Novinky ze světa WP – listopad

Krátké shrnutí toho nejdůležitějšího ze světa WordPressu bohatě doplněné o odkazy na podrobnější zdroje (povětšinou anglicky).

WordPress 

WordPress 5.9 odložen na leden (předběžně na 25. ledna), kvůli nedořešeným problémům v integraci FSE (Full Site Editing). Přispěvatelé se vyděsili, kolik zásadních bodů není hotovo a stále má spoustu nevyřešených problémů. Jedná se o Styles, Block theme flows, Navigation Block a další, které musí být spuštěny dohromady. 

Snaha stihnout termín by nevedla mezi samotnými přispěvateli k důvěře, že jsou jednotlivé feature dobře udělané, natož mezi “běžnými” uživateli. A také je množství přispěvatelů do jádra poslední rok nižší a nikdo by nechtěl, aby ti současní kvůli tvrdému termínu vyhořeli.

Kromě toho, WP tavern shrnuje výzkum Adama Silversteina nad novým Core Web Vitals technology reportem poukazující na překvapivou věc, že čím novější verze WP na stránkách byla, tím bylo skóre nižší. Jedním z jasných viníku je agresivní lazy loading používaný i tam, kde nemá (měl by být vyřešeno v 5.9). Dobrá zpráva je, že Silverstain nyní vede nový tým (proposal zde) sponzorovaný Googlem, který by se měl právě výkonem webů zabývat.

A taky je tu každoroční anketa na WordPress 2021 survey.

Akce

Vánoční online meetup zaměřený na přístupnost chystají Frontendisti na 10. prosince. Přednášet o ní nebude nikdo jiný než Roman Kabelka, kterého znáte z WordCampu Praha 2021 (přednáška je i online), a Lukáš Pazderka ze Seznamu.

14. prosince proběhne tradiční shrnutí stavu WordPressu – State of the Word 2021.

S kolegy stále pracujeme na WordCamp Praha 2022 (sobota 26. února), organizátory už jsme doplnili, ale stále hledáme sponzory a řečníky, takže budeme jen rádi, pokud se přidáte.

Další WP pivo nás po prosincové pauze čeká až v lednu. První řečník už je potvrzený, a to Jan Polzer. Ukáže, jak vytěžit ze světa “velkých” CMS maximum, a jako znalec WordPressu i Drupalu nám představí silné stránky obou redakčních systémů.

Rychlé tipy a postřehy

• Nová aktualizace ACF a ACF Pro na verzi 5.11 přinesla nečekanou potíž developerům, které využívají funkce get_field() a the field() ještě před inicializací ACF. V předchozích verzích umožňovala získat i hodnoty z WP (options a post meta). Nová aktualizace tuto potenciálně bezpečnostní díru opravila, ale mnohé weby přestaly fungovat. Od verze 5.11.1 už vám v administraci bude svítit upozornění, pokud vaše šablona funkce příliš brzy používá.
• Automattic koupil WPScan
• Jak vypadaly slavné stránky na WP před deseti lety a teď (Daniel Adamo)
• Zaměřeno na rychlost
  • Page experience bude ovlivňovat od února výsledky ve vyhledávání Googlu na desktopu
  • Lighthouse 9 – redesign

Pro vývojáře

• ACF 5.11 – přidáno REST API a možnost uložit kód od pro licence v konstantě
• Cache ve WP (Konstantin Kovshenin)
• Nová aplikace Plugin Machine od Joshe Pollocka (autora Caldera Forms), pomůže s vývojem a deploymentem pluginu – přidá UI, které vám pomůže jednoduše nakonfigurovat to, co k vývoji potrebujete
• Jak uvažovat o tvorbě vlastního bloku? Celý proces nad “odkazem na článek” používaný v newsletteru WP Owls – reusable block, block pattern, tvorba vlastního bloku, přidání stylů a variant
• Block based child themes – nový plugin od Automatticu, který vám umožní si nakonfigurovat šablonu s FSE, vyexportovat a vytvořit z toho Child theme. Článek z pohledu Justina Tadlocka a s praktickou ukázkou Bena Dwyera
• Theme.json – k čemu je to dobré? (Ellen Bauer)
• Kompletní schéma pro theme.json a block.json + návod jak ho přidat pro našeptávání ve svém editoru od Davida Gwyera
• Statický analyzátor kódu PHPStan ve verzi 1.0
• VSCode je nejenom implementovaný do Githubu (spustíte přes znak tečka), ale spustili i online verzi (insiders preview najdete zde)
• Lighthouse 9
  • Google Canary, Chrome 98, PageSpeed Insights
  • Redesign PSI – co je nového?
  • Nové – Lighthouse Flows – průchody stránek v souvislostch (již načtená cache, Service Worker apod.)

Bezpečnostní okénko

• Hostingovým světem v listopadu zřejmě nejvíce zarezonoval problém globálního hostingu GoDaddy. Ukázalo se, že bezpečně neukládal hesla k FTP managovaných WP instancí. Útočníci se tak zmocnili hesel k více než milionu WP webů a mohli je více než 2 měsíce zneužívat. https://www.wordfence.com/blog/2021/11/godaddy-breach-plaintext-passwords/
• Plugin WP DSGVO Tools (GDPR), který se snaží řešit GDPR a Cookies agendu obsahuje funkci, která dovoluje odstranit data zaznamenaná o uživateli. Vinou nevhodného ověření práv tak tuto funkci mohl bez autentizace využívat kdokoliv a odstranit libovolný obsah z webu. https://www.wordfence.com/blog/2021/11/vulnerability-in-wp-dsgvo-tools-gdpr-plugin-allows-unauthenticated-page-deletion/
• Plugin pro přihlašování pomocí Microsoft 365 účtu obsahoval stored XSS a bylo tak možné do administrace WP nastražit javascript, který se spustil po přihlášení. https://appcheck-ng.com/wordpress-microsoft-office-365-azure-ad-login-persistent-cross-site-scripting/
• Plugin WCFM Marketplace pro Woocommerce obsahoval chybu SQLi umožňující vyčítat libovolná data z databáze. https://wpscan.com/vulnerability/763c08a0-4b2b-4487-b91c-be6cc2b9322e
• Další SQLi obsahoval plugin Stop Bad Bots, který by měl bránit přístupu škodlivých borů na web. Bohužel v něm bylo špatně ošetřené uložení User-Agent do databáze, což vedlo k SQL injekci. https://wpscan.com/vulnerability/1e4dd002-6c96-44f9-bd55-61359265f7ae
• Doplněk Directorist obsahoval chybu, která umožňovala útočníkům nahrát na web vlastní soubory. Toto bylo zneužito na falešné ransomware upozornění se žádostí o výkupné. Weby sice ve skutečnosti zašifrované nebyly, nicméně chyba rozhodně měla potenciál k reálnému útoku. https://blog.sucuri.net/2021/11/fake-ransomware-infection-spooks-website-owners.html

Viz v CZ: https://www.zive.cz/clanky/ransomware-utoci-na-weby-s-redakcnim-systemem-wordpress-a-pozaduje-vykupne/sc-3-a-213444/default.aspx 

• V pluginu Starter Templates — Elementor, Gutenberg & Beaver Builder Templates od tvůrců populární šablony Astra, byla bezpečnostní chyba umožňující uživateli s nejnižším oprávněním kompletně upravovat obsah webu. https://www.wordfence.com/blog/2021/11/over-1-million-sites-impacted-by-vulnerability-in-starter-templates-plugin/
• V pluginu WP Reset mohl jakýkoliv přihlášený uživatel smazat celý web. https://patchstack.com/wp-reset-pro-critical-vulnerability-fixed/
• Plugin Easy Registration Form byl odstraněn z WP repozitáře po neopravení několika závažných bezpečnostních chyb. https://www.wordfence.com/vulnerability-advisories/#CVE-2021-39353
• Zmínit samozřejmě musíme i problém ve velmi oblíbeném pluginu OptinMonster z konce minulého měsíce. Kvůli nechráněným REST API endpointům mohlo dojít od získání citlivých informací až po vložení škodlivého javascriptu do kampaní. https://www.wordfence.com/blog/2021/10/1000000-sites-affected-by-optinmonster-vulnerabilities/

Co v poslední době zaujalo vás? Organizujete nějakou akci? Pište do komentářů.