WordPress 4.4.2 – bezpečnostní a opravná verze

A opět po necelém měsíci se během úterního večera objevil nový WordPress 4.4.2, který tentokrát opravuje dva bezpečnostní problémy a hlavně různé další chyby, z nichž některé bohužel vznikly až na základě nedávné aktualizace. A pozorní čtenáři se nakonec dozví i jeden zajímavý trik :-)

WordPress 4.4.2 opravuje celkem 17 chyb a dva bezpečnostní problémy, kde tentokrát nešlo o poměrně častý způsob napadení prostřednictvím XSS, ale i tak rozhodně doporučujeme aktualizovat (ani se tomu nebránit). Z hlediska bezpečnosti sice nejsou problémy označeny jako kritické, ale přesto došlo k vydání aktualizací i pro všechny starší verze, které podporují automaticky spouštěné aktualizace, tedy WordPress 4.3.3, 4.2.7, 4.1.10, 4.0.10, 3.9.11, 3.8.13 a 3.7.13.

První z bezpečnostních problémů spočíval v možnosti zneužití Server Side Request Forgery (SSRF, podrobnosti), a to pro některé lokální URI. Zatím sice nebyly zveřejněny žádné bližší detaily, takže můžete prozkoumat pouze provedenou opravu, ale podle popisu to vypadá, že mohlo docházet ke zneužívání lokálních IP adres (např. 0.1.2.3), které už nově nebudou považovány za validní.

Druhým problémem byl Open redirect (podrobnosti), který se mohl projevit na přihlašovací stránce a nevědomě tak přesměrovat uživatele na nějaký externí web s možným rizikem získání přihlašovacích údajů (podrobnosti). V rámci implementované opravy bylo zlepšeno ověřování URL adres používaných při HTTP přesměrování.

A jaké další chyby byly opraveny?

  • Hlavní nedostatky se opět objevily v oblasti komentářů, kde muselo být opraveno celkem 6 poměrně závažných chyb, z nichž některé bohužel vznikly až na základě oprav minulé verze 4.4.1.
  • Podivný problém se stránkováním na úvodní stránce se projevoval pouze v některých případech, zejména pokud používáte nějakou specifickou šablonu pro úvodní stránku (problém). Osobně jsem se s tím setkal u jednoho webu s prémiovou šablonou. Problém zatím nebyl kompletně opraven a možná nás bude čekat ještě další aktualizace.
  • Nové emodži s možnost zobrazení rasové odlišnosti u ikonek s lidmi způsobily také jeden nečekaný problém, konkrétně v kombinaci s používaným mod_security.
  • Opravena byla nepříjemná chyba, která se objevovala právě v českém prostředí, kdy docházelo k problémům s nahráváním obrázků, které obsahují některé EXIF informace (konkrétně klíčová slova IPTC) s českou diakritikou.
  • A nakonec ještě zmíním jednu nenápadnou chybu se špatně generovaným SQL dotazem, která ale souvisí se zajímavou (i když nepříliš známou) novinkou WordPressu 4.4, a to možností negativního vyhledávání. Věděli jste, že můžete vyhledávat i obsah webu, který neobsahuje některý výraz? Pokud jste třeba hledali widget, tak se zobrazily všechny příspěvky, které tento výraz obsahují. Nově to ale můžete ještě upřesnit, např. widget -kalendář, čímž snadno najdete příspěvky s výrazem widget, které ale zároveň neobsahují kalendář. Povedená drobná vychytávka :-)

Na češtině pro WordPress 4.4 se průběžně pracuje (i když bohužel dost pomalu), podrobnosti o průběhu můžete sledovat přímo ve fóru. Budoucnost české verze bude řešena i v rámci chystaného WordCampu (nedělní Contributor day).

Nejoblíbenější hosting pro WordPress WEDOS.cz

2 thoughts on “WordPress 4.4.2 – bezpečnostní a opravná verze”

  1. Michal Stanke: Ano, většinou už je navržen nějaký překlad, jen to ještě někdo musí podrobně projít a upravit/schválit. Poslal jsem pozvánku k našemu internímu chatu, můžeme případně probrat detaily…

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *