Português 
English
Français
Deutsch
Español
Italiano
日本語
한국어
Русский
Atualização 6.2.1 do WordPress causando quebra de sites
A atualização de segurança do WordPress 6.2.1 sai pela culatra em alguns sites, os desenvolvedores consideram a correção insana
Uma recente atualização de segurança do WordPress com várias correções de segurança também está fazendo com que alguns sites parem de funcionar, fazendo com que um desenvolvedor exclame: "Isso é um caos!!"
A atualização removeu uma funcionalidade importante que fazia com que vários plugins parassem de funcionar no site que usa o sistema de bloqueios do WordPress.
Os plug-ins afetados variam de formulários a controles deslizantes e migalhas de pão.
Atualização: WordPress lança 6.2.2 para corrigir a versão 6.2.1
O WordPress lançou uma atualização na sexta-feira para corrigir o patch de segurança defeituoso introduzido na versão 6.2.1.
O anúncio afirmava:
"WordPress 6.2.2 é uma versão de resposta rápida para resolver uma regressão em 6.2.1 e corrigir ainda mais uma vulnerabilidade abordada em 6.2.1."
Os editores do WordPress afetados pelo bug dos códigos de acesso introduzidos na atualização anterior podem considerar a atualização para a versão mais recente.
Sites que oferecem suporte a atualizações automáticas em segundo plano receberam automaticamente a atualização do WordPress 6.2.1 porque era um lançamento de segurança (oficialmente era um lançamento de manutenção e segurança).
De acordo com o anúncio oficial de lançamento do WordPress, a atualização continha cinco correções de segurança:
O problema surge da primeira correção de segurança, aquela que afeta códigos de acesso em temas de bloco, que está causando os problemas.
Um shortcode é uma única linha de código que atua como um substituto ou espaço reservado para o código que fornece funcionalidade como um formulário de contato.
Portanto, em vez de configurar um formulário de contato em todas as páginas em que o formulário aparece, pode-se simplesmente colocar uma única linha chamada shortcode que incorporará um formulário de contato.
Infelizmente, descobriu-se que os hackers podem executar códigos de acesso dentro do conteúdo gerado pelo usuário (como nos comentários do blog), o que pode levar a uma exploração.
WordFence descreve a vulnerabilidade:
"WordPress Core processa códigos de acesso em conteúdo gerado pelo usuário em temas de bloco em versões até, e incluindo, 6.2.
Isso pode permitir que invasores não autenticados executem códigos de acesso por meio do envio de comentários ou outro conteúdo, permitindo que eles explorem vulnerabilidades que normalmente exigem permissões de nível de assinante ou colaborador."
O WordFence continua explicando que a vulnerabilidade é como uma falha que pode permitir outra vulnerabilidade mais grave.
A solução para a vulnerabilidade do shortcode foi remover totalmente a funcionalidade do shortcode dos modelos de bloco do WordPress.
A documentação oficial para a correção da vulnerabilidade explicou:
"Remova o suporte de shortcode dos modelos de bloco."
Alguém criou uma solução alternativa para restaurar o suporte de shortcode nos modelos de bloco do WordPress.
Mas a solução alternativa também restaurou a vulnerabilidade:
"Para aqueles que desejam permanecer no 6.2.1 e precisam restaurar o suporte para códigos de acesso em modelos, podem tentar esta solução alternativa.
…Mas esteja ciente de que o suporte foi removido para corrigir um problema de segurança e, ao restaurar o suporte de shortcode, você provavelmente está trazendo de volta o problema de segurança."
Desativar o suporte de shortcode realmente fez com que alguns sites se tornassem não funcionais, parando de funcionar completamente.
Portanto, adicionar a solução alternativa até que uma solução mais permanente fosse encontrada fazia sentido para muitos usuários.
Os desenvolvedores do WordPress relataram sua frustração com a atualização do WordPress:
Uma pessoa escreveu:
"…é absolutamente insano para mim que os códigos de acesso tenham sido removidos por design!! Cada um dos sites FSE de nossa agência usa o bloco de código de acesso em modelos para tudo: filtros, pesquisa, ACF e integrações de plug-in. Isso é um caos!!
A solução alternativa não parece funcionar para mim. Indo reverter para uma versão anterior e esperar que haja uma correção."
Outra pessoa postou:
"Sim, eu não entendo o ódio de Gutenberg, mas pelo menos eles deveriam ter desabilitado alguns blocos como o Shortcode que estavam eliminando gradualmente no Full Site Editor.