Un recente aggiornamento della sicurezza di WordPress con più correzioni di sicurezza sta anche causando l'interruzione del funzionamento di alcuni siti, facendo sì che uno sviluppatore esclami: "Questo è il caos !!"
L'aggiornamento ha rimosso una funzionalità chiave che ha causato l'interruzione del funzionamento di numerosi plug-in sui siti che utilizzano il sistema di blocchi di WordPress.
I plug-in interessati andavano dai moduli agli slider ai breadcrumb.
Aggiornamento WordPress 6.2.1
I siti che supportano gli aggiornamenti automatici in background hanno ricevuto automaticamente l'aggiornamento WordPress 6.2.1 perché si trattava di una versione di sicurezza (ufficialmente era una versione di manutenzione e sicurezza).
Secondo l'annuncio di rilascio ufficiale di WordPress, l'aggiornamento conteneva cinque correzioni di sicurezza:
"Temi di blocco che analizzano gli shortcode nei dati generati dagli utenti;... Un problema CSRF durante l'aggiornamento delle miniature degli allegati; segnalato da John Blackbourn del team di sicurezza di WordPress Un difetto che consente XSS tramite il rilevamento automatico di incorporamento aperto; riportato in modo indipendente da Jakub Żoczek di Securitum e durante un audit di sicurezza di terze parti Aggiramento della sanificazione KSES negli attributi di blocco per utenti con privilegi bassi; scoperto durante un controllo di sicurezza di terze parti. Un problema di attraversamento del percorso tramite file di traduzione; riportato in modo indipendente da Ramuel Gall e durante un audit di sicurezza di terze parti.
Il problema nasce dalla prima correzione di sicurezza, quella che riguarda gli shortcode nei temi a blocchi, che sta causando i problemi.
Uno shortcode è una singola riga di codice che funge da sostituto o segnaposto per il codice che fornisce funzionalità come un modulo di contatto.
Quindi, invece di configurare un modulo di contatto su ogni pagina in cui appare il modulo, si può semplicemente inserire una singola riga chiamata shortcode che incorporerà quindi un modulo di contatto.
Sfortunatamente è stato scoperto che gli hacker potevano eseguire codici brevi all'interno dei contenuti generati dagli utenti (come nei commenti del blog), che potrebbero quindi portare a un exploit.
WordFence descrive la vulnerabilità:
“WordPress Core elabora gli shortcode nei contenuti generati dagli utenti sui temi a blocchi nelle versioni fino alla 6.2 inclusa.
Ciò potrebbe consentire agli aggressori non autenticati di eseguire shortcode tramite l'invio di commenti o altri contenuti, consentendo loro di sfruttare le vulnerabilità che in genere richiedono autorizzazioni a livello di abbonato o collaboratore.
WordFence continua spiegando che la vulnerabilità è come un difetto che può abilitare un'altra vulnerabilità più grave.
La soluzione alla vulnerabilità dello shortcode era rimuovere completamente la funzionalità dello shortcode dai modelli di blocco di WordPress.
La documentazione ufficiale per la correzione della vulnerabilità ha spiegato:
"Rimuovi il supporto degli shortcode dai modelli di blocco."
Qualcuno ha creato una soluzione alternativa per ripristinare il supporto dello shortcode nei modelli di blocco di WordPress.
Ma la soluzione alternativa ha anche ripristinato la vulnerabilità:
“Per coloro che vogliono rimanere sulla 6.2.1 e hanno bisogno di ripristinare il supporto per gli shortcode sui modelli, puoi provare questa soluzione alternativa.
…Ma tieni presente che il supporto è stato rimosso per risolvere un problema di sicurezza e ripristinando il supporto dello shortcode probabilmente stai ripristinando il problema di sicurezza.
La disabilitazione del supporto dello shortcode ha effettivamente causato la non funzionalità di alcuni siti, che hanno smesso di funzionare del tutto.
Quindi aggiungere la soluzione alternativa fino a quando non è stata trovata una soluzione più permanente aveva senso per molti utenti.
Gli sviluppatori di WordPress chiamano Fix "folle" e "stupido"
Gli sviluppatori di WordPress hanno segnalato la loro frustrazione per l'aggiornamento di WordPress:
Una persona ha scritto:
“...è assolutamente folle per me che gli shortcode siano stati rimossi per impostazione predefinita!! Ognuno dei siti FSE della nostra agenzia utilizza il blocco shortcode nei modelli per tutto: filtri, ricerca, ACF e integrazioni di plug-in. Questo è il caos!!
La soluzione alternativa non sembra funzionare per me. Tornerò a una versione precedente e spero che ci sia una soluzione.
Un'altra persona ha postato:
“Sì, non capisco l'odio di Gutenberg, ma per lo meno avrebbero dovuto vietare alcuni blocchi come Shortcode che stavano gradualmente eliminando nel Full Site Editor.
È stato stupido da parte degli sviluppatori di WP.
Le persone useranno i vecchi modi a meno che tu non dica loro diversamente o li guidi verso cose nuove.
Ma come ho detto, sarebbe stato meglio costruire un ponte tramite, diciamo, un blocco PHP ufficiale, o addirittura ascoltare ciò che vogliono gli utenti e gli sviluppatori.
Uno dei plugin degni di nota che sono stati colpiti è stato Rank Math. La funzionalità breadcrumb quando presente sui temi a blocchi non è riuscita dopo l'aggiornamento 6.2.1.
Una pagina di supporto di Rank Math conteneva una richiesta di correzione da parte di un utente del plug-in Rank Math.
Il supporto di Rank Math ha consigliato di aggiungere una soluzione alternativa. Sfortunatamente, questa soluzione alternativa non solo ripristina la funzionalità dello shortcode, ma ripristina anche la vulnerabilità.
L'aggiornamento ha anche bloccato la funzionalità del plug-in Smart Slider 3.
È stato aperto un thread di supporto nella pagina del plug-in Smart Slider 3:
“Non del tutto colpa tua, ma Automattic ha deciso di estrarre gli shortcode dai modelli di blocco. …rivendicando un 'problema di sicurezza' ma fondamentalmente bloccando due plugin che uso, incluso il tuo.
Ciò significa che il tuo plugin mostra solo [smartslider3 slider=”6″] quando utilizzato in un modello FSE. Ma si vede bene nell'editor FSE!
Ho solo pensato che potresti volerlo sapere, prima che le persone confuse che Automattic DOVREBBE aver informato inizino a incolpare te. Non dovrebbero semplicemente rimuovere funzionalità del genere: è come tornare ai vecchi tempi.
Ora devo anche capire come inserire un codice form/PHP per inserire elenchi di categorie nelle caselle di ricerca. Grr.”
Il team di supporto di Smart Slider 3 ha consigliato di aggiungere la soluzione alternativa.
Altri nel thread di supporto di WordPress.org sul problema hanno trovato soluzioni. Se il tuo sito è interessato, potrebbe essere utile leggere la discussione.
Leggi la pagina di supporto di WordPress sul problema degli shortcode
WordPress v6.2.1 interrompe il blocco degli shortcode nei modelli
Immagine in primo piano di Shutterstock/ViChizh
