Sớm hơn dự kiến, đội ngũ phát triển WordPress Core đã âm thầm cho ra mắt bản WordPress 6.2.2 fix lỗi Shortcode Broken trên Block Template ở bản 6.2.1, nếu bạn không để chế độ update tự động cho WordPress thì nên vào update ngay.
Nhắc lại một xíu về lỗi bất ngờ của phiên bản trước đó:
Về WordPress 6.2.1 Shortcode Broken
Như đã thông tin trước đó, Automattic vừa ra mắt phiên bản nâng cấp hiệu năng & bảo mật WordPress 6.2.1, với trọng điểm là vá 5 lỗ hổng bảo mật nguy hiểm vừa được phát hiện.
Tuy nhiên, người dùng chưa kịp vui mừng đã phải hoang mang vì bản update này khiến toàn bộ shortcode trên block template bị broken, không hoạt động được như bình thường.
Vấn đề này bắt nguồn từ việc đội ngũ phát triển WordPress Core thực hiện vá lỗ hổng đầu tiên trong 5 lỗ hổng nói trên, cụ thể là:
- Block themes parsing shortcodes in user generated data: chặn phân tích shortcode trong dữ liệu tạo ra bởi người dùng.
- A CSRF issue updating attachment thumbnails: lỗ hổng liên quan đến hình thức tấn công CSRF khi cập nhật ảnh thumbnail cho files.
- A flaw allowing XSS via open embed auto discovery: lỗ hổng loại XSS liên quan đến tính năng embed trên WordPress Core.
- Bypassing of KSES sanitization in block attributes for low privileged users: lỗ hổng bỏ qua việc chuẩn hóa/ xác thực dữ liệu KSES đối với người dùng cấp thấp.
- A path traversal issue via translation files: sự cố liên quan đến đường dẫn các file dịch cho tính năng đa ngôn ngữ.
Thay vì chỉ xử lý phân tích shortcode (parsing shortcode) từ user generated data, các nhà phát triển WP Core xử lý luôn toàn bộ shortcode trên block template.
Ai bị ảnh hưởng bởi lỗi shortcode – broken?
Lỗi này tưởng là nhỏ, nhưng tác động của nó thực ra rất lớn do đến nay đã có hàng triệu website sử dụng các theme support Full Site Editing, và rất nhiều trong số đó bật tính năng tự động update mã nguồn WordPress.
Nên, có thể rất nhiều website đã bị mất nội dung shortcode, vỡ thiết kế khi tự động update lên WordPress 6.2.1, trong khi chủ sở hữu hoặc quản trị viên vẫn chưa hề hay biết.
Nói về shortcode, thì người dùng WordPress đã quá quen thuộc với việc sử dụng shortcode của các plugin để chèn nội dung hiển thị vào trang web, thường gặp như shortcode chèn Contact Form/ Subscribe Form của CF7 hay WPForms,…
Khi shortcode broken, các nội dung của shortcode không hiển thị được nơi có shortcode khiến trang web thiếu nội dung, thậm chí bị vỡ thiết kế.
Thời điểm xử lý lỗi này vẫn chưa được xác định, theo nhà phát triển WP Core Jb Audras – người vừa có công tìm ra 5 lỗ hổng bảo mật và giúp vá lỗi trong phiên bản WordPress 6.2.1 vừa rồi ( (nay là tội đồ) ).
Chúng ta cần phải chờ đến phiên bản WordPress 6.2.2 để fix được vấn đề này, trong khi đó, nếu bạn dùng các theme có hỗ trợ Full Site Editing (FSE) và có sử dụng shortcode trong block template, thì hãy kiểm tra xem có bị gì bất thường trong nội dung và thiết kế không.
Nếu web bạn gặp lỗi shortcode-broken, thì hãy tạm rollback WordPress về phiên bản trước đó là WordPress 6.2.0, trong khi chờ mấy ông tướng trong đội ngũ WP Core Develepers khắc phục hậu quả do sự bất cẩn của mình.
Và đặc biệt lưu ý, vì phiên bản WordPress 6.2.0 trở về trước có 5 lỗ hổng bảo mật vừa mới được công khai, nên nếu bạn rollback lại WP 6.2.0 thì cần phải tăng cường các biện pháp bảo mật nếu chưa có, nhanh nhất là cài đặt và cấu hình bảo mật ngay bằng các plugin uy tín như iThemes Security hay WordFence.
Ai cần rollback về WordPress 6.2.0?
Vì sự cố WordPress 6.2.1 lỗi shortcode broken chỉ xảy ra với shortcode trên block template nên vấn đề này chỉ ảnh hưởng tới những website có dùng theme support Full Site Editing và hỗ trợ thiết kế template trên Gutenberg Block Editor.
Nếu website của bạn không dùng shortcode hoặc dùng shortcode nhưng không phải trên Block Template Full Site Editing, thì có thể yên tâm sử dụng WordPress 6.2.1.
Lỗi ác nhơn thiệt.