Релиз новой версии WordPress 4.2 Powell и брешь в безопасности

    23 апреля вышло обновление WordPress v4.2 «Powell», названное в честь джазового исполнителя Бада Пауэлла, под слоганом Communicate and share, globally (“Общайтесь и делитесь по всему миру”). Помимо ряда исправлений и важных изменений, оно также отличилось уязвимостью, которая позволяет хакерам получить полный доступ к обновлённому сайту.



    Новая версия WordPress практически полностью изменяет инструмент Press This, добавляет поддержку смайликов Emoji, упрощает работу с плагинами и темами, а также добавляет несколько полезных возможностей для разработчиков, о которых мы расскажем ниже.

    Don’t Press This




    Функция Press This претерпела ряд значимых изменений. Теперь это более удобный инструмент для создания записей и набросков, похожий на отдельное приложение для браузера. Добавив его в закладки можно сохранять любую интересную информацию, либо же сразу делиться с читателями блога.

    Смайлики




    С версией 4.2 появилась поддержка смайликов Emoji, использовать их можно абсолютно везде, даже в URL адресе страницы. Emoji задокументированы в Юникоде и отображаются практически на всех современных операционных системах и браузерах. Если же ваша система не поддерживает смайлы, можно найти их на специальных ресурсах, например, Get Emoji.

    За стандарт были выбраны смайлики Twemoji от Twitter. Все рожицы векторные и будут выглядеть одинаково хорошо независимо от мониторов и дисплеев.

    Отображаться они будут как свои системные Emoji, но если ваш браузер или ОС не имеет своих Emoji, они будут заменены на Twemoji автоматически.

    К категории новых символов можно добавить полную поддержку иероглифов азиатских стран.

    Управление темами


    Новый конфигуратор, позволяющий изменять и предпросматривать темы, получил поиск и возможность делать все это “на лету”. Сам же конфигуратор стал работать лучше, стабильнее и плавнее. У нас на TemplateMonster вы уже можете найти огромное количество тем для вашего сайта, адаптированных под новую версию WordPress 4.2 Powell: www.templatemonster.com/ru/wordpress-themes-type


    Наш последний шаблон для Wordpress, совместимый с 4.2

    Обновление плагинов


    Обновления теперь происходят в один клик, и похожи на обновление приложений. Сделать это теперь можно прямо со страницы всех ваших плагинов, причем обновиться можно теперь и со страницы поиска и установки новых плагинов.

    Изменения для разработчиков


    Появился новый метод wp.a11y.speak() для повышения доступности интерфейсов людям с ограниченными возможностями. Он позволяет сообщать браузеру о том, что «происходит» на веб-странице.

    Для оповещений на административных страницах можно добавлять новые классы .notice и .is-dismissible, увидев которые WordPress добавит небольшой крестик, позволяющий скрывать уведомление.

    Для возможности сохранения смайликов (Emoji) в WordPress добавлена поддержка кодировки utf8mb4. Ранее, установить WordPress в этой кодировке было достаточно проблематично из-за размеров индексов в базе данных (создание некоторых таблиц вызывало ошибки в MySQL в момент установки). Если ваши плагины создают дополнительные таблицы, поля или индексы в базе данных, рекомендуем проверить их работоспособность и совместимость с кодировкой utf8mb4.

    Классы WP_Query, WP_Comment_Query и т. п. получили возможность выполнять сортировку по определенным мета-полям.

    Прочие изменения


    Остальных изменений насчиталось больше 600. Самые значимые – это вставка с Tumblr и KickStarter сразу в текст вашего блога. Цветовая схема по умолчанию стала более гармоничной и тд.

    Все изменения можно посмотреть тут.

    Уязвимость


    Если вы открыли эту статью только ради информации об уязвимости, то вот она: после обновления до версии Powell сайты с темами TwentyFifteen и плагином JetPack становятся открытыми для атаки. Хакерам достаточно обманом заставить нажать вас на одну ссылку и получить полный доступ к вашему сайту.

    К счастью, решение проблемы очень простое: удалить example.html и обновиться до версии 4.2.1 выпущенной спустя два дня после выявления проблемы. Если вы попадаете в группу риска, то настоятельно рекомендуем вам сделать это прямо сейчас.

    Команда сервиса TemplateMonster желает вам удобных и безопасных CMS!

    TemplateMonster Russia
    0,00
    Хотите самостоятельно создать сайт? Вам к нам!
    Поделиться публикацией

    Похожие публикации

    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 13

      +25
      Чего-то я не могу понять:
      Эта статья опубликована 19 мая и призывает обновиться до WordPress 4.2.1?!

      Если посмотреть официальный change log, то можно увидеть, что WordPress 4.2.2 вышел 6 мая, то есть почти две недели назад:
      codex.wordpress.org/Version_4.2.2

      Что-то вы как-то отстали немного. Не находите?

      Кроме того, там в логе написано, что XSS уязвимость как раз появилась в 4.2.1 и была пофиксена в 4.2.2.
        +4
        Почему у вас такие дорогие шаблоны, а качество по сравнение с тем же themeforest мягко говоря оставляет желать лучшего, у них за меньшие деньги, практически в каждой теме платные плагины уже в комплекте.
          +2
          Предложение началось со слова «почему», но не закончилось знаком вопроса. Это делает мне больно.
            +6
            Вопрос цены и качества во все времена был достаточно многогранен. Можно в очередной раз поговорить про технический контроль перед выкладкой каждого шаблона, про пожизненную бесплатную техподдержку, про стоковые фотографии поставляемые с шаблоном, про бесплатные постоянные обновления функционала по некоторым продуктам, про регулярные акции, которые позволяют покупать шаблоны за сопоставимые с нашими коллегами деньги и про многое другое, но мы бы просто хотели предложить Вам вот что. Например, Wordpress темы. Мы отдадим Вам шаблон TemplateMonster и оплатим любую тему из коллекции ThemeForest. Вы разберете их на составляющие части, сравните комплектации продуктов, проведёте тесты и результаты сможете изложить в большой развернутой статье, для всех читателей Хабрахабр. Нам кажется это будет не только жутко интересно, но и максимально честным ответом на вопрос про цену и качество.
              0
              О ребят, я точно бы хотел это увидеть!
              Всегда покупаю на тимфоресте — заглядывался к вам в магазин. Интересно было бы увидеть разбор парочку тем, готов даже предоставить тему)
                0
                Тоже почитал бы с удовольствием.
              +4
              А при чём левый сторонний плагин до wordpress. Я напишу свой с eval($_GET['code']) и будет виноват WP? А ещё такой же бандл создам для symfony и буду на каждом углу заявлять о том, что фреймворк — решето.
                0
                Вы лишь частично правы. Jetpack — это официальный плагин wordpress.com, разработан компанией Automattic — разработчиками WordPress, более миллиона официальных загрузок.
                Я напишу свой с eval($_GET['code']) и будет виноват WP?

                В этом поддержу.
                +1
                Считал templatemonster более серьезной командой.
                  +1
                  Все изменения можно посмотреть тут.

                  Где, простите? Ну и да, по теме — вы бы еще про 2.0 что-то написали…
                    0
                    Вот опять «брешь в безопасности WordPress», а на деле в левом плагине.
                    Потом и складывается общее мнение, что WordPress — решето.
                    0
                    Кто нибудь знает как оталючить этот wp.a11y.speak()?

                    У меня интерфейс админки подвисает на этом моменте и думает лишьнюю минуту почти. Вырубить бы вызов…

                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                    Самое читаемое