حتی اگر برای جلوگیری از آسیبپذیری روز صفر در سایتهای وردپرس کاملاً ضروری باشد، پشتیبانی از کوتاهکد قطع شده در قالبهای بلوک باید با اطلاعات بیشتری همراه میشد تا به کاربران آسیبدیده در یافتن راهحل کمک کند.
“برای من کاملاً دیوانه کننده است که کدهای کوتاه با طراحی حذف شده اند!” @camknight در بحث انجمن پشتیبانی گفت. «هر یک از سایتهای FSE آژانس ما از بلوک کد کوتاه در قالبها برای همه چیز استفاده میکند: فیلترها، جستجو، ACF و یکپارچهسازی افزونهها. این هرج و مرج است!!»
رفع تمام این موارد استفاده از کد کوتاه در وبسایتهایی که به شدت به آنها متکی هستند، حتی با اطلاع قبلی، برای بسیاری یک چالش بوده است. ارسال این تغییر فاحش در یک بهروزرسانی خودکار، بدون توضیح مناسب در مورد تأثیر آن بر کاربران، تنها به چرخاندن چاقو کمک کرد.
“من در بیش از 600 صفحه که از پنج یا شش الگوی مختلف با کدهای کوتاه در هر قالب در یک سایت و چیزهای مشابه در چندین سایت دیگر استفاده می کنند، مشکل مشابهی دارم.” @asjl گفت.
“در حال حاضر هیچ برنامه زمانی در دسترس نیست – این به پچ بعدی بستگی دارد که در حال حاضر توسط تیم ویرایشگر مورد بحث قرار گرفته است.”
تنها ارتباطی که کاربران در این مورد دریافت کردند، یادداشت کوتاه و ناکافی در مورد آسیبپذیری در پست انتشار 6.2.1 «مسدود کردن تمها تجزیه کدهای کوتاه در دادههای تولید شده توسط کاربر» بود.
در این بین، کسانی که نمی توانند راه حلی را به کار گیرند و به دنبال بازگشت به 6.2 هستند، می توانند از WP Downgrade افزونه به عنوان یک اصلاح موقت، با آگاهی از این که این سایت را آسیب پذیر می کند تا زمانی که یک راه حل دائمی ایجاد شود.
سایر کاربران مجبور میشوند به نسخههای ناامن قبلی وردپرس برگردند تا عملکردهای حیاتی سایتهای خود را حفظ کنند. توسعه دهنده وردپرس، اولیور کمپیون، در مورد بلیط Trac با جزئیات بیشتر در مورد نحوه استفاده سایت ها از کدهای کوتاه در قالب ها اظهار نظر کرد:
ما موفق شدهایم سایتهای آسیبدیده را به نسخه 6.2 برگردانیم و بهروزرسانیهای هسته خودکار را تا زمانی که راهحل مناسبی وجود دارد مسدود کنیم، که امیدواریم به دلیل مشکلات امنیتی گزارش شده قریبالوقوع باشد!
ما از آنها برای تزریق منوهای کلاسیک استفاده میکنیم که میتوانند آیتمهای منوی پویا (مانند خروج از سیستم)، محتوای هدر پویا، حلقههای تخصصی و محتوای پاورقی داشته باشند که به سادگی نشان دادن سال جاری در بیانیه حق نسخهبرداری تا نشان دادن یک فرم تماس یا سایر موارد پویا از این قبیل است. محتوا. و این همان چیزی است که می توانم از بالای سرم به آن فکر کنم.
Audras گفت: «همانطور که ممکن است بدانید، یک اصلاح امنیتی منجر به یک مشکل مهم در کدهای کوتاه استفاده شده در قالب ها شد. این موضوع در حال حاضر به طور فعال در تیم ویرایشگر امنیتی مورد بحث قرار گرفته است، و برخی فرضیه ها برای مرتب کردن این موضوع در انتشار سریع پیگیری ارائه شده است.
وردپرس 6.2.1 دیروز منتشر شد و در سایت هایی با فعال بودن به روز رسانی خودکار پس زمینه منتشر شد. این به روز رسانی شامل پنج اصلاح امنیتی مهم بود. معمولاً می توان به نسخه نگهداری و امنیت اعتماد کرد که یک وب سایت را خراب نمی کند، اما بسیاری از کاربران پس از 6.2.1 با مشکل مواجه هستند. پشتیبانی از کد کوتاه را از قالب های بلوک حذف کرد.
در جریان جلسه توسعه دهنده اصلی امروز، وردپرس 6.2.1 Jb Audras را منتشر کرد گفت این مشکل ممکن است باعث انتشار سریع 6.2.2 شود، اما جزئیات هنوز در دسترس نیست.
این به روز رسانی چیزی جز یک فاجعه نبوده است. من نمی توانم درک کنم که چگونه هیچ هشداری در مورد چنین توزیع مخرب و خودکار وجود ندارد!
به نظر ما، بلوک های کد کوتاه برای فرآیند طراحی در هنگام استفاده از تم های بلوکی کاملا ضروری هستند.
مشخص نیست که چرا بلوکهای کد کوتاه که در قسمتهای قالب قالب بلوک قرار دارند هنوز کار میکنند، اما این یکی از راهحلهایی است که به کاربران پیشنهاد شده است. در یک مسیر بلیط برای این مشکل، دیگران پیشنهاد کرده اند یک فایل PHP برای افزونه ای به نام “Shortcode Fix” به پوشه افزونه ها اضافه کنید، اما این راه حل مسئله امنیتی را دوباره مطرح می کند.
من مشتاقانه منتظر ویرایش هر یک از آن صفحات هستم تا کد کوتاه به جای خود بازگردد. یا بازگشت به نسخه 6.2 و خاموش کردن به روز رسانی ها.
آ تاپیک انجمن پشتیبانی ردیابی مشکل کدهای کوتاه شکسته نشان میدهد که این تغییر بر نحوه نمایش افزونهها مواردی مانند breadcrumbs، فرمهای ثبتنام خبرنامه، WPForms، Metaslider، محتوای bbPress و موارد دیگر تأثیر میگذارد. این مشکل بر بلوک های قالب تأثیر می گذارد، نه سایت هایی که از تم های غیر FSE استفاده می کنند.
کاربر دیگری، @asjl، گزارش می دهد که این به روز رسانی صدها صفحه را می شکند.
پیامد ناگوار این به روز رسانی این است که اعتماد بسیاری از کاربران را نسبت به به روز رسانی خودکار وردپرس از بین برده است. این نوع تغییر شکسته هرگز نباید در نسخه ای که به صورت خودکار یک شبه نصب می شود اتفاق بیفتد.