Novinky ze světa WP – červen

Krátké shrnutí toho nejdůležitějšího ze světa WordPressu bohatě doplněné o odkazy na podrobnější zdroje (povětšinou anglicky).

WordPress 

27. května WP oslavil už 18. Narozeniny a připravil k tomu (trochu nepřehlednou) časovou osu plnou milníků.

Pomalu se začíná plnit Pattern directory – sbírka kombinací bloků, které můžete použít ve své šabloně, funguje celkem dobře v WP defaultních šablonách, jinde se může výsledek poněkud lišit.

WordPress 5.8 (release 20. července)

Součástí bude theme.json (konečně!). Přehledně se o něm víc se o něm dozvíte v článku of Andre Maneiro na blogu WP, specifikace naleznete v handbooku, a v neposlední řadě ho můžete vyzkoušet v dalším call for testing (do 14. července).

Pokud chcete zkoušet Full Site Editing a pohrát si s nastavením výše, můžete k tomu použít sbírku experimentálních šablon v repozitáři na Githubu.

Nový release také přinese podporu WebP – zatím ho budete moci nahrát, ale v plánu je i automatická konverze při tvorbě řezů používaných na webu. Také bude našeptávat vzory bloků podle kontextu a zlepší práci s obsahem v editoru (List view).

Akce

Proběhl WordCamp Europe – záznamy najdete na Youtube. Pokud se chcete dozvědět to nejdůležitější, tak doporučuji článek od Nicka Schäferhoffa na Torque. Vyšel call for organizers pro další ročník a když to klapne, tak se tentokrát uvidíme naživo v portugalském Portu 2.–4. června 2022. 

Příští WP pivo nás čeká až v září – asi zase online a když bude covidová situace příznivá, tak možná i s offline pivem den před nebo po. 

21.–23. září se také chystá offlinové Webexpo – dneska ještě lístky se slevou.

Rychlé tipy a postřehy

Bezpečnostní okénko

  • Největší zájem i českých médií vzbudil neošetřený upload v pluginu Fancy Product Designer (na českém internetu ho používá kolem 20 webů) 
  • Zásadnější dopady má kritická chyba v pluginu ProfilePress (dříve WP User Avatar), která umožňuje registraci admin uživatele 
  • V pluginu WooCommerce Stock Manager bylo kvůli CSRF možné donutit uploadovat administrátora do webu útočníkův PHP soubor. 
  • Další CSRF se objevilo v WP Fluent Forms 
  • Závažná chyba Phar deserialization vedoucí k možnému spuštění kódu byla objevena v CiviCRM  
  • Dalším typem chyby je SQL injection, ta se objevila v pluginech Pools WidgetFileBird 
  • V pluginu WP SVG Images filtrujícím možné XSS v nahraných SVG souborech se podařilo najít způsob, jak tuto ochranu obejít. 
  • Chyba typu OpenRedirect se nalezla v pluginu pro diskuzní fórum WPforo Forum 
  • V oblíbeném pluginu WordPress Popular Posts se objevila chyba umožňující autentifikovanému uživateli spustit libovolný kód 
  • V pluginu Kiwi Social Sharing byl možný neautentifikovný přístup k wp_options pro čtení i zápis 
  • V prémiových šablonách z Themeforest Motor a Muza bylo možné provést local file inclusion (LFI).

Co v poslední době zaujalo vás? Pište do komentářů.

Líbil se Vám příspěvek a rádi byste podpořili WordPress - hlavně lidi okolo něho?
Sdílejte ho s přáteli.
Případně nám napište komentář.
Článek pro vás připravila: Karolína Vyskočilová

wordpressová vývojářka a konzultantka na volné noze, organizátorka WordCamp Praha a pražských srazů Náš WP.
Projekty: blog, pluginy ve WP repozitáři,

Leave a Reply

Tato stránka používá Akismet k omezení spamu. Podívejte se, jak vaše data z komentářů zpracováváme..