Gli esperti del Digital marketing

Potenzia il tuo business online con Monkey Digital SEO: sfrutta al massimo il potenziale del marketing strategico digitale.

L’aggiornamento 6.2.1 di WordPress provoca la rottura dei siti

L'aggiornamento 6.2.1 di WordPress provoca la rottura dei siti

Un recente aggiornamento della sicurezza di WordPress con più correzioni di sicurezza sta anche causando l'interruzione del funzionamento di alcuni siti, facendo sì che uno sviluppatore esclami: "Questo è il caos !!"

L'aggiornamento ha rimosso una funzionalità chiave che ha causato l'interruzione del funzionamento di numerosi plug-in sui siti che utilizzano il sistema di blocchi di WordPress.

I plug-in interessati andavano dai moduli agli slider ai breadcrumb.

Aggiornamento WordPress 6.2.1

I siti che supportano gli aggiornamenti automatici in background hanno ricevuto automaticamente l'aggiornamento WordPress 6.2.1 perché si trattava di una versione di sicurezza (ufficialmente era una versione di manutenzione e sicurezza).

Secondo l'annuncio di rilascio ufficiale di WordPress, l'aggiornamento conteneva cinque correzioni di sicurezza:

  • "Temi di blocco che analizzano gli shortcode nei dati generati dagli utenti;...
  • Un problema CSRF durante l'aggiornamento delle miniature degli allegati; segnalato da John Blackbourn del team di sicurezza di WordPress
  • Un difetto che consente XSS tramite il rilevamento automatico di incorporamento aperto; riportato in modo indipendente da Jakub Żoczek di Securitum e durante un audit di sicurezza di terze parti
  • Aggiramento della sanificazione KSES negli attributi di blocco per utenti con privilegi bassi; scoperto durante un controllo di sicurezza di terze parti.
  • Un problema di attraversamento del percorso tramite file di traduzione; riportato in modo indipendente da Ramuel Gall e durante un audit di sicurezza di terze parti.
  • Il problema nasce dalla prima correzione di sicurezza, quella che riguarda gli shortcode nei temi a blocchi, che sta causando i problemi.

    Uno shortcode è una singola riga di codice che funge da sostituto o segnaposto per il codice che fornisce funzionalità come un modulo di contatto.

    Quindi, invece di configurare un modulo di contatto su ogni pagina in cui appare il modulo, si può semplicemente inserire una singola riga chiamata shortcode che incorporerà quindi un modulo di contatto.

    Sfortunatamente è stato scoperto che gli hacker potevano eseguire codici brevi all'interno dei contenuti generati dagli utenti (come nei commenti del blog), che potrebbero quindi portare a un exploit.

    WordFence descrive la vulnerabilità:

    “WordPress Core elabora gli shortcode nei contenuti generati dagli utenti sui temi a blocchi nelle versioni fino alla 6.2 inclusa.

    Ciò potrebbe consentire agli aggressori non autenticati di eseguire shortcode tramite l'invio di commenti o altri contenuti, consentendo loro di sfruttare le vulnerabilità che in genere richiedono autorizzazioni a livello di abbonato o collaboratore.

    WordFence continua spiegando che la vulnerabilità è come un difetto che può abilitare un'altra vulnerabilità più grave.

    La soluzione alla vulnerabilità dello shortcode era rimuovere completamente la funzionalità dello shortcode dai modelli di blocco di WordPress.

    La documentazione ufficiale per la correzione della vulnerabilità ha spiegato:

    "Rimuovi il supporto degli shortcode dai modelli di blocco."

    Qualcuno ha creato una soluzione alternativa per ripristinare il supporto dello shortcode nei modelli di blocco di WordPress.

    Ma la soluzione alternativa ha anche ripristinato la vulnerabilità:

    “Per coloro che vogliono rimanere sulla 6.2.1 e hanno bisogno di ripristinare il supporto per gli shortcode sui modelli, puoi provare questa soluzione alternativa.

    …Ma tieni presente che il supporto è stato rimosso per risolvere un problema di sicurezza e ripristinando il supporto dello shortcode probabilmente stai ripristinando il problema di sicurezza.

    La disabilitazione del supporto dello shortcode ha effettivamente causato la non funzionalità di alcuni siti, che hanno smesso di funzionare del tutto.

    Quindi aggiungere la soluzione alternativa fino a quando non è stata trovata una soluzione più permanente aveva senso per molti utenti.

    Gli sviluppatori di WordPress chiamano Fix "folle" e "stupido"

    Gli sviluppatori di WordPress hanno segnalato la loro frustrazione per l'aggiornamento di WordPress:

    Una persona ha scritto:

    “...è assolutamente folle per me che gli shortcode siano stati rimossi per impostazione predefinita!! Ognuno dei siti FSE della nostra agenzia utilizza il blocco shortcode nei modelli per tutto: filtri, ricerca, ACF e integrazioni di plug-in. Questo è il caos!!

    La soluzione alternativa non sembra funzionare per me. Tornerò a una versione precedente e spero che ci sia una soluzione.

    Un'altra persona ha postato:

    “Sì, non capisco l'odio di Gutenberg, ma per lo meno avrebbero dovuto vietare alcuni blocchi come Shortcode che stavano gradualmente eliminando nel Full Site Editor.

    È stato stupido da parte degli sviluppatori di WP.

    Le persone useranno i vecchi modi a meno che tu non dica loro diversamente o li guidi verso cose nuove.

    Ma come ho detto, sarebbe stato meglio costruire un ponte tramite, diciamo, un blocco PHP ufficiale, o addirittura ascoltare ciò che vogliono gli utenti e gli sviluppatori.

    Uno dei plugin degni di nota che sono stati colpiti è stato Rank Math. La funzionalità breadcrumb quando presente sui temi a blocchi non è riuscita dopo l'aggiornamento 6.2.1.

    Una pagina di supporto di Rank Math conteneva una richiesta di correzione da parte di un utente del plug-in Rank Math.

    Il supporto di Rank Math ha consigliato di aggiungere una soluzione alternativa. Sfortunatamente, questa soluzione alternativa non solo ripristina la funzionalità dello shortcode, ma ripristina anche la vulnerabilità.

    L'aggiornamento ha anche bloccato la funzionalità del plug-in Smart Slider 3.

    È stato aperto un thread di supporto nella pagina del plug-in Smart Slider 3:

    “Non del tutto colpa tua, ma Automattic ha deciso di estrarre gli shortcode dai modelli di blocco. …rivendicando un 'problema di sicurezza' ma fondamentalmente bloccando due plugin che uso, incluso il tuo.

    Ciò significa che il tuo plugin mostra solo [smartslider3 slider=”6″] quando utilizzato in un modello FSE. Ma si vede bene nell'editor FSE!

    Ho solo pensato che potresti volerlo sapere, prima che le persone confuse che Automattic DOVREBBE aver informato inizino a incolpare te. Non dovrebbero semplicemente rimuovere funzionalità del genere: è come tornare ai vecchi tempi.

    Ora devo anche capire come inserire un codice form/PHP per inserire elenchi di categorie nelle caselle di ricerca. Grr.”

    Il team di supporto di Smart Slider 3 ha consigliato di aggiungere la soluzione alternativa.

    Altri nel thread di supporto di WordPress.org sul problema hanno trovato soluzioni. Se il tuo sito è interessato, potrebbe essere utile leggere la discussione.

    Leggi la pagina di supporto di WordPress sul problema degli shortcode

    WordPress v6.2.1 interrompe il blocco degli shortcode nei modelli

    Immagine in primo piano di Shutterstock/ViChizh

    Le Critiche Crescenti Contro Google
    Scoprire lo Sviluppo Web: La Programmazione come Arte
    Scopri i Top Podcast SEO del 2024 e Mantieniti Aggiornato
    Il ruolo delle finestre di dialogo nella progettazione di un'interfaccia utente web
    Guida all'Integrazione di ChatGPT sul Tuo Sito Web
    Utilizzo efficace di ChatGPT per la ricerca di parole chiave
    Automatizzare le Campagne PPC con l'Intelligenza Artificiale Generativa
    Aggiungere Coinvolgimento al tuo Sito con uno Sfondo Video CSS
    Importanza delle Pagine di Destinazione per la Generazione di Lead e Incremento delle Vendite
    Link Building

    Link Building come parte della tua strategia di marketing può portare a risultati rivoluzionari. Seowebsite è specializzato nel Link Building e aiuta gli imprenditori a realizzare un forte profilo di link che contribuisce alla crescita online. Possiamo supportarvi anche in questo?