Možná jste již zaregistrovali, že je na světe nová verze WordPressu s pořadovým číslem 6.4.2. To je další poměrně brzká aktualizace od nedávno vydané verze 6.4 a krátce poté i verze 6.4.1. WordPress 6.4.2 opravuje kritickou chybu, kterou vývojáři nalezli v tzv. pop řetězcích. Tato chyba je kritická hlavně z toho důvodu, že umožňuje útočníkovi spouštět vzdáleně libovolný kód přímo na webu, aniž by o tom měl majitel webu jakékoliv tušení.
Kde je vlastně problém?
Problém zde spočívá ve třídě WP_HTML_Token, kterou vývojáři představili ve WordPressu 6.4 a ten ji používá ke zlepšení analýzy HTML kódu v editoru bloků (Gutenberg). Zahrnuje totiž metodu __destruct, která se automaticky spustí poté, co PHP zpracuje požadavek. Tato metoda __destruct dále používá call_user_func k provedení funkce předané prostřednictvím vlastnosti on_destroy, přičemž jako argument přijímá vlastnost bookmark_name.
Pokud by útočník zneužil tuto chybu, získal by plnou kontrolu nad metodou __destruct a bookmark_name. To by dále mohl využít ke spuštění libovolného kódu na webu.
Problémová část kódu:
public function __destruct() {
if ( is_callable( $this->on_destroy ) ) {
call_user_func( $this->on_destroy, $this->bookmark_name );
}
}
Oprava kódu:
public function __wakeup() {
throw new \LogicException( __CLASS__ . ' should never be unserialized' );
}
Nově přidaná metoda __wakeup zajišťuje, že jakýkoli serializovaný objekt s třídou WP_HTML_Token vyvolá chybu, pokud není serializován. Zabrání tím spuštění funkce __destruct.
Další opravené chyby
Celkem nová verze WordPressu opravuje 7 chyb. Jejich podrobný popis najdete zde: Make WordPress Core
- Change CSS align-item from start / end to flex-start / flex-end for full browser support (více informací zde)
- Irrelevant comment for translators (více informací zde)
- Since WordPress 6.4, the functions.php of a theme moved to a different location using register_theme_directory is no longer called (více informací zde)
- Incorrect reference in docblock for _register_theme_block_patterns (více informací zde)
- Expose serialized template content to callbacks registered to the `hooked_block_types` filter. (více informací zde)
- Incorrect example for WP_HTML_Tag_Processor class (více informací zde)
- Site editor: logo (více informací zde)
WordPress 6.4.2 opravuje kritickou chybu
Závěr
Jelikož nový update opravuje závažnou, kritickou chybu, která potenciálně ohrožuje bezpečnost webu, rozhodně aktualizaci svého redakčního systému neodkládejte. Aktualizace samotná zabere přibližně minutu, pokud nebudete dělat zálohu webu. Pokud si chcete být jistí, že vše proběhne bez problému, postupujte následovně:
- proveďte zálohu dat na FTP
- vytvořte si zálohu MySQL
- dodatečně využijte např. Updraft a proveďte si zálohu celého webu na vzdálené cloud úložiště
- aktualizujte verzi WordPressu
- vymažte dočasné soubory cache pluginu
- otestujte web
Výše uvedený postup je jediný bezpečný. Pokud by Vám aktualizace způsobila vážné problémy na webu, můžete se pomocí zálohy vrátit okamžitě na původní stav webu. Jakákoliv aktualizace na webu, který používá pluginy stavěné na jiné verze WordPressu může způsobit pád webu. Aktualizujte bezpečně a obezřetně.
Web je vytvářen s pečlivostí k obsaženým informacím. Snažím se poskytovat kvalitní a užitečný obsah, který ostatním pomáhá, nebo je inspiruje. Pokud jste spokojeni s mou prací a chtěli byste mě podpořit, můžete to udělat prostřednictvím jednoduchých možností.
Odebírejte Newsletter
Buďte v obraze! Připojte se k odběru newsletteru a buďte první, kdo získá nejnovější informace přímo do vaší e-mailové schránky. Sledujte aktuality, exkluzivní události a inspirativní obsah, přímo na Vašem e-mailu.
