Jetpack 9.8 został wydany w tym tygodniu, wprowadzając WordPress Stories jako główną funkcję aktualizacji. Blok Story, który pozwala użytkownikom tworzyć interaktywne historie, był wcześniej dostępny tylko na urządzeniach mobilnych. Stories trafiły do publicznej bety na Androida w styczniu 2021 roku, a w marcu zostały oficjalnie udostępnione w aplikacjach mobilnych.

Wersja 9.8 zawiera również poprawkę bezpieczeństwa dla wszystkich stron korzystających z funkcji Carousel. Luka była ona na tyle poważna, że zespół Jetpacka współpracował z WordPress.org, aby wydać 78 poprawionych wersji wtyczki – wszystkie wersje Jetpacka od 2.0 w górę.

Strony nie korzystające z funkcji Carousel nie były podatne na atak, ale mogłyby stać się ich celem w przyszłości, gdyby funkcja ta została włączona i pozostawiona bez poprawek.

Rzadko, ale zdarza się, że WordPress.org wymusza aktualizację wszystkich podatnych na atak wersji danej wtyczki, zaskakując tych, którzy mają wyłączone autoaktualizację. Tak było i tym razem. Pojawiło się nawet kilka pytań do działu wsparcia Jetpack w stylu: dlaczego wtyczka zaktualizowała się sama skoro jest wyłączona automatyczna aktualizacja.

Członek zespołu Jetpack, Jeremy Herve, powiedział, że luka została ujawniona przez Hackerone, co pozwoliło im na pracę nad łatką. Kiedy była już gotowa, zespół Jetpack skontaktował się z zespołem ds. bezpieczeństwa WordPress.org, aby poinformować ich o luce, która ma wpływ na wiele wersji wtyczki.

Brandon Kraft opublikował wpis na blogu, który wyjaśnia różnice pomiędzy autouaktualnieniami a wymuszonymi aktualizacjami (zobacz). Zawiera on również informacje o tym, jak zablokować modyfikacje plików, jeśli nie chcesz otrzymywać żadnych wymuszonych aktualizacji w przyszłości. Wymuszone aktualizacje są jednak niezwykle rzadkie, Kraft naliczył ich trzy dla Jetpacka od 2013 roku.

W tym przypadku zespół Jetpacka podążył za oficjalnym procesem zgłaszania krytycznej luki do zespołów zajmujących się wtyczkami i bezpieczeństwem, które określają wpływ na użytkowników na podstawie ustalonych kryteriów. Użytkownicy, którzy otrzymali e-mail z powiadomieniem o automatycznej aktualizacji Jetpacka, pomimo tego, że w interfejsie użytkownika na pulpicie nawigacyjnym mają ustawione wyłączenie tej aktualizacji, powinni być świadomi, że te wymuszone aktualizacje mogą się pojawiać raz na jakiś czas w celach bezpieczeństwa.

Tony Perez, założyciel NOC i były CEO Sucuri, twierdzi, że wymuszanie aktualizacji bezpieczeństwa w ten sposób narusza intencje, jakie użytkownicy przypisują sobie używając UI automatycznych aktualizacji w WordPressie. Zwrócił uwagę na możliwość nadużyć, jeśli system stałby się podatny na działanie osób niepożądanych.

“Platforma podejmuje decyzję, która jest prawdopodobnie sprzeczna z intencjami administratora strony, kiedy wyraźnie mówi on, że nie chce, aby coś zostało zrobione. Mówiąc wprost, jest to nadużycie zaufania, które istnieje pomiędzy użytkownikiem WordPressa a Fundacją, która pomaga w utrzymaniu projektu. Moje stanowisko nie jest takie, że coś podobnego nie powinno w ogóle istnieć. To znacznie głębsza debata ideologiczna, ale chodzi o uszanowanie wyraźnej intencji administratorów stron.”

Tony Perez

Udostępnij

Bezpłatne informacje o nowościach JZS

Zapraszam Cię do grona Subskrybentów! Tysiące Czytelników już subskrybuje wiadomości z JZS.

W każdej chwili możesz zrezygnować z subskrypcji. Twój adres jest tu bezpieczny.

Zobacz również

Najlepsze motywy WordPress

3+ Najlepsze Darmowe Szablony WordPress

Określenie “szablon”, a ściślej “darmowy szablon” może się nie najlepiej kojarzyć. Mamy wrażenie, że jest to sztywno określony wygląd strony, z którym za wiele zrobić

Polecane Oferty LifeTime!

GetLead.page w ofercie lifetime
GetLead.page

Czat tekstowy, audio i wideo. Zwiększ sprzedaż dzięki lepszym interakcjom...

Meta Box Lifetime
Meta Box

Dodawaj własne rodzaje treści, pola i taksonomie do WordPressa.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *