WordPress 6.4.2 opravuje kritickou chybu

Možná jste již zaregistrovali, že je na světe nová verze WordPressu s pořadovým číslem 6.4.2. To je další poměrně brzká aktualizace od nedávno vydané verze 6.4 a krátce poté i verze 6.4.1. WordPress 6.4.2 opravuje kritickou chybu, kterou vývojáři nalezli v tzv. pop řetězcích. Tato chyba je kritická hlavně z toho důvodu, že umožňuje útočníkovi spouštět vzdáleně libovolný kód přímo na webu, aniž by o tom měl majitel webu jakékoliv tušení.

Kde je vlastně problém?

Problém zde spočívá ve třídě WP_HTML_Token, kterou vývojáři představili ve WordPressu 6.4 a ten ji používá ke zlepšení analýzy HTML kódu v editoru bloků (Gutenberg). Zahrnuje totiž metodu __destruct, která se automaticky spustí poté, co PHP zpracuje požadavek. Tato metoda __destruct dále používá call_user_func k provedení funkce předané prostřednictvím vlastnosti on_destroy, přičemž jako argument přijímá vlastnost bookmark_name.

Pokud by útočník zneužil tuto chybu, získal by plnou kontrolu nad metodou __destruct a bookmark_name. To by dále mohl využít ke spuštění libovolného kódu na webu.

Problémová část kódu:

				
					public function __destruct() {
    if ( is_callable( $this->on_destroy ) ) {
        call_user_func( $this->on_destroy, $this->bookmark_name );
        }
}

				
			

Oprava kódu:

				
					public function __wakeup() {
   throw new \LogicException( __CLASS__ . ' should never be unserialized' );
}

				
			

Nově přidaná metoda __wakeup zajišťuje, že jakýkoli serializovaný objekt s třídou WP_HTML_Token vyvolá chybu, pokud není serializován. Zabrání tím spuštění funkce __destruct.

Další opravené chyby

Celkem nová verze WordPressu opravuje 7 chyb. Jejich podrobný popis najdete zde: Make WordPress Core

WordPress 6.4.2 opravuje kritickou chybu

Závěr

Jelikož nový update opravuje závažnou, kritickou chybu, která potenciálně ohrožuje bezpečnost webu, rozhodně aktualizaci svého redakčního systému neodkládejte. Aktualizace samotná zabere přibližně minutu, pokud nebudete dělat zálohu webu. Pokud si chcete být jistí, že vše proběhne bez problému, postupujte následovně:

  • proveďte zálohu dat na FTP
  • vytvořte si zálohu MySQL
  • dodatečně využijte např. Updraft a proveďte si zálohu celého webu na vzdálené cloud úložiště
  • aktualizujte verzi WordPressu
  • vymažte dočasné soubory cache pluginu
  • otestujte web

Výše uvedený postup je jediný bezpečný. Pokud by Vám aktualizace způsobila vážné problémy na webu, můžete se pomocí zálohy vrátit okamžitě na původní stav webu. Jakákoliv aktualizace na webu, který používá pluginy stavěné na jiné verze WordPressu může způsobit pád webu. Aktualizujte bezpečně a obezřetně.

Web je vytvářen s pečlivostí k obsaženým informacím. Snažím se poskytovat kvalitní a užitečný obsah, který ostatním pomáhá, nebo je inspiruje. Pokud jste spokojeni s mou prací a chtěli byste mě podpořit, můžete to udělat prostřednictvím jednoduchých možností.

Byl pro Vás tento článek užitečný?

Klikni na počet hvězd pro hlasování.

Průměrné hodnocení. 0 / 5. Počet hlasování: 0

Zatím nehodnoceno! Buďte první

Jak užitečný vidíte tento článek.

Sledujte mě na sociálních médiích.

Je mi líto, že pro Vás nebyl článek užitečný.

Jak mohu vylepšit článek?

Řekněte mi, jak jej mohu zlepšit.

newsletter

Odebírejte Newsletter

Buďte v obraze! Připojte se k odběru newsletteru a buďte první, kdo získá nejnovější informace přímo do vaší e-mailové schránky. Sledujte aktuality, exkluzivní události a inspirativní obsah, přímo na Vašem e-mailu.  

Odebírat
Upozornit na
guest
0 Komentáře/ů
Nejstarší
Nejnovější Nejvíce hlasováno
Vložené zpětné vazby.
Zobrazit všechny komentáře.

Pokud mi chcete napsat rychlou zprávu, využije, prosím, níže uvedený
kontaktní formulář. Děkuji.

Další Kontaktní údaje