M谩s

    Actualizaci贸n de WordPress 6.2.1 que hace que los sitios se rompan

    - Advertisement -

    Una actualizaci贸n de seguridad reciente de WordPress que presenta m煤ltiples correcciones de seguridad tambi茅n est谩 causando que algunos sitios dejen de funcionar, lo que hace que un desarrollador exclame: 鈥隆隆Esto es un caos!!

    La actualizaci贸n elimin贸 una funcionalidad clave que provoc贸 que numerosos complementos dejaran de funcionar en el sitio que utiliza el sistema de bloques de WordPress.

    Los complementos afectados iban desde formularios hasta controles deslizantes y migas de pan.

    Actualizaci贸n de WordPress 6.2.1

    Los sitios que admiten actualizaciones autom谩ticas en segundo plano recibieron autom谩ticamente la actualizaci贸n de WordPress 6.2.1 porque era una versi贸n de seguridad (oficialmente era una versi贸n de mantenimiento y seguridad).

    Seg煤n el oficial Anuncio de lanzamiento de WordPressla actualizaci贸n conten铆a cinco correcciones de seguridad:

  • 鈥淏loquear temas analizando c贸digos cortos en datos generados por el usuario;鈥
  • Un problema de CSRF al actualizar las miniaturas de los archivos adjuntos; informado por John Blackbourn del equipo de seguridad de WordPress
  • Una falla que permite XSS a trav茅s de la detecci贸n autom谩tica de inserci贸n abierta; informado de forma independiente por Jakub 呕oczek de Securitum y durante una auditor铆a de seguridad de terceros
  • Eludir la sanitizaci贸n de KSES en atributos de bloque para usuarios con privilegios bajos; descubierto durante una auditor铆a de seguridad de terceros.
  • Un problema de recorrido de ruta a trav茅s de archivos de traducci贸n; informado de forma independiente por Ramuel Gall y durante una auditor铆a de seguridad de un tercero鈥.
  • El problema surge de la primera soluci贸n de seguridad, la que afecta a los c贸digos cortos en los temas de bloque, que est谩 causando los problemas.

    Un shortcode es una sola l铆nea de c贸digo que act煤a como sustituto o marcador de posici贸n para el c贸digo que proporciona funcionalidad como un formulario de contacto.

    Entonces, en lugar de configurar un formulario de contacto en cada p谩gina en la que aparece el formulario, uno puede simplemente poner una sola l铆nea llamada shortcode que luego incrustar谩 un formulario de contacto.

    Desafortunadamente, se descubri贸 que los piratas inform谩ticos pod铆an ejecutar c贸digos abreviados dentro del contenido generado por el usuario (como en los comentarios del blog), lo que luego podr铆a conducir a una explotaci贸n.

    WordFence describe la vulnerabilidad:

    鈥淲ordPress Core procesa c贸digos abreviados en contenido generado por el usuario en temas de bloque en versiones hasta 6.2 inclusive.

    Esto podr铆a permitir a los atacantes no autenticados ejecutar c贸digos abreviados mediante el env铆o de comentarios u otro contenido, lo que les permitir铆a explotar vulnerabilidades que normalmente requieren permisos de nivel de Suscriptor o Colaborador鈥.

    WordFence contin煤a explicando que la vulnerabilidad es como un defecto que puede habilitar otra vulnerabilidad m谩s grave.

    La soluci贸n a la vulnerabilidad del shortcode fue eliminar por completo la funcionalidad del shortcode de las plantillas de bloques de WordPress.

    El documentaci贸n oficial para la soluci贸n de vulnerabilidad explicada:

    芦Eliminar el soporte de shortcode de las plantillas de bloque禄.

    Alguien cre贸 una soluci贸n para restaurar la compatibilidad con shortcodes en las plantillas de bloques de WordPress.

    Pero la soluci贸n tambi茅n restaurado la vulnerabilidad:

    鈥淧ara aquellos que desean permanecer en 6.2.1 y necesitan restaurar la compatibilidad con c贸digos cortos en plantillas, pueden probar esta soluci贸n.

    鈥ero tenga en cuenta que se elimin贸 el soporte para solucionar un problema de seguridad y, al restaurar el soporte de shortcode, probablemente est茅 recuperando el problema de seguridad鈥.

    La desactivaci贸n del soporte de shortcode en realidad hizo que algunos sitios dejaran de funcionar, dejaran de funcionar por completo.

    Por lo tanto, agregar la soluci贸n temporal hasta que se encontrara una soluci贸n m谩s permanente ten铆a sentido para muchos usuarios.

    Los desarrolladores de WordPress llaman a Fix 芦loco禄 y 芦tonto禄

    Los desarrolladores de WordPress informaron su frustraci贸n con la actualizaci贸n de WordPress:

    Una persona escribi贸:

    鈥溾 隆Es absolutamente una locura para m铆 que los c贸digos abreviados hayan sido eliminados por dise帽o! Cada uno de los sitios FSE de nuestra agencia utiliza el bloque de c贸digo abreviado en plantillas para todo: filtros, b煤squeda, ACF e integraciones de complementos. 隆隆Esto es un caos!!

    La soluci贸n no parece funcionar para m铆. Voy a volver a una versi贸n anterior y espero que haya una soluci贸n鈥.

    Otra persona al corriente:

    鈥淪铆, no entiendo el odio de Gutenberg, pero al menos deber铆an haber rechazado algunos bloques como Shortcode que estaban eliminando gradualmente en el Editor de sitio completo.

    Eso fue tonto de los desarrolladores de WP.

    La gente usar谩 las viejas formas a menos que les digas lo contrario o los gu铆es a cosas nuevas.

    Pero como dije, lo que hubiera sido mejor es construir un puente a trav茅s de, por ejemplo, un bloque PHP oficial, o incluso escuchar lo que quieren los usuarios y los desarrolladores鈥.

    Uno de los complementos notables que se vieron afectados fue Rank Math. La funcionalidad de migas de pan, cuando estaba presente en los temas de bloques, fall贸 despu茅s de la actualizaci贸n 6.2.1.

    Una p谩gina de soporte de Rank Math conten铆a una solicitud de correcci贸n de un usuario del complemento Rank Math.

    Soporte t茅cnico de Clasificaci贸n matem谩tica recomienda agregar una soluci贸n alternativa. Desafortunadamente, esa soluci贸n alternativa no solo restaura la funcionalidad del shortcode, sino que tambi茅n restaura la vulnerabilidad.

    La actualizaci贸n tambi茅n bloque贸 la funcionalidad del complemento Smart Slider 3.

    A hilo de apoyo se abri贸 en la p谩gina del complemento Smart Slider 3:

    鈥淣o es totalmente tu culpa, pero Automattic ha decidido extraer c贸digos cortos de las plantillas de bloques. 鈥 alegando un ‘problema de seguridad’ pero b谩sicamente eliminando dos complementos que uso, incluido el tuyo.

    Eso significa que su complemento solo muestra [smartslider3 slider=鈥6鈥砞 cuando se utiliza en una plantilla FSE. 隆Pero se muestra bien en el editor FSE!

    Solo pens茅 que querr铆as saberlo, antes de que las personas confundidas que Automattic DEBER脥A haber informado comenzaran a culparte. No deber铆an simplemente eliminar funcionalidades como esa, es como los malos viejos tiempos de nuevo.

    Ahora tambi茅n tengo que averiguar c贸mo conectar alg煤n formulario/c贸digo PHP para colocar listas de categor铆as en los cuadros de b煤squeda. Grr.鈥

    El equipo de soporte de Smart Slider 3 recomend贸 agregar la soluci贸n alternativa.

    Otros en el hilo de soporte de WordPress.org sobre el problema encontraron soluciones. Si su sitio se ve afectado, puede ser 煤til leer la discusi贸n.

    Lea la p谩gina de soporte de WordPress sobre el problema de los c贸digos cortos

    WordPress v6.2.1 rompe el bloque de c贸digo abreviado en las plantillas

    Imagen destacada de Shutterstock/ViChizh

    Fuente: Actualizaci贸n de WordPress 6.2.1 que hace que los sitios se rompan

    Populares

    M谩s de esta categor铆a

    DEJA UNA RESPUESTA

    Por favor ingrese su comentario!
    Por favor ingrese su nombre aqu铆

    Este sitio usa Akismet para reducir el spam. Aprende c贸mo se procesan los datos de tus comentarios.