec neobjevila (chyba). Záložka pro nastavení zobrazených informací na stránce pro vytváření vlastních menu zase neukládala nastavené hodnoty (chyba). A funkce the_tags(), která je často používána pro zobrazení štítků na webu, změnila výchozí řazení štítků z původního názvu na ID (chyba).

A nakonec ještě malé upozornění na další objevené chyby, které zatím nejsou opraveny a jedna z nich může být docela problematická právě v českém prostředí, protože souvisí s nahráváním obrázků, které obsahují EXIF informace s českou diakritikou.

Na češtině pro WordPress 4.4 se průběžně pracuje, ale původní představu o využití prosincových svátků se nakonec nepodařilo realizovat (další podrobnosti o průběhu budu doplňovat přímo ve fóru).