به روز رسانی وردپرس 6.2.1 باعث خرابی سایت ها می شود

به‌روزرسانی امنیتی اخیر وردپرس که دارای چندین اصلاحات امنیتی است نیز باعث توقف عملکرد برخی سایت‌ها می‌شود و باعث می‌شود یکی از توسعه‌دهندگان فریاد بزند:این هرج و مرج است!!”

این به روز رسانی یک عملکرد کلیدی را حذف کرد که باعث شد پلاگین های متعددی در سایتی که از سیستم بلوک های وردپرس استفاده می کردند کار نکنند.

پلاگین های تحت تأثیر از فرم ها گرفته تا لغزنده و خرده نان متغیر بودند.

به روز رسانی وردپرس 6.2.1

سایت‌هایی که از به‌روزرسانی‌های خودکار پس‌زمینه پشتیبانی می‌کنند، به‌طور خودکار به‌روزرسانی وردپرس 6.2.1 را دریافت کردند، زیرا یک نسخه امنیتی بود (رسماً یک نسخه تعمیر و نگهداری و امنیتی بود).

طبق اعلامیه رسمی انتشار وردپرس، این به روز رسانی شامل پنج اصلاح امنیتی است:

1. «مسدود کردن تم ها برای تجزیه کدهای کوتاه در داده های تولید شده توسط کاربر؛…
2. یک مشکل CSRF در حال به‌روزرسانی ریز عکس‌های پیوست. توسط جان بلکبورن از تیم امنیتی وردپرس گزارش شده است
3. نقصی که به XSS از طریق کشف خودکار تعبیه شده باز اجازه می دهد. به طور مستقل توسط Jakub Żoczek از Securitum و طی یک ممیزی امنیتی شخص ثالث گزارش شده است
4. دور زدن پاکسازی KSES در ویژگی های بلوک برای کاربران کم امتیاز. در طی یک ممیزی امنیتی شخص ثالث کشف شد.
5. مشکل پیمایش مسیر از طریق فایل های ترجمه. به طور مستقل توسط راموئل گال و طی یک ممیزی امنیتی شخص ثالث گزارش شده است.

مشکل از اولین اصلاح امنیتی ناشی می‌شود، اصلاحی که روی کدهای کوتاه در مضامین بلوک تأثیر می‌گذارد، که باعث ایجاد مشکلات می‌شود.

کد کوتاه یک خط واحد از کد است که مانند یک پایه یا مکان نگهدار برای کد عمل می کند که عملکردی مانند فرم تماس را ارائه می دهد.

بنابراین به جای پیکربندی یک فرم تماس در هر صفحه ای که فرم در آن ظاهر می شود، می توان به سادگی یک خط به نام کد کوتاه قرار داد که سپس یک فرم تماس را جاسازی می کند.

متأسفانه کشف شد که هکرها می توانند کدهای کوتاه را در محتوای تولید شده توسط کاربر (مانند نظرات وبلاگ) اجرا کنند که می تواند منجر به سوء استفاده شود.

WordFence این آسیب پذیری را شرح می دهد:

“WordPress Core کدهای کوتاه در محتوای تولید شده توسط کاربر را روی مضامین بلوک در نسخه‌های تا، و از جمله، 6.2 پردازش می‌کند.

این می‌تواند به مهاجمان احراز هویت نشده اجازه دهد تا از طریق ارسال نظرات یا محتوای دیگر، کدهای کوتاه را اجرا کنند و به آنها اجازه می‌دهد از آسیب‌پذیری‌هایی که معمولاً به مجوزهای سطح مشترک یا Contributor نیاز دارند، سوء استفاده کنند.

WordFence در ادامه توضیح می دهد که این آسیب پذیری مانند نقصی است که می تواند آسیب پذیری شدیدتری دیگر را فعال کند.

راه حل آسیب پذیری کد کوتاه حذف کامل عملکرد کد کوتاه از قالب های بلوک وردپرس بود.

اسناد رسمی برای رفع آسیب پذیری توضیح داده است:

“پشتیبانی از کد کوتاه را از قالب های بلوک حذف کنید.”

شخصی راه‌حلی برای بازیابی پشتیبانی از کد کوتاه در قالب‌های بلوک وردپرس ایجاد کرد.

اما راه‌حل آسیب‌پذیری را نیز بازیابی کرد:

برای کسانی که می‌خواهند در نسخه 6.2.1 بمانند و نیاز به بازیابی پشتیبانی از کدهای کوتاه روی قالب‌ها دارند، می‌توانند این راه‌حل را امتحان کنند.

اما توجه داشته باشید که پشتیبانی برای رفع مشکل امنیتی حذف شده است و با بازیابی پشتیبانی کد کوتاه احتمالاً مشکل امنیتی را باز می‌گردانید.

غیرفعال کردن پشتیبانی از کد کوتاه در واقع باعث می شود که برخی از سایت ها غیر کاربردی شوند و به طور کلی کار نکنند.

بنابراین اضافه کردن راه حل تا زمانی که راه حل دائمی پیدا شود برای بسیاری از کاربران منطقی است.

توسعه دهندگان وردپرس رفع مشکل را «دیوانه» و «احمق» می گویند

توسعه دهندگان وردپرس ناراحتی خود را از به روز رسانی وردپرس گزارش کردند:

یک نفر نوشت:

“… برای من کاملا دیوانه کننده است که کدهای کوتاه با طراحی حذف شده اند!! هر یک از سایت های FSE آژانس ما از بلوک کد کوتاه در قالب ها برای همه چیز استفاده می کند: فیلترها، جستجو، ACF و ادغام افزونه ها. این هرج و مرج است!!

به نظر نمی رسد راه حل برای من کار کند. به نسخه قبلی برمی گردم و امیدوارم که راه حلی وجود داشته باشد.”

شخص دیگری پست کرد:

“بله، من نفرت گوتنبرگ را دریافت نمی‌کنم، اما حداقل آنها باید برخی از بلوک‌ها مانند Shortcode را که به تدریج در ویرایشگر سایت کامل حذف می‌کردند، ممنوع می‌کردند.

این احمقانه از توسعه دهندگان WP بود.

مردم از روش های قدیمی استفاده می کنند مگر اینکه چیز دیگری به آنها بگویید یا آنها را به چیزهای جدید راهنمایی کنید.

اما همانطور که گفتم، بهتر بود یک پل از طریق بلاک رسمی PHP بسازیم – یا در واقع گوش دادن به آنچه کاربران و توسعه دهندگان می خواهند.

یکی از پلاگین های قابل توجهی که تحت تاثیر قرار گرفت Rank Math بود. عملکرد خرده نان در صورت وجود روی مضامین بلوک پس از به‌روزرسانی 6.2.1 ناموفق بود.

یک صفحه پشتیبانی Rank Math حاوی درخواستی برای رفع مشکل از یک کاربر افزونه Rank Math بود.

پشتیبانی Rank Math اضافه کردن یک راه حل را توصیه می کند. متأسفانه، این راه‌حل نه تنها عملکرد کد کوتاه را بازیابی می‌کند، بلکه آسیب‌پذیری را نیز بازیابی می‌کند.

این به روز رسانی همچنین عملکرد پلاگین Smart Slider 3 را نیز مسدود کرد.

یک موضوع پشتیبانی در صفحه افزونه Smart Slider 3 باز شد:

تقصیر شما کاملاً نیست، اما Automattic تصمیم گرفته است که کدهای کوتاه را از قالب های بلوک استخراج کند. … ادعای یک “مسئله امنیتی” اما اساساً دو پلاگین را که من از آن استفاده می کنم، شامل مال شما نیز حذف می کنم.

این بدان معناست که افزونه شما فقط نشان می دهد [smartslider3 slider=”6″] هنگامی که در قالب FSE استفاده می شود. اما در ویرایشگر FSE خوب نشون میده!

فقط فکر کردم شاید بخواهید بدانید، قبل از اینکه افراد گیج و سردرگمی که Automattic باید به آنها اطلاع می داد شروع به سرزنش شما کنند. آنها نباید فقط عملکردی مانند آن را حذف کنند – مثل روزهای بد قدیمی دوباره است.

من اکنون باید نحوه وصل کردن برخی از کدهای فرم/PHP را برای قرار دادن لیست دسته ها در جعبه های جستجو نیز بیابم. Grr.”

تیم پشتیبانی Smart Slider 3 اضافه کردن راه حل را توصیه کرد.

سایرین در تاپیک پشتیبانی WordPress.org در مورد این مشکل راه حل هایی ارائه کردند. اگر سایت شما تحت تأثیر قرار گرفته است، خواندن بحث ممکن است مفید باشد.

صفحه پشتیبانی وردپرس را در مورد مشکل کد کوتاه بخوانید

WordPress v6.2.1 بلوک کد کوتاه در قالب ها را می شکند

تصویر برجسته توسط Shutterstock/ViChizh