Uma nova atualização de segurança do WordPress, que inclui várias correções, está causando problemas em alguns sites, levando um desenvolvedor a expressar: “Está uma bagunça!!”
A atualização eliminou uma característica importante, levando diversos plugins a pararem de funcionar em sites que utilizam o sistema de blocos do WordPress.
Os plugins afetados incluíram desde formulários até controles deslizantes e até mesmo farinha de rosca.
Nova versão do WordPress, a 6.2.2, foi lançada para corrigir problemas presentes na versão 6.2.1.
O WordPress lançou uma atualização na sexta-feira à noite para corrigir o problema de segurança encontrado na versão 6.2.1.
O anúncio declarou:
Em resumo, o WordPress 6.2.2 foi lançado rapidamente para corrigir um problema identificado na versão 6.2.1 e resolver outra vulnerabilidade encontrada nessa mesma versão.
Os editores do WordPress que foram impactados pelo erro dos shortcodes na última atualização podem pensar em atualizar para a versão mais nova.
Atualização recente do WordPress para a versão 6.2.1
Websites que possuem suporte para atualizações automáticas receberam automaticamente a atualização do WordPress 6.2.1, pois se tratava de um Comunicado de Segurança (oficialmente anunciado como uma atualização de manutenção e segurança).
Segundo o comunicado oficial sobre o lançamento do WordPress, a atualização incluía cinco melhorias de segurança.
- Impedir determinados assuntos ao examinar os códigos de acesso presentes nos dados fornecidos pelo usuário;…
- Um problema de CSRF foi identificado na atualização de miniaturas de anexo, conforme reportado por John Blackbourn da equipe de segurança do WordPress.
- Uma vulnerabilidade que possibilita XSS por meio da abertura de descoberta automática incorporada; identificada de forma independente por Jakub Žoczek da Securitum e durante uma auditoria de segurança realizada por terceiros.
- Desconsiderando a limpeza do KSES em atributos de bloco para usuários com baixos privilégios; identificado durante uma avaliação de segurança realizada por uma empresa externa.
- Um problema de percurso atravessando arquivos de tradução foi identificado tanto por Ramuel Gall quanto durante uma auditoria de segurança realizada por terceiros.
A questão decorre da primeira correção de segurança, que impacta os códigos de acesso em temas de bloco e está gerando dificuldades.
Um shortcode representa uma linha de código que substitui ou representa o código que oferece funcionalidades, como um formulário de contato.
Assim, em vez de ter que configurar um formulário de contato em cada página onde deseja que ele apareça, basta adicionar uma linha única chamada shortcode que irá inserir automaticamente o formulário de contato.
Infelizmente, foi identificado que os hackers tinham a capacidade de realizar códigos de acesso diretamente no conteúdo produzido pelo usuário, como nos comentários de um blog, o que poderia resultar em uma vulnerabilidade.
WordFence descreve a falha de segurança.
O WordPress, até a versão 6.2, processa códigos de acesso em conteúdo criado pelos usuários nos temas de bloco.
Os invasores não autenticados podem aproveitar a oportunidade de executar códigos de acesso ao enviar comentários ou outros tipos de conteúdo, o que lhes possibilita explorar vulnerabilidades que geralmente requerem permissões de nível de assinante ou contribuidor.
WordFence continua a explicar que uma vulnerabilidade se assemelha a uma falha que tem o potencial de abrir caminho para uma vulnerabilidade ainda mais grave.
Uma forma de resolver o problema de segurança do shortcode foi eliminar por completo a capacidade de usar shortcodes nos modelos de bloco do WordPress.
A explicação fornecida na documentação oficial sobre como corrigir vulnerabilidades.
Eliminar la compatibilidad de shortcode de los modelos de bloque.
Uma pessoa desenvolveu uma solução para recuperar a capacidade de usar shortcodes em blocos de modelos do WordPress.
No entanto, a resolução também trouxe de volta a fragilidade.
Para quem deseja permanecer na versão 6.2.1 e precisa recuperar a funcionalidade dos códigos de acesso em modelos, é possível experimentar esta alternativa.
No entanto, é importante notar que o suporte foi retirado para resolver uma questão de segurança e que ao restaurar o suporte de shortcode, provavelmente estará reintroduzindo o problema de segurança.
Desabilitar o suporte de shortcode resultou na inoperância de vários sites, fazendo com que deixassem de funcionar completamente.
Assim, fazendo uso da solução temporária até que uma solução mais duradoura fosse encontrada foi considerado viável por diversos usuários.
Desarrolladores de WordPress califican la solución como “insensata” y “tonta”.
Os desenvolvedores do WordPress expressaram descontentamento com a recente atualização do sistema.
Uma pessoa redigiu:
“Para mim, é completamente absurdo que os códigos de acesso tenham sido eliminados intencionalmente! Todos os sites da nossa agência FSE utilizam blocos de códigos abreviados em modelos para diversas finalidades: filtros, pesquisas, integrações de plugins ACF, etc. Isso é um verdadeiro caos!”
A solução não está sendo eficaz para mim. Vou voltar para uma versão anterior e aguardar por uma possível correção.
Outra pessoa publicada.
Claro! Aqui está a paráfrase do texto fornecido: “Embora eu não odeie o Gutenberg, acredito que seria adequado se tivessem mantido alguns recursos, como o Shortcode, ao lançar o Full Site Editor.”
Os desenvolvedores do WP agiram de forma tola.
As pessoas tendem a recorrer às práticas antigas, a menos que sejam instruídas ou orientadas a experimentar algo novo.
No entanto, considero que teria sido mais eficaz criar uma conexão por meio da criação de um bloco PHP oficial ou, de fato, prestar atenção ao que os usuários e desenvolvedores desejam.
Um dos plugins destacados que sofreu impacto foi o Rank Math. A capacidade de exibição do caminho de navegação, quando utilizada em temas de blocos, apresentou falhas após a atualização para a versão 6.2.1.
Uma solicitação de correção feita por um usuário do Rank Math foi encontrada em uma página de suporte do plugin.
Texto parafraseado: O suporte de matemática recomenda adicionar uma solução de classificação que inclua uma solução alternativa. No entanto, essa alternativa não apenas resolve a funcionalidade do shortcode, mas também corrige a vulnerabilidade.
A atualização também impediu o funcionamento do plugin Smart Slider 3.
Foi criada uma linha de suporte na página do plugin Smart Slider 3.
Não é inteiramente sua responsabilidade, mas a Automattic optou por retirar códigos de acesso de modelos de blocos, alegando uma questão de segurança, porém essencialmente desativando dois plugins que eu utilizo, incluindo o seu.
Isso quer dizer que o seu plugin exibe [smartslider3 slider=”6′′] somente ao ser utilizado em um modelo FSE. No entanto, ele é exibido corretamente no editor FSE.
Apenas achei importante te informar antes que as pessoas confusas que deveriam ter sido informadas pela Automattic comecem a te culpar. Não deveriam simplesmente remover essa funcionalidade assim, é como voltar aos velhos tempos ruins.
Agora eu preciso trabalhar em conectar um código de formulário em PHP para exibir listas de categorias em caixas de pesquisa. Que chato.
A equipe de suporte do Smart Slider 3 sugeriu incluir a solução recomendada.
Outras pessoas no suporte do WordPress.org trouxeram soluções para o problema mencionado. Se o seu site foi impactado, pode ser proveitoso conferir a conversa.
Confira a seção de suporte do WordPress que aborda a questão dos códigos de acesso.
O WordPress versão 6.2.1 apresenta um problema que afeta a funcionalidade dos blocos de códigos de acesso nos modelos.
A imagem destacada é fornecida pela Shutterstock, creditada a ViChizh.
