Krátké shrnutí toho nejdůležitějšího ze světa WordPressu bohatě doplněné o odkazy na podrobnější zdroje (povětšinou anglicky).
WordPress
27. května WP oslavil už 18. Narozeniny a připravil k tomu (trochu nepřehlednou) časovou osu plnou milníků.
Pomalu se začíná plnit Pattern directory – sbírka kombinací bloků, které můžete použít ve své šabloně, funguje celkem dobře v WP defaultních šablonách, jinde se může výsledek poněkud lišit.
WordPress 5.8 (release 20. července)
Součástí bude theme.json (konečně!). Přehledně se o něm víc se o něm dozvíte v článku of Andre Maneiro na blogu WP, specifikace naleznete v handbooku, a v neposlední řadě ho můžete vyzkoušet v dalším call for testing (do 14. července).
Pokud chcete zkoušet Full Site Editing a pohrát si s nastavením výše, můžete k tomu použít sbírku experimentálních šablon v repozitáři na Githubu.
Nový release také přinese podporu WebP – zatím ho budete moci nahrát, ale v plánu je i automatická konverze při tvorbě řezů používaných na webu. Také bude našeptávat vzory bloků podle kontextu a zlepší práci s obsahem v editoru (List view).
Akce
Proběhl WordCamp Europe – záznamy najdete na Youtube. Pokud se chcete dozvědět to nejdůležitější, tak doporučuji článek od Nicka Schäferhoffa na Torque. Vyšel call for organizers pro další ročník a když to klapne, tak se tentokrát uvidíme naživo v portugalském Portu 2.–4. června 2022.
Příští WP pivo nás čeká až v září – asi zase online a když bude covidová situace příznivá, tak možná i s offline pivem den před nebo po.
21.–23. září se také chystá offlinové Webexpo – dneska ještě lístky se slevou.
Rychlé tipy a postřehy
- Nový page builder se stylem ala Webflow na obzoru – Bricks
- Delicious Brains koupili od Elliot Condona ACF – oficiální prohlášení od DB, shrnutí od Elliota, lifetime licencí se změna podle Brada Touesnarda netýká
- Oblíbené vývojové prostředí Local, které nedávno koupil WP Engine, nabídne PRO (placenou) verzi všem uživatelům zdarma – MagicSync, Live Links a další
- Google Page Speed – shrnutí současného stavu a Lighthouse 8 na Vzhůru dolů (Martin Michálek)
Bezpečnostní okénko
- Největší zájem i českých médií vzbudil neošetřený upload v pluginu Fancy Product Designer (na českém internetu ho používá kolem 20 webů)
- Zásadnější dopady má kritická chyba v pluginu ProfilePress (dříve WP User Avatar), která umožňuje registraci admin uživatele
- V pluginu WooCommerce Stock Manager bylo kvůli CSRF možné donutit uploadovat administrátora do webu útočníkův PHP soubor.
- Další CSRF se objevilo v WP Fluent Forms
- Závažná chyba Phar deserialization vedoucí k možnému spuštění kódu byla objevena v CiviCRM
- Dalším typem chyby je SQL injection, ta se objevila v pluginech Pools Widget a FileBird
- V pluginu WP SVG Images filtrujícím možné XSS v nahraných SVG souborech se podařilo najít způsob, jak tuto ochranu obejít.
- Chyba typu OpenRedirect se nalezla v pluginu pro diskuzní fórum WPforo Forum
- V oblíbeném pluginu WordPress Popular Posts se objevila chyba umožňující autentifikovanému uživateli spustit libovolný kód
- V pluginu Kiwi Social Sharing byl možný neautentifikovný přístup k wp_options pro čtení i zápis
- V prémiových šablonách z Themeforest Motor a Muza bylo možné provést local file inclusion (LFI).
Co v poslední době zaujalo vás? Pište do komentářů.
