جان مولر | سئو

به روز رسانی وردپرس 6.2.1 باعث خرابی سایت ها می شود


یک به‌روزرس، امنیتی اخیر وردپرس که دارای چندین اصلاحات امنیتی است نیز باعث می‌شود برخی سایت‌ها از کار بیفتند و باعث می‌شود یکی از توسعه‌دهندگان فریاد بزند:این هرج و مرج است!!

این به روز رس، یک عملکرد کلیدی را حذف کرد که باعث شد پلاگین های متعددی در سایتی که از سیستم بلوک های وردپرس استفاده می ،د کار نکنند.

پلاگین های تحت تأثیر از فرم ها گرفته تا لغزنده و ،ده نان متغیر بودند.

به روز رس، وردپرس 6.2.1

سایت‌هایی که از به‌روزرس، خودکار پس‌زمینه پشتیب، می‌کنند، به‌طور خودکار به‌روزرس، وردپرس 6.2.1 را دریافت ،د، زیرا یک نسخه امنیتی بود (رسماً یک نسخه نگهداری و امنیتی بود).

به گفته این مقام مسئول اطلاعیه انتشار وردپرس، این به روز رس، شامل پنج اصلاح امنیتی بود:

  1. «مسدود ، تم ها برای تجزیه کدهای کوتاه در داده های تولید شده توسط کاربر؛…
  2. یک مشکل CSRF در حال به‌روزرس، ریز ع،‌های پیوست. توسط جان بلکبورن از تیم امنیتی وردپرس گزارش شده است
  3. نقصی که به XSS از طریق کشف خودکار تعبیه شده باز اجازه می دهد. به طور مستقل توسط Jakub Żoczek از Securitum و طی یک ممیزی امنیتی شخص ثالث گزارش شده است
  4. دور زدن پا،ازی KSES در ویژگی های بلوک برای کاربران کم امتیاز. در طی یک ممیزی امنیتی شخص ثالث کشف شد.
  5. مشکل پیمایش مسیر از طریق فایل های ترجمه. به طور مستقل توسط راموئل گال و طی یک ممیزی امنیتی شخص ثالث گزارش شده است.

مشکل از اولین اصلاح امنیتی ناشی می‌شود، اصلاحی که روی کدهای کوتاه در مضامین بلوک تأثیر می‌گذارد، که باعث ایجاد مشکلات می‌شود.

کد کوتاه یک خط واحد از کد است که مانند یک پایه یا مکان نگهدار برای کد عمل می کند که عملکردی مانند فرم تماس را ارائه می دهد.

بنابراین به جای پیکربندی یک فرم تماس در هر صفحه ای که فرم در آن ظاهر می شود، می توان به سادگی یک خط به نام کد کوتاه قرار داد که سپس فرم تماس را جاسازی می کند.

متأسفانه کشف شد که هکرها می توانند کدهای کوتاه را در محتوای تولید شده توسط کاربر (مانند نظرات وبلاگ) اجرا کنند، که می تواند منجر به سوء استفاده شود.

WordFence آسیب پذیری را توصیف می کند:

“WordPress Core کدهای کوتاه در محتوای تولید شده توسط کاربر را روی مضامین بلوک در نسخه‌های تا، و از جمله، 6.2 پردازش می‌کند.

این می‌تواند به مهاجمان احراز هویت نشده اجازه دهد تا از طریق ارسال نظرات یا محتوای دیگر، کدهای کوتاه را اجرا کنند و به آنها اجازه می‌دهد از آسیب‌پذیری‌هایی که معمولاً به مجوزهای سطح مش، یا مشارکت‌کننده نیاز دارند، سوء استفاده کنند.

WordFence در ادامه توضیح می دهد که این آسیب پذیری مانند نقصی است که می تواند آسیب پذیری شدیدتری دیگر را فعال کند.

راه حل آسیب پذیری کد کوتاه حذف کامل عملکرد کد کوتاه از قالب های بلوک وردپرس بود.

این اسناد رسمی برای رفع آسیب پذیری توضیح داد:

“پشتیب، از کد کوتاه را از قالب های بلوک حذف کنید.”

شخصی راه‌حلی برای بازیابی پشتیب، از کد کوتاه در قالب‌های بلوک وردپرس ایجاد کرد.

اما راه حل نیز آسیب پذیری را بازیابی کرد:

برای ،، که می‌خواهند در نسخه 6.2.1 بمانند و نیاز به بازیابی پشتیب، از کدهای کوتاه روی قالب‌ها دارند، می‌توانند این راه‌حل را امتحان کنند.

اما توجه داشته باشید که پشتیب، برای رفع مشکل امنیتی حذف شده است و با بازیابی پشتیب، کد کوتاه احتمالاً مشکل امنیتی را باز می‌گرد،د.

غیرفعال ، پشتیب، از کد کوتاه در واقع باعث می شود که برخی از سایت ها غیر کاربردی شوند و به طور کلی کار نکنند.

بنابراین اضافه ، راه حل تا زم، که راه حل دائمی پیدا شود برای بسیاری از کاربران منطقی است.

توسعه دهندگان وردپرس رفع مشکل را «دیوانه» و «،» می گویند

توسعه دهندگان وردپرس ناراحتی خود را از به روز رس، وردپرس گزارش ،د:

یک شخص نوشت:

“… برای من کاملا دیوانه کننده است که کدهای کوتاه با طراحی حذف شده اند!! هر یک از سایت های FSE آژانس ما از بلوک کد کوتاه در قالب ها برای همه چیز استفاده می کند: فیلترها، جستجو، ACF و ادغام افزونه ها. این هرج و مرج است!!

به نظر نمی رسد راه حل برای من کار کند. به نسخه قبلی برمی گردم و امیدوارم که راه حلی وجود داشته باشد.”

شخص دیگری ارسال شده:

“بله، من نفرت گوتنبرگ را دریافت نمی‌کنم، اما حداقل آنها باید برخی از بلوک‌ها مانند S،rtcode را که به تدریج در ویرایشگر سایت کامل حذف می‌،د، ممنوع می‌،د.

این ،انه از توسعه دهندگان WP بود.

مردم از روش های قدیمی استفاده می کنند مگر اینکه چیز دیگری به آنها بگویید یا آنها را به چیزهای جدید راهنمایی کنید.

اما همانطور که گفتم، بهتر بود از طریق یک بلوک رسمی PHP یک پل بسازیم – یا در واقع گوش دادن به آنچه کاربران و توسعه دهندگان می خواهند.

یکی از پلاگین های قابل توجهی که تحت تاثیر قرار گرفت Rank Math بود. عملکرد ،ده نان در صورت وجود روی مضامین بلوک پس از به‌روزرس، 6.2.1 ناموفق بود.

یک صفحه پشتیب، Rank Math حاوی درخواستی برای رفع مشکل از یک کاربر افزونه Rank Math بود.

پشتیب، از رتبه ریاضی توصیه می شود یک راه حل را اضافه کنید. متأسفانه، این راه حل نه تنها عملکرد کد کوتاه را بازیابی می کند، بلکه آسیب پذیری را نیز بازیابی می کند.

این به روز رس، همچنین عملکرد پلاگین Smart Slider 3 را نیز مسدود کرد.

آ موضوع پشتیب، در صفحه افزونه Smart Slider 3 باز شد:

تقصیر شما کاملاً نیست، اما Automattic تصمیم گرفته است که کدهای کوتاه را از قالب های بلوک است،اج کند. … ادعای یک “مسئله امنیتی” اما اساساً دو پلاگین را که من از آن استفاده می کنم، شامل مال شما نیز حذف می کنم.

این بدان م،است که افزونه شما فقط نشان می دهد [smartslider3 slider=”6″] هنگامی که در قالب FSE استفاده می شود. اما در ویرایشگر FSE خوب نشون میده!

فقط فکر کردم شاید بخواهید بد،د، قبل از اینکه افراد گیج و سردرگمی که Automattic باید به آنها اطلاع می داد شروع به سرزنش شما کنند. آنها نباید فقط چنین عملکردی را حذف کنند – دوباره مثل روزهای بد قبلی است.

من اکنون باید نحوه وصل ، برخی از کدهای فرم/PHP را برای قرار دادن لیست دسته ها در جعبه های جستجو نیز بیابم. Grr.”

تیم پشتیب، Smart Slider 3 اضافه ، راه حل را توصیه کرد.

سایرین در تاپیک پشتیب، WordPress.org در مورد این مشکل راه حل هایی ارائه ،د. اگر سایت شما تحت تأثیر قرار گرفته است، خواندن بحث ممکن است مفید باشد.

صفحه پشتیب، وردپرس را در مورد مشکل کد کوتاه بخو،د

WordPress v6.2.1 بلوک کد کوتاه در قالب ها را می شکند

تصویر برجسته توسط Shutterstock/ViChizh




منبع: https://www.searchenginejournal.com/wordpress-update-6-2-1-causes-some-websites-to-break/487358/

جان مولر