بهروزرسانی امنیتی اخیر وردپرس که دارای چندین اصلاحات امنیتی است نیز باعث توقف عملکرد برخی سایتها میشود و باعث میشود یکی از توسعهدهندگان فریاد بزند:این هرج و مرج است!!”
این به روز رسانی یک عملکرد کلیدی را حذف کرد که باعث شد پلاگین های متعددی در سایتی که از سیستم بلوک های وردپرس استفاده می کردند کار نکنند.
پلاگین های تحت تأثیر از فرم ها گرفته تا لغزنده و خرده نان متغیر بودند.
به روز رسانی وردپرس 6.2.1
سایتهایی که از بهروزرسانیهای خودکار پسزمینه پشتیبانی میکنند، بهطور خودکار بهروزرسانی وردپرس 6.2.1 را دریافت کردند، زیرا یک نسخه امنیتی بود (رسماً یک نسخه تعمیر و نگهداری و امنیتی بود).
به گفته این مقام مسئول اطلاعیه انتشار وردپرس، این به روز رسانی شامل پنج اصلاح امنیتی بود:
- «مسدود کردن تم ها برای تجزیه کدهای کوتاه در داده های تولید شده توسط کاربر؛…
- یک مشکل CSRF در حال بهروزرسانی ریز عکسهای پیوست. توسط جان بلکبورن از تیم امنیتی وردپرس گزارش شده است
- نقصی که به XSS از طریق کشف خودکار تعبیه شده باز اجازه می دهد. به طور مستقل توسط Jakub Żoczek از Securitum و طی یک ممیزی امنیتی شخص ثالث گزارش شده است
- دور زدن پاکسازی KSES در ویژگی های بلوک برای کاربران کم امتیاز. در طی یک ممیزی امنیتی شخص ثالث کشف شد.
- مشکل پیمایش مسیر از طریق فایل های ترجمه. به طور مستقل توسط راموئل گال و طی یک ممیزی امنیتی شخص ثالث گزارش شده است.
مشکل از اولین اصلاح امنیتی ناشی میشود، اصلاحی که روی کدهای کوتاه در مضامین بلوک تأثیر میگذارد، که باعث ایجاد مشکلات میشود.
کد کوتاه یک خط واحد از کد است که مانند یک پایه یا مکان نگهدار برای کد عمل می کند که عملکردی مانند فرم تماس را ارائه می دهد.
بنابراین به جای پیکربندی یک فرم تماس در هر صفحه ای که فرم در آن ظاهر می شود، می توان به سادگی یک خط به نام کد کوتاه قرار داد که سپس یک فرم تماس را جاسازی می کند.
متأسفانه کشف شد که هکرها می توانند کدهای کوتاه را در محتوای تولید شده توسط کاربر (مانند نظرات وبلاگ) اجرا کنند که می تواند منجر به سوء استفاده شود.
WordFence آسیب پذیری را توصیف می کند:
“WordPress Core کدهای کوتاه در محتوای تولید شده توسط کاربر را روی مضامین بلوک در نسخههای تا، و از جمله، 6.2 پردازش میکند.
این میتواند به مهاجمان احراز هویت نشده اجازه دهد تا از طریق ارسال نظرات یا محتوای دیگر، کدهای کوتاه را اجرا کنند و به آنها اجازه میدهد از آسیبپذیریهایی که معمولاً به مجوزهای سطح مشترک یا Contributor نیاز دارند، سوء استفاده کنند.
WordFence در ادامه توضیح می دهد که این آسیب پذیری مانند نقصی است که می تواند آسیب پذیری شدیدتری دیگر را فعال کند.
راه حل آسیب پذیری کد کوتاه حذف کامل عملکرد کد کوتاه از قالب های بلوک وردپرس بود.
را اسناد رسمی برای رفع آسیب پذیری توضیح داد:
“پشتیبانی از کد کوتاه را از قالب های بلوک حذف کنید.”
شخصی راهحلی برای بازیابی پشتیبانی از کد کوتاه در قالبهای بلوک وردپرس ایجاد کرد.
اما راه حل نیز آسیب پذیری را بازیابی کرد:
برای کسانی که میخواهند در نسخه 6.2.1 بمانند و نیاز به بازیابی پشتیبانی از کدهای کوتاه روی قالبها دارند، میتوانند این راهحل را امتحان کنند.
اما توجه داشته باشید که پشتیبانی برای رفع مشکل امنیتی حذف شده است و با بازیابی پشتیبانی کد کوتاه احتمالاً مشکل امنیتی را باز میگردانید.
غیرفعال کردن پشتیبانی از کد کوتاه در واقع باعث می شود که برخی از سایت ها غیر کاربردی شوند و به طور کلی کار نکنند.
بنابراین اضافه کردن راه حل تا زمانی که راه حل دائمی پیدا شود برای بسیاری از کاربران منطقی است.
توسعه دهندگان وردپرس رفع مشکل را «دیوانه» و «احمق» می گویند
توسعه دهندگان وردپرس ناراحتی خود را از به روز رسانی وردپرس گزارش کردند:
یک شخص نوشت:
“… برای من کاملا دیوانه کننده است که کدهای کوتاه با طراحی حذف شده اند!! هر یک از سایت های FSE آژانس ما از بلوک کد کوتاه در قالب ها برای همه چیز استفاده می کند: فیلترها، جستجو، ACF و ادغام افزونه ها. این هرج و مرج است!!
به نظر نمی رسد راه حل برای من کار کند. به نسخه قبلی برمی گردم و امیدوارم که راه حلی وجود داشته باشد.”
شخص دیگری ارسال شده:
“بله، من نفرت گوتنبرگ را دریافت نمیکنم، اما حداقل آنها باید برخی از بلوکها مانند Shortcode را که به تدریج در ویرایشگر سایت کامل حذف میکردند، ممنوع میکردند.
این احمقانه از توسعه دهندگان WP بود.
مردم از روش های قدیمی استفاده می کنند مگر اینکه چیز دیگری به آنها بگویید یا آنها را به چیزهای جدید راهنمایی کنید.
اما همانطور که گفتم، بهتر بود یک پل از طریق بلاک رسمی PHP بسازیم – یا در واقع گوش دادن به آنچه کاربران و توسعه دهندگان می خواهند.
یکی از پلاگین های قابل توجهی که تحت تاثیر قرار گرفت Rank Math بود. عملکرد خرده نان در صورت وجود روی مضامین بلوک پس از بهروزرسانی 6.2.1 ناموفق بود.
یک صفحه پشتیبانی Rank Math حاوی درخواستی برای رفع مشکل از یک کاربر افزونه Rank Math بود.
پشتیبانی از رتبه ریاضی توصیه می شود یک راه حل را اضافه کنید. متأسفانه، این راهحل نه تنها عملکرد کد کوتاه را بازیابی میکند، بلکه آسیبپذیری را نیز بازیابی میکند.
این به روز رسانی همچنین عملکرد پلاگین Smart Slider 3 را نیز مسدود کرد.
آ موضوع پشتیبانی در صفحه افزونه Smart Slider 3 باز شد:
تقصیر شما کاملاً نیست، اما Automattic تصمیم گرفته است که کدهای کوتاه را از قالب های بلوک استخراج کند. … ادعای یک “مسئله امنیتی” اما اساساً دو پلاگین را که من از آن استفاده می کنم، شامل مال شما نیز حذف می کنم.
این بدان معناست که افزونه شما فقط نشان می دهد [smartslider3 slider=”6″] هنگامی که در قالب FSE استفاده می شود. اما در ویرایشگر FSE خوب نشون میده!
فقط فکر کردم شاید بخواهید بدانید، قبل از اینکه افراد گیج و سردرگمی که Automattic باید به آنها اطلاع می داد شروع به سرزنش شما کنند. آنها نباید فقط عملکردی مانند آن را حذف کنند – مثل روزهای بد قدیمی دوباره است.
من اکنون باید نحوه وصل کردن برخی از کدهای فرم/PHP را برای قرار دادن لیست دسته ها در جعبه های جستجو نیز بیابم. Grr.”
تیم پشتیبانی Smart Slider 3 اضافه کردن راه حل را توصیه کرد.
سایرین در تاپیک پشتیبانی WordPress.org در مورد این مشکل راه حل هایی ارائه کردند. اگر سایت شما تحت تأثیر قرار گرفته است، خواندن بحث ممکن است مفید باشد.
صفحه پشتیبانی وردپرس را در مورد مشکل کد کوتاه بخوانید
WordPress v6.2.1 بلوک کد کوتاه در قالب ها را می شکند
تصویر برجسته توسط Shutterstock/ViChizh
منبع: https://www.searchenginejournal.com/wordpress-update-6-2-1-causes-some-websites-to-break/487358/