این ماه در وردپرس: خلاصه ژانویه

جامعه وردپرس سال ۲۰۲۴ را با اشتیاق فراوان آغاز کرد، به خصوص با وردپرس ۶٫۵ در گوشه و کنار و سخنرانی اصلی State of the Word 2023.

گفتنی است، این هیجان مانع از هوشیاری جامعه وردپرس نمی شود. در واقع، ما یک به روز رسانی امنیتی برای هسته وردپرس داشتیم و تعداد زیادی افزونه محبوب مشکلات امنیتی را برطرف کردند. بیایید اخبار مهم وردپرس را از ژانویه جمع آوری کنیم!

به روز رسانی وردپرس ۶٫۴٫۳

در شروع سال، با انتشار وردپرس ۶٫۴٫۳ به‌روزرسانی امنیتی داشتیم. به روز رسانی شامل پنج رفع اشکال در هسته و ۱۶ رفع اشکال برای ویرایشگر بلوک است. مهمتر از همه، دو وصله امنیتی گنجانده شده است.

اولین وصله امنیتی مشکل را با a حل کرد دور زدن آپلود فایل PHP آسیب پذیری از طریق نصب کننده افزونه. این نقص امنیتی به کاربران ادمین اجازه می‌دهد تا فایل‌های PHP را با استفاده از آپلودکننده افزونه در نصب وردپرس آپلود کنند. در صورت لو رفتن اعتبار مدیریت، مهاجمان به راحتی می توانند بدافزار مبتنی بر PHP را از این تابع در سایت وردپرس آپلود کنند.

دومین وصله امنیتی به a اجرای کد از راه دور (RCE) آسیب پذیری از طریق برنامه نویسی ویژگی گرا (ترکیدن) زنجیر. این بدان معناست که شخصی که نباید دسترسی داشته باشد، می‌تواند در طی یک مرحله خاص از مدیریت داده‌ها، دستورات مضر را مخفیانه دریافت کند. این اقدامات ناخواسته می تواند شامل افزودن یا حذف محتوا، تغییر اطلاعات کاربر یا حتی کنترل کامل وب سایت باشد.

هر دو آسیب پذیری تنها در صورتی قابل سوء استفاده هستند که مهاجم دارای امتیاز مدیر باشد، که آنها را به یک تهدید کم تبدیل می کند. با این حال، در صورتی که یک فرد غیرمجاز به یک کاربر مدیر دسترسی پیدا کند، می توان یک حمله موفقیت آمیز را راه اندازی کرد.

برای پیش‌بینی حملات به وب‌سایت‌هایی با نسخه‌های قدیمی‌تر، تیم وردپرس این به‌روزرسانی‌ها را برای نسخه‌های قدیمی‌تر، تا نسخه پایین‌تر نیز اعمال کرد. ۴٫۱.

اگر به‌روزرسانی‌های خودکار را برای نسخه‌های جزئی فعال کنید، این به‌روزرسانی وردپرس باید به‌طور خودکار نصب شود. اگر مطمئن نیستید، راهنمای ما را در مورد نحوه بررسی نسخه وردپرس بخوانید و مطمئن شوید که اگر هنوز از نسخه قدیمی استفاده می کنید، سایت وردپرس خود را فوراً به روز کنید.

اکتشافات مهم آسیب پذیری پلاگین

نرم افزار اصلی وردپرس تنها نرم افزاری نیست که در ژانویه اصلاحات امنیتی دریافت می کند. بر اساس پایگاه داده Patchstack، آسیب پذیری های زیادی در افزونه های محبوب شناسایی شد. ما برخی از آسیب پذیری های قابل توجه را با شدت بالا فهرست کرده ایم. اگر از هر یک از این افزونه ها استفاده می کنید، حتما به آخرین نسخه به روز رسانی کنید.

موتور هوش مصنوعی

افزونه AI ​​Engine، یکی از پیشگامان افزونه های هوش مصنوعی وردپرس، در نسخه های قبل از ۱٫۹٫۹۸ یک نقص مهم داشت. این نقص به مهاجمان اجازه می‌داد تا هر فایلی را که می‌خواهند در سرور وب‌سایت آپلود کنند، مانند بدافزار، تا به وب‌سایت شما آسیب بزنند یا کنترل آن را در دست بگیرند.

به روز رسانی به نسخه ۱٫۹٫۹۹ این حفره امنیتی را می بندد و از وب سایت شما در برابر آپلودهای مخرب محافظت می کند.

جستجوی بهتر جایگزین کنید

افزونه Better Search Replace یک نقص امنیتی در نسخه های ۱٫۴٫۴ و پایین تر داشت، جایی که مهاجمان می توانستند اشیاء مضر PHP را تزریق کنند.

این می تواند منجر به مشکلات جدی مانند تزریق SQL شود، جایی که مهاجمان می توانند پایگاه داده وب سایت شما را دستکاری کنند، و اجرای کد دلخواه، جایی که می توانند هر کدی را که انتخاب می کنند در سایت شما اجرا کنند. اگر این اتفاق بیفتد، سایت شما می تواند در برابر تغییرات غیرمجاز، سرقت داده ها یا حتی تصاحب کامل آسیب پذیر باشد.

به روز رسانی به نسخه ۱٫۴٫۵ این آسیب پذیری را برطرف می کند و سایت شما را ایمن نگه می دارد.

LearnPress

LearnPress، افزونه ای پرکاربرد برای ایجاد دوره های آنلاین، در نسخه های ۴٫۲٫۵٫۷ و پایین تر مشکل امنیتی داشت. این مشکل این امکان را برای مهاجمان فراهم کرد که تزریق SQL و اجرای کد از راه دور را برای دسترسی به اطلاعات حساس در پایگاه داده وب سایت و اجرای کدهای مضر مستقیماً در سایت شما انجام دهند.

نگران‌کننده است که Patchstack تلاش‌هایی را برای بهره‌برداری در این مورد گزارش کرده است، بنابراین به شدت توصیه می‌شود LearnPress را به نسخه به‌روزرسانی کنید. ۴٫۲٫۵٫۸.

گالری عکس

افزونه Photo Gallery یک نقص امنیتی داشت که به عنوان مشکل پیمایش دایرکتوری شناخته می شود. این به مهاجمان اجازه می‌دهد تا فایل‌های موجود در فهرستی را در وب‌سایت شما بررسی کنند و بررسی کنند که آیا فایل‌ها یا پوشه‌های خاصی در آنجا هستند یا خیر.

اگرچه ممکن است این یک خطر فوری به نظر نرسد، اما می تواند به مهاجمان سرنخ هایی در مورد آسیب پذیری های دیگر در سایت وردپرس شما بدهد. با سوء استفاده از این آسیب پذیری ها، آنها می توانند حملات جدی تری را انجام دهند.

مهم است که افزونه را به نسخه به روز کنید ۱٫۸٫۲۰ برای حفظ امنیت کلی سایت خود

تست اولیه برای وردپرس ۶٫۵

اولین نسخه بتا وردپرس ۶٫۵ برای انتشار در ۱۳ فوریه ۲۰۲۴ برنامه ریزی شده است. شما می توانید برخی از ویژگی های آینده را در ویرایشگر بلوک امتحان کنید.

وردپرس ۶٫۵ برنامه ریزی شده است تا ویژگی هایی را از نسخه های گوتنبرگ تا نسخه ۱۷٫۶ بگیرد. به سادگی افزونه گوتنبرگ را با آخرین نسخه نصب کنید و شروع به بررسی ویژگی های جدید کنید.

آن مک کارتی، یکی از همکاران اصلی قدیمی، پست جامعی را منتشر کرد که ویژگی‌هایی را فهرست می‌کند که آماده آزمایش هستند. در اینجا مهمترین نکات برجسته است:

• الگو لغو می شود – امکان تغییر محتوای یک الگوی همگام‌سازی شده به طور خاص در هر پست یا صفحه. به این ترتیب، می‌توانید از الگوهای همگام‌سازی‌شده برای اطمینان از سازگاری طراحی استفاده کنید و در عین حال متن درون آن‌ها را برای زمینه‌های مختلف تنظیم کنید.

• فیلتر داده در ویرایشگر سایت – در حالی که این مورد در حال حاضر تحت برچسب آزمایشی در افزونه گوتنبرگ است، نمای داده جدید به شما امکان می دهد قالب ها، قطعات قالب و الگوها را بر اساس چندین متغیر فیلتر و مرتب کنید. این زمانی مفید است که با یک کتابخانه بزرگ از الگوها سر و کار دارید.

• کتابخانه فونت – رابط جدید به شما امکان می دهد فونت های سفارشی را آپلود کنید و به فونت های گوگل متصل شوید. بنابراین، می‌توانید گزینه‌های تایپوگرافی سایت را فراتر از آنچه در موضوع فعلی گنجانده شده است گسترش دهید.

تست وردپرس ۶٫۵ قبل از انتشار رسمی آن می تواند فوق العاده مفید باشد. این به شما امکان می دهد هر گونه مشکلی مانند اشکالات یا درگیری با موضوع خود را از قبل شناسایی و حل کنید. این رویکرد پیشگیرانه تضمین می کند که سایت شما زمانی که نسخه جدید منتشر می شود، صاف و کاربردی باقی می ماند.

همچنین می‌توانید هر گونه اشکالی را گزارش کنید یا بهبودهایی را به تیم گوتنبرگ در مخزن GitHub آنها پیشنهاد دهید و به پایدارتر و کاربرپسندتر شدن نسخه نهایی کمک کنید. بازخورد شما نه تنها به افزایش کیفیت کلی به روز رسانی کمک می کند – بلکه تجربه بهتری را برای کل جامعه وردپرس تضمین می کند.

با وبلاگ ما همراه باشید زیرا پیش نمایش کامل وردپرس ۶٫۵ را منتشر خواهیم کرد.

آنچه در فوریه می آید

در این ماه، شاهد چرخه انتشار وردپرس دیگری خواهیم بود که با راه اندازی اولین نسخه بتا آغاز می شود. می توانید نقشه راه کامل را بخوانید تا ببینید در نسخه جدید چه انتظاراتی دارید. در اینجا نگاهی به چند مورد جالب می اندازیم:

• ابزارهای ظاهری، بخشی از ابزارهای سفارشی سازی برای ویرایشگر بلوک و تم های بلوک، برای تم های کلاسیک در دسترس خواهند بود.
• دسترسی جدید به پنل مدیریت الگو برای تم های کلاسیک به داشبورد اضافه می شود تا تجربه کاربران را بهبود بخشد.
• اصلاح API تعاملی برای تعاملی تر و سرگرم کننده تر وب سایت ها بدون کاهش سرعت آنها یا پیچیده کردن آنها برای استفاده.

ما شما را تشویق می‌کنیم پس از در دسترس قرار گرفتن نسخه بتا را آزمایش کنید تا بتوانید ویژگی‌های جدید را امتحان کنید و مشکلات آن را گزارش کنید.

نویسنده

لئوناردوس نوگراها

لئو یک متخصص محتوا و مشارکت کننده وردپرس است. او که با تجربه‌اش به‌عنوان رهبر نسخه‌های وردپرس و نماینده تیم مستندسازی مسلح است، دوست دارد دانش خود را برای کمک به مردم در ایجاد وب‌سایت‌های موفق به اشتراک بگذارد. او را در لینکدین دنبال کنید.