به‌روزرسانی وردپرس 6.2.1 باعث خرابی سایت ها می‌شود

به‌روزرسانی وردپرس 6.2.1 که دارای چندین اصلاحات امنیتی است باعث می‌شود برخی از سایت ها از کار بیفتند و باعث می‌شود یکی از توسعه دهندگان فریاد بزند: “این آشوب است!”

این به‌روزرسانی یک عملکرد کلیدی را حذف کرد که باعث شد پلاگین های متعددی در سایتی که از سیستم بلوک های وردپرس استفاده می‌کردند کار نکنند.

پلاگین های تحت تأثیر از فرم ها گرفته تا لغزنده متغیر بودند.

به‌روزرسانی: وردپرس نسخه 6.2.2 را برای اصلاح نسخه 6.2.1 منتشر کرد

وردپرس اواخر روز جمعه یک به‌روزرسانی را برای رسیدگی به وصله امنیتی معیوب معرفی شده در نسخه 6.2.1 منتشر کرد.

در این اطلاعیه آمده بود:

WordPress 6.2.2 یک نسخه پاسخ سریع برای رسیدگی به یک رگرسیون در 6.2.1 و اصلاح بیشتر آسیب پذیری در 6.2.1 است.

ناشران وردپرس که تحت تأثیر اشکال کدهای کوتاه معرفی شده در به‌روزرسانی قبلی قرار گرفته‌اند، ممکن است بخواهند به‌روزرسانی به آخرین نسخه را در نظر بگیرند.

به‌روزرسانی وردپرس 6.2.1

سایت هایی که از به‌روزرسانی های خودکار پس زمینه پشتیبانی می‌کنند، به طور خودکار به‌روزرسانی وردپرس 6.2.1 را دریافت کردند، زیرا یک نسخه امنیتی بود (رسماً یک نسخه تعمیر و نگهداری و امنیتی بود).

طبق اعلامیه رسمی انتشار وردپرس، این به‌روزرسانی شامل پنج اصلاح امنیتی است:

1. مسدود کردن تم ها در تجزیه کدهای کوتاه در داده های تولید شده توسط کاربر

2. مشکل CSRF در حال به‌روزرسانی تصاویر کوچک پیوست؛ توسط جان بلکبورن از تیم امنیتی وردپرس گزارش شده است

3. نقصی که به XSS از طریق کشف خودکار جاسازی باز اجازه می‌دهد. به طور مستقل توسط Jakub Żoczek از Securitum و طی یک ممیزی امنیتی شخص ثالث گزارش شده است

4. دور زدن پاکسازی KSES در ویژگی های بلوک برای کاربران با امتیاز پایین؛ در طی یک ممیزی امنیتی شخص ثالث کشف شد.

5. مشکل پیمایش مسیر از طریق فایل های ترجمه؛ به طور مستقل توسط راموئل گال و طی یک ممیزی امنیتی شخص ثالث گزارش شده است.

مشکل از اولین راه حل امنیتی ناشی می‌شود، اصلاحی که بر روی کدهای کوتاه در تم های بلوک تأثیر می‌گذارد، که باعث ایجاد مشکلات می‌شود.

کد کوتاه یک خط واحد از کد است که مانند یک پایه یا مکان نگهدار برای کد عمل می‌کند که عملکردی مانند فرم تماس را ارائه می‌دهد.

بنابراین به جای پیکربندی یک فرم تماس در هر صفحه ای که فرم در آن ظاهر می‌شود، می‌توان به سادگی یک خط به نام کد کوتاه قرار داد که سپس یک فرم تماس را جاسازی می‌کند.

متأسفانه مشخص شد که هکرها می‌توانند کدهای کوتاه را در محتوای تولید شده توسط کاربر (مانند نظرات وبلاگ) اجرا کنند که می‌تواند منجر به سوء استفاده شود.

WordFence این آسیب پذیری را شرح می‌دهد:

“WordPress Core کدهای کوتاه در محتوای تولید شده توسط کاربر را روی مضامین بلوک در نسخه های تا 6.2 پردازش می‌کند.

این می‌تواند به مهاجمان احراز هویت نشده اجازه دهد تا از طریق ارسال نظرات یا محتوای دیگر، کدهای کوتاه را اجرا کنند و به آنها اجازه می‌دهد از آسیب پذیری هایی که معمولاً به مجوزهای سطح مشترک یا Contributor نیاز دارند، سوء استفاده کنند.

WordFence در ادامه توضیح می‌دهد که این آسیب پذیری مانند نقصی است که می‌تواند آسیب پذیری شدیدتری دیگر را فعال کند.

راه حل آسیب پذیری کد کوتاه حذف کامل عملکرد کد کوتاه از قالب های بلوک وردپرس بود.

اسناد رسمی برای رفع آسیب پذیری توضیح داده است:

“پشتیبانی از کد کوتاه را از قالب های بلوک حذف کنید.”

شخصی راه حلی برای بازیابی پشتیبانی از کد کوتاه در قالب های بلوک وردپرس ایجاد کرد.

اما راه حل آسیب پذیری را نیز بازیابی کرد:

“پشتیبانی از کد کوتاه را از قالب های بلوک حذف کنید.”

شخصی راه حلی برای بازیابی پشتیبانی از کد کوتاه در قالب های بلوک وردپرس ایجاد کرد.

اما راه حل آسیب پذیری را نیز بازیابی کرد:

برای کسانی که می‌خواهند در نسخه 6.2.1 بمانند و نیاز به بازیابی پشتیبانی از کدهای کوتاه روی قالب ها دارند، می‌توانند این راه حل را امتحان کنند.

اما توجه داشته باشید که پشتیبانی برای رفع مشکل امنیتی حذف شده است و با بازیابی پشتیبانی کد کوتاه احتمالاً مشکل امنیتی را باز می‌گردانید.

غیرفعال کردن پشتیبانی از کد کوتاه در واقع باعث می‌شود که برخی از سایت ها غیر کاربردی شوند و به طور کلی کار نکنند.

بنابراین اضافه کردن راه حل تا زمانی که راه حل دائمی پیدا شود برای بسیاری از کاربران منطقی است.

توسعه دهندگان وردپرس ناراحتی خود را از به‌روزرسانی وردپرس گزارش کردند:

“… برای من کاملا دیوانه کننده است که کدهای کوتاه با طراحی حذف شده اند!! هر یک از سایت های FSE آژانس ما از بلوک کد کوتاه در همه چیز استفاده می‌کند: فیلترها، جستجو، ACF و ادغام افزونه ها. این هرج و مرج است!! به نظر می‌رسد راه حل برای من کار نمی‌کند. به نسخه قبلی برمی‌گردم و امیدوارم که راه حلی وجود داشته باشد.”

شخص دیگری پست کرد:

“بله، من نفرت گوتنبرگ را ابراز نمی‌کنم، اما حداقل آنها باید برخی از بلوک ها مانند Shortcode را که به تدریج در ویرایشگر سایت کامل حذف می‌کردند، ممنوع می‌کردند.”

مردم از روش های قدیمی استفاده می‌کنند مگر اینکه چیز دیگری به آنها بگویید یا آنها را به چیزهای جدید راهنمایی کنید.

اما همانطور که گفتم، بهتر بود از طریق یک بلوک رسمی PHP یک پل بسازیم – یا در واقع گوش دادن به آنچه کاربران و توسعه دهندگان می‌خواهند.

یکی از پلاگین های قابل توجهی که تحت تاثیر قرار گرفت Rank Math بود. عملکرد آن در صورت وجود روی مضامین بلوک پس از به‌روزرسانی 6.2.1 ناموفق بود.

یک صفحه پشتیبانی Rank Math حاوی درخواستی برای رفع مشکل از یک کاربر افزونه Rank Math بود.

پشتیبانی Rank Math اضافه کردن یک راه حل را توصیه می‌کند. متأسفانه، این راه حل نه تنها عملکرد کد کوتاه را بازیابی می‌کند، بلکه آسیب پذیری را نیز بازیابی می‌کند.

این به‌روزرسانی همچنین عملکرد پلاگین Smart Slider 3 را نیز مسدود کرد.

یک موضوع پشتیبانی در صفحه افزونه Smart Slider 3 باز شد:

تقصیر شما نیست، اما Automattic تصمیم گرفته است که کدهای کوتاه را از قالب های بلوک استخراج کند. دو افزونه را که من از آن استفاده می‌کنم، شامل پلاگین شما نیز می‌شود.

این بدان معناست که پلاگین شما فقط [smartslider3 slider=”6″] را هنگامی که در قالب FSE استفاده می‌شود نشان می‌دهد. اما در ویرایشگر FSE خوب نشان می‌دهد!

تیم پشتیبانی Smart Slider 3 اضافه کردن راه حل را توصیه کرد.