Una actualización de seguridad reciente de WordPress, que incluye varias correcciones de seguridad, también está causando que algunos sitios dejen de funcionar, lo que llevó a un desarrollador a exclamar: “¡¡Esto es un caos!!«

La actualización eliminó una función clave que provocó que muchos complementos en el sitio dejaran de funcionar utilizando el sistema de bloqueo de WordPress.

Los complementos afectados iban desde módulos hasta controles deslizantes y migas de pan.

Actualización de WordPress 6.2.1

Los sitios que admiten actualizaciones automáticas en segundo plano recibieron automáticamente la actualización de WordPress 6.2.1 porque era una versión de seguridad (oficialmente era una versión de mantenimiento y seguridad).

Según el oficial Anuncio de lanzamiento de WordPressla actualización contenía cinco correcciones de seguridad:

  1. «Bloquear temas analizando códigos cortos en datos generados por usuarios;…
  2. Un problema de CSRF al actualizar las miniaturas adjuntas; informado por John Blackbourn del equipo de seguridad de WordPress
  3. Una falla que permite XSS a través de detección automática incorporada abierta; informado de forma independiente por Jakub Żoczek de Securitum y durante una auditoría de seguridad de terceros
  4. Omita la desinfección de KSES en atributos de bloque para usuarios con privilegios bajos; descubierto durante una auditoría de seguridad de terceros.
  5. Un problema al atravesar la ruta a través de los archivos de traducción; informado de forma independiente por Ramuel Gall y durante una auditoría de seguridad de terceros.

El problema se deriva de la primera solución de seguridad, la que afecta a los códigos cortos en los temas de bloque, lo que está causando los problemas.

Un shortcode es una sola línea de código que actúa como un reemplazo o marcador de posición para el código que proporciona una funcionalidad como un formulario de contacto.

Entonces, en lugar de configurar un formulario de contacto en cada página donde aparece el formulario, simplemente puede insertar una sola línea llamada código abreviado que luego incrustará un formulario de contacto.

Desafortunadamente, se descubrió que los piratas informáticos podían codificar de forma abreviada el contenido generado por el usuario (como los comentarios del blog), lo que luego podría conducir a una explotación.

WordFence describir la vulnerabilidad:

“WordPress Core procesa códigos abreviados en contenido generado por el usuario en temas de bloque en versiones hasta 6.2 inclusive.

Esto podría permitir a los atacantes no autenticados ejecutar códigos abreviados mediante la publicación de comentarios u otro contenido, lo que les permitiría explotar vulnerabilidades que normalmente requieren permisos a nivel de suscriptor o colaborador.

WordFence continúa explicando que la vulnerabilidad es como un defecto que puede habilitar otra vulnerabilidad más grave.

La solución para la vulnerabilidad del shortcode fue eliminar por completo la funcionalidad del shortcode de las plantillas de bloques de WordPress.

EL documentación oficial para la corrección de la vulnerabilidad explicada:

«Eliminar la compatibilidad con shortcodes de las plantillas de bloques».

Alguien creó una solución para restaurar la compatibilidad con shortcodes en las plantillas de bloques de WordPress.

Pero también la solución. restaurado la vulnerabilidad:

Para aquellos que desean permanecer en 6.2.1 y necesitan recuperar la compatibilidad con códigos abreviados en las plantillas, pueden probar esta solución.

…Pero tenga en cuenta que se eliminó el soporte para solucionar un problema de seguridad y para recuperar el soporte de shortcode, podría revertir el problema de seguridad.

La desactivación de la compatibilidad con shortcode provocó que algunos sitios fallaran y dejaran de funcionar.

Por lo tanto, agregar la solución temporal hasta que se encontrara una solución más permanente tenía sentido para muchos usuarios.

Los desarrolladores de WordPress solicitan correcciones «Locas» y «Tontas».

Los desarrolladores de WordPress han informado su frustración con la actualización de WordPress:

Una persona el escribio:

“… ¡Es absolutamente una locura para mí que los códigos abreviados hayan sido eliminados por diseño! Cada uno de los sitios FSE de nuestra agencia usa el bloque de código abreviado en las plantillas para todo: filtros, búsqueda, ACF e integraciones de complementos. ¡¡Esto es un caos!!

La solución no parece funcionar para mí. Volveremos a una versión anterior y esperamos que haya una solución.

Otra persona PUBLICADO:

“Sí, no entiendo el odio de Gutenberg, pero al menos deberían haber prohibido algunos bloques como los códigos cortos que estaban eliminando gradualmente en el Editor del sitio completo.

Fue una estupidez de los desarrolladores de WP.

Las personas seguirán las viejas costumbres a menos que les digas lo contrario o las guíes hacia cosas nuevas.

Pero como dije, lo mejor hubiera sido construir un puente hacia, digamos, un bloque oficial de PHP, o incluso escuchar lo que quieren los usuarios y desarrolladores».

Uno de los complementos notables que se vio afectado fue Rank Math. La funcionalidad de migas de pan, cuando estaba presente en los temas de bloque, falló después de la actualización 6.2.1.

Una página de soporte de Rank Math contenía una solicitud de corrección de un usuario del complemento Rank Math.

Clasificación de asistente de matemáticas recomienda agregar una solución alternativa. Desafortunadamente, esta solución no solo restaura la funcionalidad del shortcode, sino que también restaura la vulnerabilidad.

La actualización también bloqueó la funcionalidad del complemento Smart Slider 3.

A alambre de soporte se abrió en la página del complemento Smart Slider 3:

“No es tu culpa, pero Automattic decidió extraer códigos cortos de las plantillas de bloques. … reclamando un «problema de seguridad» pero básicamente matando dos complementos que uso, incluido el tuyo.

Esto significa que su complemento acaba de aparecer [smartslider3 slider=”6″] cuando se utiliza en un modelo FSE. ¡Pero se ve bien en el editor FSE!

Pensé que te gustaría saberlo, antes de que las personas confundidas que Automattic DEBERÍA haber informado comenzaran a culparte. No deberían simplemente eliminar características como esta, es volver a los viejos tiempos.

Ahora también necesito descubrir cómo ingresar un formulario/código PHP para insertar listas de categorías en los cuadros de búsqueda. Errar.

El equipo de soporte de Smart Slider 3 recomendó agregar la solución.

Otros en el hilo de soporte de WordPress.org sobre el problema han encontrado soluciones. Si su sitio está interesado, podría ser útil leer la discusión.

Lea la página de soporte de WordPress sobre el problema del shortcode

WordPress v6.2.1 rompe el bloqueo de shortcode en las plantillas

Imagen cortesía de Shutterstock/ViChizh

Fuente: searchenginejournal

Hashtags: #actualización #WordPress #causa #sitios #rotos