Una actualización de seguridad reciente de WordPress que incluye múltiples correcciones de seguridad también está causando que algunos sitios web dejen de funcionar, lo que provocó que un desarrollador exclamara:¡¡Esto es un desastre!!“
La actualización eliminó una característica clave que provocó la ruptura de muchos complementos del sitio que usan el sistema de bloqueo de WordPress.
Los complementos afectados iban desde formularios hasta controles deslizantes y migas.
Contenido del Articulo
Actualización de WordPress 6.2.1
Los sitios que admiten actualizaciones automáticas en segundo plano recibieron automáticamente la actualización de WordPress 6.2.1 porque era una versión de seguridad (oficialmente, era una versión de mantenimiento y seguridad).
Según el anuncio oficial de lanzamiento de WordPress, la actualización contenía cinco correcciones de seguridad:
- “Problemas de bloqueo que analizan códigos abreviados en datos generados por usuarios…
- Un problema de CSRF al actualizar las miniaturas de los archivos adjuntos. informado por John Blackbourn del equipo de seguridad de WordPress
- Una falla que permite XSS a través del autodescubrimiento de integración abierta. informado de forma independiente por Jakub Żoczek de Securitum y durante una auditoría de seguridad de terceros
- Omita la desinfección de KSES en bloques de funciones para usuarios con pocos privilegios. descubierto durante una auditoría de seguridad de terceros.
- Un problema de recorrido de ruta a través de archivos de traducción. informado de forma independiente por Ramuel Gall y durante una auditoría de seguridad de un tercero”.
El problema surge del primer parche de seguridad, el que afecta a los códigos cortos en los temas de bloques, que causa los problemas.
Un shortcode es una sola línea de código que actúa como sustituto o marcador de posición para el código que proporciona funciones como un formulario de contacto.
Entonces, en lugar de configurar un formulario de contacto en cada página en la que aparece el formulario, simplemente puede poner una línea llamada shortcode y luego incrustará un formulario de contacto.
Desafortunadamente, se descubrió que los piratas informáticos podían ejecutar códigos abreviados en el contenido generado por el usuario (como los comentarios de los blogs), lo que luego podría conducir a una explotación.
WordFence describe la vulnerabilidad:
“WordPress Core edita códigos abreviados en contenido generado por el usuario en temas de bloque en versiones hasta 6.2.
Esto podría permitir a los atacantes no confirmados ejecutar códigos abreviados mediante el envío de comentarios u otro contenido, lo que les permitiría explotar vulnerabilidades que normalmente requerirían privilegios de nivel de Suscriptor o Socio”.
WordFence continúa explicando que la vulnerabilidad es como un defecto que puede desencadenar otra vulnerabilidad más grave.
La solución a la vulnerabilidad del shortcode fue eliminar por completo la funcionalidad del shortcode de las plantillas de bloques de WordPress.
La documentación oficial para el parche de vulnerabilidad explicó:
“Eliminar la compatibilidad con shortcodes de las plantillas de bloques”.
Alguien creó una solución para restaurar la compatibilidad con accesos directos en las plantillas de bloques de WordPress.
Pero la solución también corrigió la vulnerabilidad:
“Para aquellos que desean permanecer en 6.2.1 y necesitan revertir el soporte para códigos cortos a plantillas, pueden probar esta solución.
…Pero tenga en cuenta que el soporte se eliminó para solucionar un problema de seguridad, y restaurar el soporte de shortcode probablemente recupere el problema de seguridad.
Deshabilitar el soporte de shortcode en realidad causó que algunos sitios se rompieran y dejaran de funcionar por completo.
Por lo tanto, agregar la solución temporal hasta que se encontrara una solución más permanente tenía sentido para muchos usuarios.
Los desarrolladores de WordPress llaman a Fix “Stupid” y “Stupid”
Los desarrolladores de WordPress informaron su frustración con la actualización de WordPress:
Una persona escribió:
“… ¡Es una locura para mí que se hayan eliminado los códigos abreviados del diseño! Cada uno de los sitios FSE de nuestra empresa utiliza el bloque de código abreviado en las plantillas para todo: filtros, búsqueda, ACF e integraciones de complementos. ¡¡Esto es un desastre!!
La solución no parece funcionar para mí. Volveré a una versión anterior y espero que haya una solución”.
Otra persona publicó:
“Sí, no entiendo el odio de Gutenberg, pero al menos deberían haber bloqueado algunos bloques como Shortcode que estaban eliminando gradualmente en el Editor de sitio completo.
Esto fue una estupidez de los desarrolladores de WP.
Las personas usarán las viejas formas a menos que les digas lo contrario o las guíes hacia cosas nuevas.
Pero como dije, lo que sería mejor es construir un puente a través de, por ejemplo, un bloque oficial de PHP, o escuchar lo que quieren los usuarios y desarrolladores”.
Uno de los complementos notables afectados fue Rank Math. La funcionalidad de migas de pan cuando estaba presente en los temas de bloque falló después de la actualización 6.2.1.
Una página de soporte de Rank Math contenía una solicitud de corrección de un usuario del complemento Rank Math.
El soporte de Rank Math recomienda agregar una solución alternativa. Desafortunadamente, esta solución no solo restaura la funcionalidad del shortcode, sino que también restaura la vulnerabilidad.
La actualización también deshabilitó la funcionalidad del complemento Smart Slider 3.
Abra un hilo de soporte en la página del complemento Smart Slider 3:
“No es del todo culpa tuya, pero Automattic decidió derivar códigos cortos de plantillas de bloques. … reclamando un “problema de seguridad” pero básicamente eliminando dos complementos que uso, incluido el tuyo.
Esto significa que su complemento solo se muestra [smartslider3 slider=”6″] cuando se utiliza en una plantilla FSE. ¡Pero se ve bien en el editor FSE!
Solo pensé que tal vez querrías saberlo, antes de que la gente confundida comience a acusarte de lo que Automattic DEBERÍA haber informado. No deberían simplemente eliminar dicha funcionalidad, es como los malos tiempos de nuevo.
Ahora también necesito descubrir cómo conectar algún formato/código PHP para poner listas de categorías en los cuadros de búsqueda. gr.”
El equipo de soporte de Smart Slider 3 recomendó agregar la solución alternativa.
Otros en el hilo de soporte de WordPress.org sobre el problema han encontrado soluciones. Si su sitio se ve afectado, puede resultarle útil leer la discusión.
Lea la página de soporte de WordPress sobre el problema de los códigos cortos
WordPress v6.2.1 rompe el bloque de shortcode en las plantillas
Imagen destacada de Shutterstock/ViChizh
