Birden çok güvenlik düzeltmesi içeren yeni bir WordPress güvenlik güncellemesi de bazı sitelerin çalışmamasına neden olarak bir geliştiricinin “Bu kaos!!”
Güncelleme, WordPress blok sistemini kullanan çok sayıda eklentinin sitede çalışmayı durdurmasına neden olan önemli bir işlevi kaldırdı.
WordPress 6.2.1 Güncellemesi
Otomatik arka plan güncellemelerini destekleyen siteler, WordPress 6.2.1 güncellemesini bir Güvenlik Yayını olduğu için (resmi olarak bir bakım ve güvenlik Yayınıydı) otomatik olarak aldı.
Yetkiliye göre WordPress sürüm duyurusu güncelleme beş güvenlik düzeltmesi içeriyordu:
- “Kullanıcı tarafından oluşturulan verilerdeki kısa kodları ayrıştıran temaları engelleyin;…
- Ek küçük resimlerini güncelleyen bir CSRF sorunu; WordPress güvenlik ekibinden John Blackbourn tarafından bildirildi
- Açık gömme otomatik keşif yoluyla XSS’ye izin veren bir kusur; Securitum’dan Jakub Żoczek tarafından bağımsız olarak ve bir üçüncü taraf güvenlik denetimi sırasında bildirildi
- Düşük ayrıcalıklı kullanıcılar için blok özniteliklerinde KSES temizliğinin atlanması; üçüncü taraf güvenlik denetimi sırasında keşfedildi.
- Çeviri dosyaları aracılığıyla bir yol geçişi sorunu; bağımsız olarak Ramuel Gall tarafından ve bir üçüncü taraf güvenlik denetimi sırasında bildirildi.
Sorun, blok temalarındaki kısa kodları etkileyen ve sorunlara neden olan ilk güvenlik düzeltmesinden kaynaklanmaktadır.
Kısa kod, iletişim formu gibi işlevsellik sağlayan kod için yedek veya yer tutucu gibi davranan tek satırlık bir koddur.
Bu nedenle, formun göründüğü her sayfada bir iletişim formu yapılandırmak yerine, kısa kod adı verilen ve daha sonra bir iletişim formunu gömecek olan tek bir satır yazılabilir.
Ne yazık ki bilgisayar korsanlarının, kullanıcı tarafından oluşturulan içerikte (blog yorumlarında olduğu gibi) kısa kodlar yürütebildiği ve bunun daha sonra bir açıktan yararlanmaya yol açabileceği keşfedildi.
WordFence güvenlik açığını açıklar:
“WordPress Core, 6.2’ye kadar ve dahil olmak üzere sürümlerde blok temalarında kullanıcı tarafından oluşturulan içerikteki kısa kodları işler.
Bu, kimliği doğrulanmamış saldırganların yorum veya başka içerik göndererek kısa kodlar yürütmesine izin vererek, genellikle Abone veya Katılımcı düzeyinde izinler gerektiren güvenlik açıklarından yararlanmalarına izin verebilir.”
WordFence, güvenlik açığının başka bir daha ciddi güvenlik açığını etkinleştirebilecek bir kusur gibi olduğunu açıklamaya devam ediyor.
Kısa kod güvenlik açığının çözümü, kısa kod işlevini WordPress blok şablonlarından tamamen kaldırmaktı.
Resmi belgeler Açıklanan güvenlik açığı düzeltmesi için:
“Kısa kod desteğini blok şablonlarından kaldırın.”
Birisi, WordPress blok şablonlarındaki kısa kod desteğini geri yüklemek için bir geçici çözüm oluşturdu.
Ancak geçici çözüm aynı zamanda güvenlik açığı geri yüklendi:
“6.2.1’de kalmak isteyenler ve şablonlardaki kısa kod desteğini geri yüklemesi gerekenler için bu geçici çözümü deneyebilirsiniz.
…Ancak, bir güvenlik sorununu çözmek için desteğin kaldırıldığını ve kısa kod desteğini geri yüklemekle muhtemelen güvenlik sorununu geri getirdiğinizi unutmayın.
Kısa kod desteğini devre dışı bırakmak aslında bazı sitelerin çalışmamasına, tamamen çalışmamasına neden oldu.
Bu nedenle, daha kalıcı bir çözüm bulunana kadar geçici çözümü eklemek birçok kullanıcı için mantıklıydı.
WordPress Geliştiricileri Fix’i “Deli” ve “Aptal” Olarak Adlandırıyor
WordPress geliştiricileri, WordPress güncellemesiyle ilgili hayal kırıklıklarını bildirdi:
Bir kişi yazdı:
“…Kısa kodların tasarım gereği kaldırılmış olması benim için kesinlikle delilik!! Ajansımızın FSE sitelerinin her biri, her şey için şablonlardaki kısa kod bloğunu kullanır: filtreler, arama, ACF ve eklenti entegrasyonları. Bu kaos!!
Geçici çözüm benim için çalışmıyor gibi görünüyor. Önceki bir sürüme geri döneceğim ve bir düzeltme olacağını umuyorum.”
Başka kişi gönderildi:
“Evet, Gutenberg nefretini anlamıyorum, ancak en azından Tam Site Düzenleyicide aşamalı olarak kaldırdıkları Kısa Kod gibi bazı bloklara izin vermemeleri gerekirdi.
Bu, WP geliştiricilerinin aptallığıydı.
Siz aksini söylemediğiniz veya yeni şeylere yönlendirmediğiniz sürece insanlar eski yöntemleri kullanacaklar.
Ancak dediğim gibi, resmi bir PHP bloğu aracılığıyla bir köprü inşa etmek veya gerçekten de kullanıcıların ve geliştiricilerin ne istediğini dinlemek daha iyi olurdu.”
Etkilenen önemli eklentilerden biri Rank Math’dı. Blok temalarında bulunan kırıntı işlevi, 6.2.1 güncellemesinden sonra başarısız oldu.
Bir Rank Math destek sayfası, bir Rank Math eklentisi kullanıcısından bir düzeltme isteği içeriyordu.
Matematik desteği bir geçici çözüm düzeltmesi eklemeniz önerilir. Ne yazık ki, bu geçici çözüm düzeltmesi yalnızca kısa kod işlevselliğini geri yüklemekle kalmaz, aynı zamanda güvenlik açığını da geri yükler.
Güncelleme ayrıca Smart Slider 3 eklentisinin işlevselliğini de engelledi.
Destek Smart Slider 3 eklenti sayfasında açıldı:
“Tamamen senin hatan değil ama Automattic, blok şablonlarından kısa kodlar çekmeye karar verdi. …bir ‘güvenlik sorunu’ olduğunu iddia ediyor ama temelde kullandığım iki eklentiyi iptal ediyor, sizinki de dahil.
Bu, eklentinizin yalnızca gösterdiği anlamına gelir [smartslider3 slider=”6″] bir FSE şablonunda kullanıldığında. Ancak FSE editöründe iyi görünüyor!
Automattic’in bilgilendirmesi GEREKEN kafası karışmış insanlar sizi suçlamaya başlamadan önce bilmek isteyebileceğinizi düşündüm. Bu tür işlevleri öylece kaldırmamalılar – her şey yeniden eski kötü günler gibi.
Şimdi kategori listelerini arama kutularına koymak için bazı form/PHP kodlarını nasıl ekleyeceğimi de öğrenmem gerekiyor. Gr.”
Smart Slider 3 destek ekibi, geçici çözüm düzeltmesinin eklenmesini önerdi.
Sorunla ilgili WordPress.org destek başlığındaki diğerleri çözümler buldu. Siteniz etkilenirse, tartışmayı okumak faydalı olabilir.
