Un recente aggiornamento di sicurezza di WordPress che presenta molteplici correzioni di sicurezza sta anche causando l’interruzione del funzionamento di alcuni siti, facendo esclamare uno sviluppatore: “Questo è il caos!!“
L’aggiornamento ha rimosso una funzionalità chiave che causava l’interruzione del funzionamento di numerosi plug-in sui siti che utilizzano il sistema di blocchi di WordPress.
I plugin interessati andavano dai moduli agli slider fino ai breadcrumb.
Aggiornamento: WordPress rilascia la versione 6.2.2 per correggere la versione 6.2.1
WordPress ha rilasciato un aggiornamento venerdì sera per risolvere la patch di sicurezza difettosa introdotta nella versione 6.2.1.
L’annuncio affermava:
“WordPress 6.2.2 è una versione a risposta rapida per affrontare una regressione in 6.2.1 e correggere ulteriormente una vulnerabilità affrontata in 6.2.1.”
Gli editori di WordPress interessati dal bug degli shortcode introdotto nell’aggiornamento precedente potrebbero prendere in considerazione l’aggiornamento alla versione più recente.
Aggiornamento WordPress 6.2.1
I siti che supportano gli aggiornamenti automatici in background hanno ricevuto automaticamente l’aggiornamento WordPress 6.2.1 perché era una versione di sicurezza (ufficialmente era una versione di manutenzione e sicurezza).
Secondo il funzionario Annuncio del rilascio di WordPressl’aggiornamento conteneva cinque correzioni di sicurezza:
- “Blocca temi che analizzano gli shortcode nei dati generati dagli utenti;…
- Un problema CSRF durante l’aggiornamento delle miniature degli allegati; segnalato da John Blackbourn del team di sicurezza di WordPress
- Un difetto che consente XSS tramite rilevamento automatico di incorporamento aperto; segnalato in modo indipendente da Jakub Żoczek di Securitum e durante un audit di sicurezza di terze parti
- Bypassare la sanificazione KSES negli attributi di blocco per utenti con privilegi limitati; scoperto durante un controllo di sicurezza di terze parti.
- Un problema di attraversamento del percorso tramite file di traduzione; segnalato in modo indipendente da Ramuel Gall e durante un audit di sicurezza di terze parti.
Il problema nasce dalla prima correzione di sicurezza, quella che interessa gli shortcode nei temi a blocchi, che sta causando i problemi.
Uno shortcode è una singola riga di codice che funge da sostituto o segnaposto per il codice che fornisce funzionalità come un modulo di contatto.
Quindi, invece di configurare un modulo di contatto su ogni pagina in cui appare il modulo, si può semplicemente inserire una singola riga chiamata shortcode che incorporerà quindi un modulo di contatto.
Sfortunatamente si è scoperto che gli hacker potevano eseguire codici brevi all’interno di contenuti generati dagli utenti (come nei commenti dei blog), che potevano quindi portare a un exploit.
WordFence descrive la vulnerabilità:
“WordPress Core elabora gli shortcode nei contenuti generati dagli utenti su temi a blocchi nelle versioni fino alla 6.2 inclusa.
Ciò potrebbe consentire agli aggressori non autenticati di eseguire shortcode inviando commenti o altri contenuti, consentendo loro di sfruttare le vulnerabilità che in genere richiedono autorizzazioni a livello di abbonato o collaboratore.
WordFence prosegue spiegando che la vulnerabilità è come un difetto che può abilitare un’altra vulnerabilità più grave.
La soluzione alla vulnerabilità dello shortcode era rimuovere completamente la funzionalità dello shortcode dai modelli di blocco di WordPress.
IL documentazione ufficiale per la correzione della vulnerabilità spiegata:
“Rimuovi il supporto degli shortcode dai modelli di blocco.”
Qualcuno ha creato una soluzione alternativa per ripristinare il supporto dello shortcode nei modelli di blocco WordPress.
Ma anche la soluzione alternativa ripristinato la vulnerabilità:
“Per coloro che desiderano rimanere alla versione 6.2.1 e necessitano di ripristinare il supporto per gli shortcode sui modelli, è possibile provare questa soluzione alternativa.
…Ma tieni presente che il supporto è stato rimosso per risolvere un problema di sicurezza e ripristinando il supporto degli shortcode probabilmente stai ripristinando il problema di sicurezza.”
La disabilitazione del supporto degli shortcode ha effettivamente causato il mancato funzionamento di alcuni siti, che hanno smesso di funzionare del tutto.
Quindi aggiungere la soluzione alternativa fino a quando non fosse stata trovata una soluzione più permanente aveva senso per molti utenti.
Gli sviluppatori di WordPress chiamano la correzione “folle” e “stupida”
Gli sviluppatori di WordPress hanno segnalato la loro frustrazione per l’aggiornamento di WordPress:
Una persona ha scritto:
“…per me è assolutamente assurdo che gli shortcode siano stati rimossi in base alla progettazione!! Ognuno dei siti FSE della nostra agenzia utilizza il blocco shortcode nei modelli per tutto: filtri, ricerca, ACF e integrazioni di plug-in. Questo è il caos!!
La soluzione alternativa non sembra funzionare per me. Torneremo a una versione precedente e spero che ci sia una soluzione.”
Un’altra persona pubblicato:
“Sì, non capisco l’odio verso Gutenberg, ma come minimo avrebbero dovuto disabilitare alcuni blocchi come Shortcode che stavano gradualmente eliminando nell’editor del sito completo.
È stato stupido da parte degli sviluppatori WP.
Le persone useranno i vecchi modi a meno che tu non dica loro diversamente o non li guidi verso cose nuove.
Ma come ho detto, quello che sarebbe stato meglio era costruire un ponte tramite, ad esempio, un blocco PHP ufficiale – o addirittura ascoltando ciò che vogliono gli utenti e gli sviluppatori.”
Uno dei plugin degni di nota interessati è stato Rank Math. La funzionalità breadcrumb quando presente sui temi a blocchi non è riuscita dopo l’aggiornamento 6.2.1.
Una pagina di supporto di Rank Math conteneva una richiesta di correzione da parte di un utente del plug-in Rank Math.
Supporto per la matematica del rango consigliato aggiungere una soluzione alternativa. Sfortunatamente, questa soluzione alternativa non solo ripristina la funzionalità dello shortcode, ma ripristina anche la vulnerabilità.
L’aggiornamento ha bloccato anche la funzionalità del plugin Smart Slider 3.
UN filo di supporto è stato aperto nella pagina del plugin Smart Slider 3:
“Non è del tutto colpa tua, ma Automattic ha deciso di estrarre gli shortcode dai modelli di blocco. …rivendicando un ‘problema di sicurezza’ ma fondamentalmente distruggendo due plugin che utilizzo, incluso il tuo.
Ciò significa che il tuo plugin viene semplicemente visualizzato [smartslider3 slider=”6″] quando utilizzato in un modello FSE. Ma si vede bene nell’editor FSE!
Pensavo solo che avresti voluto saperlo, prima che le persone confuse che Automattic DOVREBBE aver informato iniziassero a incolparti. Non dovrebbero limitarsi a rimuovere funzionalità del genere: è come tornare ai vecchi tempi.
Ora devo anche capire come inserire qualche modulo/codice PHP per inserire gli elenchi di categorie nelle caselle di ricerca. Grr.”
Il team di supporto di Smart Slider 3 ha consigliato di aggiungere la soluzione alternativa.
Altri nel thread di supporto di WordPress.org sul problema hanno trovato soluzioni. Se il tuo sito è interessato, potrebbe essere utile leggere la discussione.
Leggi la pagina di supporto di WordPress sul problema degli shortcode
WordPress v6.2.1 rompe il blocco dello shortcode nei modelli
Immagine in primo piano di Shutterstock/ViChizh