A opět po necelém měsíci se během úterního večera objevil nový WordPress 4.4.2, který tentokrát opravuje dva bezpečnostní problémy a hlavně různé další chyby, z nichž některé bohužel vznikly až na základě nedávné aktualizace. A pozorní čtenáři se nakonec dozví i jeden zajímavý trik :-)
WordPress 4.4.2 opravuje celkem 17 chyb a dva bezpečnostní problémy, kde tentokrát nešlo o poměrně častý způsob napadení prostřednictvím XSS, ale i tak rozhodně doporučujeme aktualizovat (ani se tomu nebránit). Z hlediska bezpečnosti sice nejsou problémy označeny jako kritické, ale přesto došlo k vydání aktualizací i pro všechny starší verze, které podporují automaticky spouštěné aktualizace, tedy WordPress 4.3.3, 4.2.7, 4.1.10, 4.0.10, 3.9.11, 3.8.13 a 3.7.13.
WordPress 4.4.2 Security and Maintenance Release https://t.co/ZD4rJZfzLI
— WordPress (@WordPress) February 2, 2016
První z bezpečnostních problémů spočíval v možnosti zneužití Server Side Request Forgery (SSRF, podrobnosti), a to pro některé lokální URI. Zatím sice nebyly zveřejněny žádné bližší detaily, takže můžete prozkoumat pouze provedenou opravu, ale podle popisu to vypadá, že mohlo docházet ke zneužívání lokálních IP adres (např. 0.1.2.3
), které už nově nebudou považovány za validní.
Druhým problémem byl Open redirect (podrobnosti), který se mohl projevit na přihlašovací stránce a nevědomě tak přesměrovat uživatele na nějaký externí web s možným rizikem získání přihlašovacích údajů (podrobnosti). V rámci implementované opravy bylo zlepšeno ověřování URL adres používaných při HTTP přesměrování.
A jaké další chyby byly opraveny?
- Hlavní nedostatky se opět objevily v oblasti komentářů, kde muselo být opraveno celkem 6 poměrně závažných chyb, z nichž některé bohužel vznikly až na základě oprav minulé verze 4.4.1.
- Podivný problém se stránkováním na úvodní stránce se projevoval pouze v některých případech, zejména pokud používáte nějakou specifickou šablonu pro úvodní stránku (problém). Osobně jsem se s tím setkal u jednoho webu s prémiovou šablonou. Problém zatím nebyl kompletně opraven a možná nás bude čekat ještě další aktualizace.
- Nové emodži s možnost zobrazení rasové odlišnosti u ikonek s lidmi způsobily také jeden nečekaný problém, konkrétně v kombinaci s používaným
mod_security
. - Opravena byla nepříjemná chyba, která se objevovala právě v českém prostředí, kdy docházelo k problémům s nahráváním obrázků, které obsahují některé EXIF informace (konkrétně klíčová slova IPTC) s českou diakritikou.
- A nakonec ještě zmíním jednu nenápadnou chybu se špatně generovaným SQL dotazem, která ale souvisí se zajímavou (i když nepříliš známou) novinkou WordPressu 4.4, a to možností negativního vyhledávání. Věděli jste, že můžete vyhledávat i obsah webu, který neobsahuje některý výraz? Pokud jste třeba hledali
widget
, tak se zobrazily všechny příspěvky, které tento výraz obsahují. Nově to ale můžete ještě upřesnit, např.widget -kalendář
, čímž snadno najdete příspěvky s výrazemwidget
, které ale zároveň neobsahujíkalendář
. Povedená drobná vychytávka :-)
Na češtině pro WordPress 4.4 se průběžně pracuje (i když bohužel dost pomalu), podrobnosti o průběhu můžete sledovat přímo ve fóru. Budoucnost české verze bude řešena i v rámci chystaného WordCampu (nedělní Contributor day).
Nejoblíbenější hosting pro WordPress WEDOS.cz
Když si zobrazím jakýkoliv projekt z https://translate.wordpress.org/locale/cs/default/wp/dev a dám vyfiltrovat nepřeložené řetězce, žádný tam není – všechny jsou tedy maximálně neschválené. V čem konkrétně je u nich problém?
Michal Stanke: Ano, většinou už je navržen nějaký překlad, jen to ještě někdo musí podrobně projít a upravit/schválit. Poslal jsem pozvánku k našemu internímu chatu, můžeme případně probrat detaily…