WordPress 5.4.1, выпуск безопасности и обслуживания, вышел сегодня. Релиз решает семь проблем безопасности, о которых мы ответственно сообщили команде безопасности WordPress. Основные разработчики также включили несколько исправлений для регрессии кода в выпуск предыдущей версии 5.4 и перенесли исправления ошибок в редактор блоков из подключаемого модуля Gutenberg.
Конечные пользователи, у которых включено автоматическое обновление, вскоре должны увидеть обновления своих сайтов. Другим пользователям следует выполнить обновление как можно скорее, чтобы убедиться, что они используют версию WordPress с последними исправлениями безопасности.
Команда поддержки WordPress опубликовала полную документацию по выпуску для тех, кто хочет ее просмотреть.
Исправления безопасности были добавлены во все основные версии WordPress с 5.4 до 3.7. Были устранены следующие уязвимости:
- Жетоны сброса пароля не были корректно признаны недействительными.
- Некоторые личные сообщения можно было просматривать без аутентификации.
- Две уязвимости межсайтового скриптинга (XSS) в настройщике.
- Проблема XSS в блоке поиска.
- Проблема XSS в кэше объектов WordPress.
- Проблема XSS с загрузкой файлов.
- Проблема XSS в редакторе блоков для WordPress 5.4 Release Candidates 1 и 2 (исправлена в 5.4 RC5).
Обновления редактора блоков
Несколько исправлений были достаточно высокоприоритетными из плагина Gutenberg для переноса на выпуск WordPress 5.4.1. Самыми большими проблемами, с которыми сталкивался пользователь, были сочетание клавиш для дублирования сломанных блоков, смещенные блоки кнопок и странное поведение при прокрутке при попытке редактирования текста в длинном блоке.
Ниже приводится полный список проблем, которые решила команда разработчиков:
- Исправлено сочетание клавиш
Ctrl+Shift+Dдля дублирования блока, которое больше не вызывает ошибку. - Добавляет правильные поля при выравнивании блока кнопок влево или вправо.
- Предотвращает прокрутку редактора вверх при нажатии для редактирования большого блока, например длинного списка.
- Больше не скрывает панель инструментов для плагинов, которые имеют текстовый ввод на панели инструментов.
- Останавливает сбой JavaScript с блоком последних сообщений, когда изображение имеет недостающие размеры.
- Экранирует HTML-класс для блоков RSS и поиска, чтобы предотвратить искаженную разметку.
Чтобы подробно изучить изменения кода в редакторе блоков, просмотрите полный список заявок .
Другие основные изменения WordPress
Пользователи, которые запускают свои браузеры в темном режиме, могут порадоваться, если они также используют основной значок WordPress. Команда представила обновленный значок со светлым фоном, чтобы он больше не размывался. Это незначительное исправление, но оно делает знаменитый логотип WordPress более профессиональным.
Уровень заголовка, который ранее был установлен на <h3>, был увеличен на один уровень на экране свобод администратора WordPress ( wp-admin/freedoms.php). Это изменение обеспечивает правильный уровень заголовка и должно помочь читающим с экрана пользователям лучше ориентироваться на странице.
Для пользователей браузеров Edge или iOS Safari, которые не могли выбирать файлы в медиатеке , это было связано с проблемой CSS, которая скрывала ввод. Это больше не должно быть проблемой в новом обновлении.
WordPress 5.4.1 исправил некоторые недостатки предыдущей версии. Один вращается вокруг публикации по электронной почте, когда заголовок сообщения не был добавлен. В этом сценарии тема электронного письма должна была использоваться в качестве заголовка , но это было нарушено изменением кода в WordPress 5.4. Для разработчиков хуки фильтров category_linkи ранее tag_linkбыли ошибочно признаны устаревшими, и теперь их снова можно использовать без предупреждения.
Разработчики плагинов ожидают исправления нескольких ошибок. WP_Site_HealthОбъект теперь экземпляр после plugins_loadedи after_setup_themeкрючков, что означает , что они могут выполнять необходимые действия до того , как состояние сайта проверяются . Устаревшая wp_get_user_request_data()функция теперь правильно загружается во внешнем интерфейсе , что вызывало ошибки с такими плагинами, как BuddyPress.
В более крупном изменении дизайна авторы плагинов, добавляющие настраиваемый контент в руководство по политике конфиденциальности, могут использовать больше элементов HTML. В WordPress 5.4 дизайн руководства был обновлен: за предлагаемым текстом добавлен белый фон. Однако новый код применяется только к абзацам. Теперь дизайн поддерживает таблицы, списки и другие часто используемые элементы. Неупорядоченные списки также имеют маркеры, чтобы отличать их от абзацев.
Команда разработчиков исправила две проблемы с REST API. Первым исправили проблему с get_itemпроверкой разрешений. Второй исправил _fieldsфильтрацию. Основной код теперь использует rest_is_field_included()функцию, чтобы определить, какие поля включить, чтобы разрешить фильтрацию по свойствам вложенных полей.
