WordPress 5.6是2020年計劃的最終主要發布版本,於2020年12月8日發布,它包括一些主要功能和更新,以及大量的次要增強功能和錯誤修復。一些更改對安全性和兼容性具有直接影響,我們在本文中已針對WordPress用戶進行了重點介紹。
應用程序密碼會增加功能並帶來風險
WordPress 5.6將具有一項新功能,該功能允許外部應用程序請求連接到站點的許可權並生成特定於該應用程序的密碼。授予應用程序訪問許可權後,它可以通過WordPress REST API代表用戶執行操作。
不幸的是,對網站管理員進行社會工程設計以向惡意應用程序授予應用程序密碼是微不足道的。攻擊者可能會誘騙站點所有者單擊請求應用程序密碼的鏈接,並根據需要命名其惡意應用程序:
更糟糕的是,設置了應用程序密碼請求URL,以通過重定向URL將新生成的密碼發送到請求者的站點。由於應用程序密碼在生成密碼的用戶的許可權下起作用,因此攻擊者可以使用它來控制網站。我們演示了攻擊者如何通過Wordfence Live上的應用程序密碼來使用社會工程學攻擊。
因此,默認情況下,Wordfence的最新版本7.4.14禁用應用程序密碼。如果您有應用程序密碼的特定用例,並且想重新啟用應用程序密碼,則可以在Wordfence-> Firewall-> Manage Brute Force Protection下執行以下操作:
儘管存在風險,但將來應用程序密碼可能會提供一些實用程序。如何使用它們的一些示例包括從其他界面將帖子發布到WordPress網站,訪問或更新WordPress資料庫中的數據,甚至創建用戶。
從表面上看,此功能類似於XML-RPC,但是REST API提供了明顯更廣泛的功能。此外,應用程序密碼是安全生成的,長度為24個字元,因此暴力破解和憑據填充攻擊不太可能成功。
如果您決定使用應用程序密碼,我們強烈建議設置一個具有最小許可權的用戶,理想情況下,僅針對您要連接的應用程序僅具有必要的功能。
jQuery更新繼續
2020年8月發布的WordPress 5.5刪除了jQuery Migrate腳本。這導致許多使用依賴舊版本jQuery的插件的網站出現問題。
如果您的網站受到影響,並且您當前正在使用Enable jQuery Migrate Helper插件來解決這些問題,那麼在更新到WordPress 5.6之前,您需要確保沒有它的網站也能正常工作。
這是因為WordPress 5.6將更新到最新版本的jQuery並添加了jQuery Migrate 3.3.2,這可能與Enable jQuery Migrate Helper插件(即jQuery Migrate 1.4.1)重新啟用的版本衝突。
WordPress幾年來一直在使用jQuery庫的過時版本。
WordPress 5.6是3步計劃的第2步,旨在使WordPress升級到最新版本的jQuery。該計劃是:
- WordPress 5.5:刪除jQuery Migrate 1.x腳本。(2020年8月)
- WordPress 5.6:更新到最新的jQuery,jQuery UI和jQuery Migrate腳本。(2020年12月)
- WordPress 5.7:刪除jQuery Migrate腳本。(2021年3月)
由於這個時間表,jQuery兼容性實際上比PHP 8.0兼容性迫切得多。插件和主題開發人員應該在WordPress 5.7發行之前的接下來的幾個月中使用它們,以完全過渡其代碼以與最新版本的jQuery兼容,而無需jQuery Migrate的幫助。
儘管已將安全修復程序移植到早期WordPress版本所使用的jQuery版本中,但許多工具(例如Google的Lighthouse)已報告WordPress網站由於運行舊版本的jQuery而容易受到攻擊。好消息是,這些網站審核工具不應再顯示WordPress 5.6網站容易受到攻擊。
PHP 8兼容性
WordPress 5.6旨在與PHP 8「 beta兼容」。這意味著,在正常使用情況下,使用默認主題在PHP 8上運行WordPress 5.6且沒有插件的網站不太可能會遇到任何問題。我們的前一篇文章深入探討了插件作者在與PHP 8兼容時將面臨的一些挑戰。
如果您是使用大量插件的典型WordPress網站所有者,則可能需要一段時間才能安全更新到PHP8。另一方面,如果您是從頭開始創建全新的網站,則需要通過從最新版本的PHP和WordPress開始,可以解決許多問題。
自動主要版本更新
過去我們討論了自動更新,以及它們如何對某些用例必不可少,而對另一些用例卻可能造成災難性影響。當前,WordPress核心會自動應用次要更新,由於進行了大量測試,因此通常比自動插件更新安全得多。
從WordPress 5.6開始,所有新的WordPress安裝都會收到主要版本的自動更新。這意味著,如果您使用WordPress 5.6創建一個新的WordPress網站,它將在出現時自動更新為WordPress 5.7。儘管這很可能引起問題,但請記住,最可能的問題將是與不兼容的插件有關,而這些插件在全新的網站上將不那麼普遍。
從早期版本更新到WordPress 5.6的現有網站將保留僅針對次要版本和安全補丁自動更新的當前行為,因此當前網站所有者不必為此擔心。如果需要,當前的站點所有者現在可以選擇自動的主要版本更新,甚至Beta和RC版本。
全新主題
由於5.6是WordPress將於2020年發布的最終主要版本,因此它包含明年的新默認主題,名為二十一二十一。像以前的默認WordPress主題一樣,它基於現有主題Seedlet,並且雖然包含了對暗模式的支持,但它是最小的。
結論
WordPress 5.6包含了許多更改,改進和錯誤修復,其中包括許多我們沒有涵蓋的內容。我們專註於我們認為與用戶最相關且最有可能引起問題的項目。與WordPress的所有主要更新一樣,是否要立即更新取決於您的用例。有許多有希望的新功能以及潛在的成長隱患,但這些功能將適用於開發人員而不是用戶。