banner
Centro notizie
Materie prime di buona qualità, rigoroso controllo di qualità

L'aggiornamento 6.2.1 di WordPress causa l'interruzione dei siti

Dec 30, 2023

L'aggiornamento di sicurezza WordPress 6.2.1 si ritorce contro su alcuni siti Web e gli sviluppatori ritengono che la correzione sia folle

Un recente aggiornamento di sicurezza di WordPress che presenta molteplici correzioni di sicurezza sta anche causando il blocco del funzionamento di alcuni siti, facendo esclamare uno sviluppatore: "Questo è il caos!!"

L'aggiornamento ha rimosso una funzionalità chiave che causava l'interruzione del funzionamento di numerosi plug-in sui siti che utilizzano il sistema di blocchi di WordPress.

I plugin interessati andavano dai moduli agli slider fino ai breadcrumb.

Aggiornamento: WordPress rilascia la versione 6.2.2 per correggere la versione 6.2.1

WordPress ha rilasciato un aggiornamento venerdì sera per risolvere la patch di sicurezza difettosa introdotta nella versione 6.2.1.

L'annuncio affermava:

"WordPress 6.2.2 è una versione a risposta rapida per affrontare una regressione nella 6.2.1 e correggere ulteriormente una vulnerabilità affrontata nella 6.2.1."

Gli editori di WordPress interessati dal bug degli shortcode introdotto nell'aggiornamento precedente potrebbero prendere in considerazione l'aggiornamento alla versione più recente.

I siti che supportano gli aggiornamenti automatici in background hanno ricevuto automaticamente l'aggiornamento WordPress 6.2.1 perché era una versione di sicurezza (ufficialmente era una versione di manutenzione e sicurezza).

Secondo l'annuncio ufficiale del rilascio di WordPress, l'aggiornamento conteneva cinque correzioni di sicurezza:

Il problema nasce dalla prima correzione di sicurezza, quella che interessa gli shortcode nei temi a blocchi, che sta causando i problemi.

Uno shortcode è una singola riga di codice che funge da sostituto o segnaposto per il codice che fornisce funzionalità come un modulo di contatto.

Quindi, invece di configurare un modulo di contatto su ogni pagina in cui appare il modulo, si può semplicemente inserire una singola riga chiamata shortcode che incorporerà quindi un modulo di contatto.

Sfortunatamente si è scoperto che gli hacker potevano eseguire shortcode all'interno dei contenuti generati dagli utenti (come nei commenti dei blog), che potevano poi portare a un exploit.

WordFence descrive la vulnerabilità:

"WordPress Core elabora gli shortcode nei contenuti generati dagli utenti su temi a blocchi nelle versioni fino alla 6.2 inclusa.

Ciò potrebbe consentire agli aggressori non autenticati di eseguire codici brevi inviando commenti o altri contenuti, consentendo loro di sfruttare le vulnerabilità che in genere richiedono autorizzazioni a livello di abbonato o collaboratore."

WordFence prosegue spiegando che la vulnerabilità è come un difetto che può abilitare un'altra vulnerabilità più grave.

La soluzione alla vulnerabilità dello shortcode era rimuovere completamente la funzionalità dello shortcode dai modelli di blocco di WordPress.

La documentazione ufficiale per la correzione della vulnerabilità spiegava:

"Rimuovi il supporto degli shortcode dai modelli di blocco."

Qualcuno ha creato una soluzione alternativa per ripristinare il supporto dello shortcode nei modelli di blocco WordPress.

Ma la soluzione alternativa ha anche ripristinato la vulnerabilità:

"Per coloro che desiderano rimanere alla versione 6.2.1 e necessitano di ripristinare il supporto per gli shortcode sui modelli, è possibile provare questa soluzione alternativa.

…Ma tieni presente che il supporto è stato rimosso per risolvere un problema di sicurezza e ripristinando il supporto degli shortcode probabilmente stai ripristinando il problema di sicurezza."

La disabilitazione del supporto degli shortcode ha effettivamente causato il mancato funzionamento di alcuni siti, che hanno smesso di funzionare del tutto.

Quindi aggiungere la soluzione alternativa fino a quando non fosse stata trovata una soluzione più permanente aveva senso per molti utenti.

Gli sviluppatori di WordPress hanno segnalato la loro frustrazione per l'aggiornamento di WordPress:

Una persona ha scritto:

"...per me è assolutamente assurdo che gli shortcode siano stati rimossi in fase di progettazione!! Ognuno dei siti FSE della nostra agenzia utilizza il blocco shortcode nei modelli per tutto: filtri, ricerca, ACF e integrazioni di plugin. Questo è il caos!!

La soluzione alternativa non sembra funzionare per me. Torneremo alla versione precedente e spero che ci sia una soluzione."

Un'altra persona ha postato:

"Sì, non capisco l'odio verso Gutenberg, ma come minimo avrebbero dovuto disabilitare alcuni blocchi come Shortcode che stavano gradualmente eliminando nell'editor del sito completo.