WordPress 5.6 představuje pro vaše stránky nové riziko: Co dělat

WordPress 5.6, poslední hlavní vydání plánované na rok 2020, vyšlo včera, 8. prosince 2020. Obsahuje několik hlavních funkcí a aktualizací a také obrovské množství drobných vylepšení a oprav chyb. Několik změn má okamžité důsledky pro zabezpečení a kompatibilitu, které jsme v tomto příspěvku pro uživatele WordPress zdůraznili.

Hesla aplikací přidávají funkčnost a riziko

WordPress 5.6 přijde s novou funkcí, která umožňuje externím aplikacím požadovat povolení k připojení k webu a vygenerovat heslo specifické pro tuto aplikaci. Jakmile je aplikaci udělen přístup, může provádět akce jménem uživatele prostřednictvím rozhraní WordPress REST API.

Naneštěstí je sociální inženýrství při útoku na správce webu při udělování hesel aplikací škodlivé aplikaci triviální. Útočník by mohl přimět vlastníka webu, aby klikl na odkaz požadující heslo aplikace a pojmenoval svou škodlivou aplikaci, jakkoli chtěl.

Přihlašovací stránka WordPress s textem „Přihlaste se prosím do blogu a autorizujte každého, kdo má pocit, že se chce připojit k vašemu účtu“

Ještě horší je, že adresy URL žádosti o heslo jsou nastaveny tak, aby odesílaly nově vygenerované heslo na web žadatele prostřednictvím adresy URL přesměrování. Jelikož hesla aplikací fungují s oprávněními uživatele, který je generoval, mohl by útočník pomocí tohoto získat kontrolu nad webem. 

Navzdory riziku budou hesla aplikací pravděpodobně v budoucnu nabízet určitou užitečnost. Některé příklady toho, jak by mohly být použity, zahrnují publikování příspěvků na web WordPress z jiných rozhraní, přístup nebo aktualizaci dat v databázi WordPress nebo dokonce vytváření uživatelů.

Tato funkce je povrchně podobná XML-RPC, ale rozhraní REST API nabízí podstatně širší možnosti. Hesla aplikací jsou navíc bezpečně generována a mají délku 24 znaků, takže útoky hrubou silou a vycpáním pověření pravděpodobně nebudou úspěšné.

Pokud se rozhodnete použít aplikační hesla, důrazně doporučujeme nastavit uživatele s minimálními oprávněními, ideálně pouze s nezbytnými funkcemi konkrétně pro aplikaci, ke které se chcete připojit.

Aktualizace jQuery pokračuje

WordPress 5.5, vydaný v srpnu 2020, odstranil skript jQuery Migrate. To způsobilo, že mnoho webů využívajících pluginy závislé na starších verzích jQuery narazilo na problémy.

Pokud váš web byl ovlivněn a v současné době k řešení těchto problémů používáte plugin Enable jQuery Migrate Helper, budete se chtít před aktualizací na WordPress 5.6 ujistit, že váš web funguje bez něj .

Důvodem je, že WordPress 5.6 se aktualizuje na nejnovější verzi jQuery a přidá jQuery Migrate 3.3.2, což může být v rozporu s verzí znovu povolenou pomocí pluginu Enable jQuery Migrate Helper , kterým je jQuery Migrate 1.4.1.

WordPress již několik let používá zastaralé verze knihovny jQuery.

WordPress 5.6 je krokem 2 tříkrokového plánu k získání WordPressu v aktuální verzi jQuery. Tento plán byl:

1. WordPress 5.5: Odeberte skript jQuery Migrate 1.x. (Srpen 2020)

2. WordPress 5.6: Aktualizace na nejnovější skripty jQuery, jQuery UI a jQuery Migrate. (Prosinec 2020)

3. WordPress 5.7: Odeberte skript jQuery Migrate. (Březen 2021)

Kvůli této časové ose je kompatibilita jQuery ve skutečnosti výrazně naléhavější než kompatibilita s PHP 8.0. Vývojáři pluginů a témat by měli v příštích několika měsících před vydáním WordPress 5.7 zcela převést svůj kód tak, aby byl kompatibilní s nejnovější verzí jQuery bez pomoci jQuery Migrate.

Přestože byly opravy zabezpečení zpětně importovány do verzí jQuery používaných předchozími verzemi WordPress, mnoho nástrojů, například Google Lighthouse, hlásilo, že weby WordPress byly zranitelné kvůli spuštění starší verze jQuery. Jednou z dobrých zpráv je, že tyto nástroje pro audit stránek by již neměly zobrazovat weby WordPress 5.6 jako zranitelné.

Kompatibilita s PHP 8

WordPress 5.6 má být „kompatibilní s beta verzí“ s PHP 8. To znamená, že při běžném používání nebude web běžící na WordPress 5.6 na PHP 8 s výchozím tématem a žádnými pluginy pravděpodobně narůstat. Náš předchozí článek se věnuje některým výzvám, kterým autoři pluginů budou čelit, pokud jde o kompatibilitu s PHP 8.

Pokud jste typickým vlastníkem stránek WordPress, který používá slušný počet pluginů, může nějakou dobu trvat, než bude bezpečné provést aktualizaci na PHP 8. Na druhou stranu, pokud vytváříte zcela nový web od začátku, měl by být schopen překonat mnoho problémů počínaje nejnovější verzí PHP a WordPress.

Automatické aktualizace hlavních verzí

V současné době jádro WordPressu automaticky aplikuje menší aktualizace, které jsou obvykle kvůli rozsáhlému testování mnohem bezpečnější než automatické aktualizace pluginů.

Počínaje WordPressem 5.6 budou všechny nové instalace WordPressu dostávat automatické aktualizace pro hlavní verze. To znamená, že pokud vytvoříte nový web WordPress s WordPress 5.6, bude automaticky aktualizován na WordPress 5.7, jakmile vyjde. I když to má vyšší pravděpodobnost způsobení problémů, mějte na paměti, že nejpravděpodobnější problémy budou s nekompatibilními doplňky, které budou na zbrusu nových webech mnohem méně rozšířené.

Stávající weby, které byly z předchozích verzí aktualizovány na WordPress 5.6, si zachovají aktuální chování automatické aktualizace pouze pro menší verze a bezpečnostní záplaty, takže se o to současní vlastníci stránek nemusí starat. Pokud je to požadováno, aktuální vlastník webu se nyní může přihlásit k automatickým aktualizacím hlavních verzí a dokonce i verzím Beta a RC.

Zcela nové téma

Protože 5.6 je finální hlavní verze WordPressu, která má být vydána pro rok 2020, obsahuje nové výchozí téma pro příští rok s názvem Twenty Twenty-One. Stejně jako předchozí výchozí motivy WordPress je založen na existujícím tématu Seedlet a je poměrně minimální, i když obsahuje podporu pro Dark Mode.

Závěr

WordPress 5.6 obsahuje řadu změn, vylepšení a oprav chyb, včetně mnoha, které jsme nepokryli. Zaměřili jsme se na položky, které považujeme za nejrelevantnější pro naše uživatele a nejpravděpodobněji způsobí problémy. Stejně jako u všech hlavních aktualizací WordPressu záleží, zda si přejete provést okamžitou aktualizaci, či nikoli, záleží na vašem případu použití. Existuje řada slibných nových funkcí a také určitý potenciál pro rostoucí bolesti, ale ty budou použitelné spíše pro vývojáře než pro uživatele.

Při tvorbě tohoto článku jsme se inspirovali tímto článkem (v anglickém jazyce): odkaz