Вышел WordPress 5.4.1, исправляющий 7 ошибок безопасности и несколько багов

Сегодня вышел WordPress 5.4.1, технический релиз, включающий в себя исправления безопасности. Он решает 7 проблем, которые были ответственно раскрыты команде разработчиков WordPress. Разработчики также внесли несколько исправлений, связанных с кодом версии 5.4, и перенесли баг-фиксы в редактор блоков плагина Gutenberg.

Пользователи с включенными автообновлениями должны были уже получить новую версию. Остальным пользователям рекомендуется обновить WordPress как можно скорее, чтобы использовать максимально безопасную версию WP.

Блог Миши Рудрастых

Команда поддержки WordPress опубликовала полную документацию по релизу, с которой вы можете всегда ознакомиться.

Исправления безопасности были добавлены во все крупные версии WordPress с 5.4 до 3.7. Были устранены следующие уязвимости:

  • Проблема с токенами сброса пароля, которые не были правильно аннулированы.
  • Некоторые приватные посты могли быть просмотрены без аутентификации.
  • Две XSS-уязвимости в кастомайзере.
  • XSS-проблема в блоке поиска.
  • XSS-проблема в объектном кэше WordPress.
  • XSS-проблема с загрузками файлов.
  • XSS-проблема в редакторе блоков для WordPress4 RC1 и RC2 (исправлена в 5.4 RC5).

Обновления редактора блоков

Некоторые фиксы, связанные с плагином Gutenberg, имели высокий приоритет, а потому были портированы в WordPress 5.4.1. Самыми главными проблемами, с которыми сталкивались пользователи, были неработающие сочетания клавиш для дублирования блоков, неправильно выровненные блоки кнопок и странное поведение скроллинга при попытке редактирования текста в длинном блоке.

Ниже приведен полный список проблем, решенных командой разработчиков:

  • Исправлено сочетание клавиш Ctrl + Shift + D для дублирования блоков.
  • Добавлены правильные поля при выравнивании блока кнопок слева или справа.
  • Предотвращена прокрутка редактора вверх при нажатии на редактирование длинного блока (к примеру, длинного списка).
  • Больше не скрывается тулбар для плагинов, которые имеют в нем текстовые поля.
  • Больше нет краша JavaScript с блоком последних записей, когда изображения имеют отсутствующие размеры.
  • Правильно обрабатывается HTML-класс для RSS и поисковых блоков, чтобы предотвратить неправильную разметку.

Чтобы ознакомиться с изменениями кода к редактору блоков, вы можете посмотреть список всех тикетов.

Другие изменения WordPress

Пользователи, которые работают в темных режимах в браузерах, теперь могут наслаждаться светлым favicon WordPress. В результате этого небольшого улучшения логотип WP выглядит более профессионально.

Были изменена иерархия заголовков на странице wp-admin/freedoms.php.

Для пользователей браузеров Edge или iOS Safari был введен долгожданный фикс, позволяющий выбирать файлы в медиатеке (раньше была проблема с CSS, из-за которой кнопка загрузки файлов блокировалась).

В WordPress 5.4.1 были применены и другие улучшения. Из-за изменения кода в WordPress 5.4 постинг через email был нарушен при отсутствии заголовка статьи – в таком случае заголовком должна становиться тема письма, однако этого не происходило. Связано это было с тем, что хуки фильтров category_link и tag_link были ошибочно признаны устаревшими (deprecated), но теперь их снова можно использовать.

Разработчикам плагинов стоит обратить внимание на следующие фиксы. Объект WP_Site_Health теперь инстанцируется после хуков plugins_loaded и after_setup_theme, а потому все необходимые действия с помощью этих хуков можно выполнять до проверки работоспособности сайта. Устаревшая функция wp_get_user_request_data() теперь грамотно загружается во фронтэнде, что ранее приводило к ошибкам с плагинами, такими как BuddyPress.

Авторы плагинов, которые добавляли произвольный контент в свои руководства по политике конфиденциальности, теперь могут использовать еще больше HTML-элементов. В WordPress 5.4 дизайн руководства был обновлен – появились белые фоны для некоторых элементов. Теперь можно использовать таблицы, списки и другие популярные элементы. Неупорядоченные списки получили буллеты, чтобы их можно было отличить от абзацев.

Команда разработчиков исправила две проблемы с REST API. Во-первых, была исправлена проблема с проверкой прав доступа get_item. Во-вторых, была исправлена фильтрация _fields. Код ядра теперь использует функцию rest_is_field_included(), чтобы определить, для каких полей будет производиться фильтрация по вложенным свойствам.

Источник: wptavern.com

Понравилась статья? Поделиться с друзьями:
Добавить комментарий

Получать новые комментарии по электронной почте. Вы можете подписаться без комментирования.