WordPress Update 6.2.1 Causing Sites To Break

by

एक हालिया वर्डप्रेस सुरक्षा अद्यतन जिसमें कई सुरक्षा सुधार शामिल हैं, कुछ साइटों को काम करना बंद कर रहा है, जिसके कारण एक डेवलपर ने कहा, “यह अराजकता है !!

अपडेट ने एक महत्वपूर्ण कार्यक्षमता को हटा दिया जिसके कारण कई प्लगइन्स साइट पर काम करना बंद कर देते हैं जो वर्डप्रेस ब्लॉक सिस्टम का उपयोग करते हैं।

प्रभावित प्लगइन्स में फॉर्म से लेकर स्लाइडर्स से लेकर ब्रेडक्रंब तक शामिल हैं।

वर्डप्रेस 6.2.1 अद्यतन

स्वचालित पृष्ठभूमि अपडेट का समर्थन करने वाली साइटें स्वचालित रूप से वर्डप्रेस 6.2.1 अपडेट प्राप्त करती हैं क्योंकि यह एक सुरक्षा रिलीज़ थी (आधिकारिक तौर पर यह एक रखरखाव और सुरक्षा रिलीज़ थी)।

अधिकारी के अनुसार वर्डप्रेस रिलीज की घोषणाअद्यतन में पाँच सुरक्षा सुधार शामिल हैं:

  1. “उपयोगकर्ता द्वारा उत्पन्न डेटा में शॉर्टकोड को पार्स करने वाले ब्लॉक थीम; …
  2. अटैचमेंट थंबनेल अपडेट करने वाली CSRF समस्या; वर्डप्रेस सुरक्षा टीम के जॉन ब्लैकबॉर्न द्वारा रिपोर्ट की गई
  3. ओपन एम्बेड ऑटो डिस्कवरी के माध्यम से XSS की अनुमति देने वाला एक दोष; Securitum के Jakub Zoczek द्वारा और तीसरे पक्ष के सुरक्षा ऑडिट के दौरान स्वतंत्र रूप से रिपोर्ट की गई
  4. कम विशेषाधिकार प्राप्त उपयोगकर्ताओं के लिए ब्लॉक विशेषताओं में KSES स्वच्छताकरण को दरकिनार करना; तृतीय पक्ष सुरक्षा ऑडिट के दौरान खोजा गया।
  5. अनुवाद फ़ाइलों के माध्यम से पथ ट्रैवर्सल समस्या; Ramuel Gall द्वारा स्वतंत्र रूप से और तीसरे पक्ष के सुरक्षा ऑडिट के दौरान रिपोर्ट किया गया।

समस्या पहले सुरक्षा सुधार से उत्पन्न होती है, जो ब्लॉक थीम में शॉर्टकोड को प्रभावित करता है, जो समस्याएँ पैदा कर रहा है।

एक शोर्ट कोड कोड की एक पंक्ति है जो कोड के लिए स्टैंड-इन या प्लेसहोल्डर की तरह कार्य करता है जो संपर्क फ़ॉर्म जैसी कार्यक्षमता प्रदान करता है।

इसलिए प्रत्येक पृष्ठ पर एक संपर्क फ़ॉर्म को कॉन्फ़िगर करने के बजाय फ़ॉर्म दिखाई देता है, कोई केवल एक पंक्ति डाल सकता है जिसे शोर्टकोड कहा जाता है जो तब संपर्क फ़ॉर्म को एम्बेड करेगा।

दुर्भाग्य से यह पता चला कि हैकर्स उपयोगकर्ता द्वारा उत्पन्न सामग्री (जैसे ब्लॉग टिप्पणियों में) के भीतर शॉर्टकोड निष्पादित कर सकते हैं, जो बाद में शोषण का कारण बन सकता है।

वर्डफेंस भेद्यता का वर्णन करता है:

“वर्डप्रेस कोर 6.2 तक के संस्करणों में ब्लॉक थीम पर उपयोगकर्ता-जनित सामग्री में शॉर्टकोड को संसाधित करता है।

यह अप्रमाणित हमलावरों को टिप्पणी या अन्य सामग्री सबमिट करके शॉर्टकोड निष्पादित करने की अनुमति दे सकता है, जिससे वे उन कमजोरियों का फायदा उठा सकते हैं जिनके लिए आमतौर पर सब्सक्राइबर या योगदानकर्ता-स्तर की अनुमति की आवश्यकता होती है।

WordFence यह समझाने के लिए चला जाता है कि भेद्यता एक दोष की तरह है जो एक और अधिक गंभीर भेद्यता को सक्षम कर सकती है।

शोर्टकोड भेद्यता का समाधान वर्डप्रेस ब्लॉक टेम्प्लेट से शोर्टकोड की कार्यक्षमता को पूरी तरह से हटाना था।

आधिकारिक दस्तावेज भेद्यता फिक्स के लिए समझाया गया:

“ब्लॉक टेम्प्लेट से शोर्ट समर्थन हटाएं।”

किसी ने वर्डप्रेस ब्लॉक टेम्पलेट्स में शोर्टकोड समर्थन को पुनर्स्थापित करने के लिए वर्कअराउंड बनाया है।

लेकिन उपाय भी भेद्यता बहाल:

“उन लोगों के लिए जो 6.2.1 पर बने रहना चाहते हैं और टेम्प्लेट पर शॉर्टकोड के लिए समर्थन बहाल करने की आवश्यकता है, आप इस समाधान को आजमा सकते हैं।

… लेकिन ध्यान रखें कि सुरक्षा समस्या को ठीक करने के लिए समर्थन हटा दिया गया था, और शोर्ट समर्थन बहाल करने से आप शायद सुरक्षा समस्या को वापस ला रहे हैं।

शोर्टकोड समर्थन को अक्षम करने से वास्तव में कुछ साइटें गैर-कार्यात्मक हो गईं, पूरी तरह से काम करना बंद कर दिया।

इसलिए वर्कअराउंड को तब तक जोड़ना जब तक कि अधिक स्थायी समाधान नहीं मिल जाता, कई उपयोगकर्ताओं के लिए यह समझ में आता है।

वर्डप्रेस डेवलपर्स कॉल फिक्स “पागल” और “गूंगा”

वर्डप्रेस देवों ने वर्डप्रेस अपडेट के साथ अपनी निराशा की सूचना दी:

एक व्यक्ति लिखा:

“…यह मेरे लिए बिल्कुल पागलपन की बात है कि डिजाइन द्वारा शॉर्टकोड हटा दिए गए हैं!! हमारी एजेंसी की FSE साइटों में से हर एक हर चीज़ के लिए टेम्प्लेट में शोर्ट ब्लॉक का उपयोग करती है: फ़िल्टर, खोज, ACF और प्लगइन एकीकरण। यह अराजकता है !!

वर्कअराउंड मेरे लिए काम नहीं कर रहा है। पिछले संस्करण पर वापस जा रहे हैं और आशा है कि कोई सुधार होगा।

एक अन्य व्यक्ति की तैनाती:

“हाँ, मुझे गुटेनबर्ग से नफरत नहीं है, लेकिन कम से कम उन्हें शोर्टकोड जैसे कुछ ब्लॉकों को अस्वीकार कर देना चाहिए था, जिन्हें वे पूर्ण साइट संपादक में चरणबद्ध कर रहे थे।

वह WP देवों का मूर्ख था।

लोग पुराने तरीकों का उपयोग करने जा रहे हैं जब तक कि आप उन्हें अन्यथा न बताएं या नई चीजों के लिए उनका मार्गदर्शन न करें।

लेकिन जैसा कि मैंने कहा, एक आधिकारिक PHP ब्लॉक के माध्यम से एक पुल का निर्माण करना बेहतर होगा – या वास्तव में यह सुनना कि उपयोगकर्ता और देव क्या चाहते हैं।

प्रभावित होने वाले उल्लेखनीय प्लगइन्स में से एक रैंक मैथ था। 6.2.1 अद्यतन के बाद ब्लॉक थीम पर मौजूद ब्रेडक्रंब कार्यक्षमता विफल रही।

रैंक मैथ सपोर्ट पेज में रैंक मैथ प्लगइन उपयोगकर्ता से फिक्स के लिए अनुरोध शामिल था।

रैंक मठ समर्थन वर्कअराउंड फिक्स जोड़ने की सिफारिश की। दुर्भाग्य से, यह समाधान न केवल शोर्ट कार्यक्षमता को पुनर्स्थापित करता है, बल्कि यह भेद्यता को भी पुनर्स्थापित करता है।

अपडेट ने स्मार्ट स्लाइडर 3 प्लगइन की कार्यक्षमता को भी अवरुद्ध कर दिया।

समर्थन धागा स्मार्ट स्लाइडर 3 प्लगइन पेज पर खोला गया था:

“पूरी तरह से आपकी गलती नहीं है, लेकिन ऑटोमैटिक ने ब्लॉक टेम्प्लेट से शॉर्टकोड निकालने का फैसला किया है। …’सुरक्षा समस्या’ का दावा कर रहे हैं, लेकिन मूल रूप से मेरे द्वारा उपयोग किए जाने वाले दो प्लगइन्स को शून्य कर रहे हैं, जिनमें आपका भी शामिल है।

इसका मतलब है कि आपका प्लगइन सिर्फ दिखाता है [smartslider3 slider=”6″] जब FSE टेम्पलेट में उपयोग किया जाता है। लेकिन यह एफएसई संपादक में ठीक दिखता है!

बस सोचा कि आप भ्रमित लोगों से पहले जानना चाहेंगे कि Automattic को आपको दोष देना शुरू करना चाहिए। उन्हें केवल इस तरह की कार्यक्षमता को नहीं निकालना चाहिए – यह फिर से पुराने दिनों की तरह है।

मुझे अब यह भी पता लगाना है कि श्रेणी सूची को खोज बॉक्स में डालने के लिए किसी फॉर्म/PHP कोड को कैसे प्लग करना है। जीआर।

स्मार्ट स्लाइडर 3 सपोर्ट टीम ने वर्कअराउंड फिक्स जोड़ने की सिफारिश की।

इस मुद्दे के बारे में WordPress.org समर्थन सूत्र के अन्य लोग समाधान के साथ आए। यदि आपकी साइट प्रभावित होती है तो चर्चा को पढ़ने में मदद मिल सकती है।

शॉर्टकोड समस्या के बारे में वर्डप्रेस सपोर्ट पेज पढ़ें

वर्डप्रेस v6.2.1 टेम्प्लेट में शोर्ट ब्लॉक को तोड़ता है

शटरस्टॉक / विचिज़ द्वारा फीचर्ड छवि

Leave a Comment