WordPress-Update 6.2.1 führt zum Absturz von Websites

Das Sicherheitsupdate für WordPress 6.2.1 geht auf einigen Websites nach hinten los, Entwickler halten das Update für verrückt

Ein aktuelles WordPress-Sicherheitsupdate mit mehreren Sicherheitsfixes führt auch dazu, dass einige Websites nicht mehr funktionieren, was einen Entwickler dazu veranlasst, auszurufen: „Das ist Chaos!!“

Das Update entfernte eine Schlüsselfunktion, die dazu führte, dass zahlreiche Plugins auf Websites, die das WordPress-Blocksystem verwenden, nicht mehr funktionierten.

Die betroffenen Plugins reichten von Formularen über Schieberegler bis hin zu Breadcrumbs.

Update: WordPress veröffentlicht 6.2.2, um Version 6.2.1 zu reparieren

WordPress hat am späten Freitag ein Update veröffentlicht, um den fehlerhaften Sicherheitspatch zu beheben, der in Version 6.2.1 eingeführt wurde.

In der Ankündigung hieß es:

„WordPress 6.2.2 ist eine Rapid-Response-Version, um einen Rückschritt in 6.2.1 zu beheben und eine in 6.2.1 behobene Schwachstelle weiter zu beheben.“

WordPress-Publisher, die von dem im vorherigen Update eingeführten Shortcode-Bug betroffen sind, möchten möglicherweise ein Update auf die neueste Version in Betracht ziehen.

Websites, die automatische Hintergrundaktualisierungen unterstützen, erhielten automatisch das WordPress 6.2.1-Update, da es sich um eine Sicherheitsversion handelte (offiziell handelte es sich um eine Wartungs- und Sicherheitsversion).

Laut der offiziellen WordPress-Release-Ankündigung enthielt das Update fünf Sicherheitsfixes:

Das Problem entsteht durch den ersten Sicherheitsupdate, der sich auf Shortcodes in Block-Themes auswirkt und die Probleme verursacht.

Ein Shortcode ist eine einzelne Codezeile, die als Ersatz oder Platzhalter für Code fungiert, der Funktionen wie ein Kontaktformular bereitstellt.

Anstatt also auf jeder Seite, auf der das Formular erscheint, ein Kontaktformular zu konfigurieren, kann man einfach eine einzelne Zeile namens Shortcode einfügen, in die dann ein Kontaktformular eingebettet wird.

Leider wurde festgestellt, dass Hacker Shortcodes in benutzergenerierten Inhalten (z. B. in Blog-Kommentaren) ausführen konnten, was dann zu einem Exploit führen könnte.

WordFence beschreibt die Sicherheitslücke:

„WordPress Core verarbeitet Shortcodes in benutzergenerierten Inhalten zu Blockthemen in Versionen bis einschließlich 6.2.

Dies könnte es nicht authentifizierten Angreifern ermöglichen, durch das Senden von Kommentaren oder anderen Inhalten Shortcodes auszuführen und so Schwachstellen auszunutzen, die normalerweise Berechtigungen auf Abonnenten- oder Mitwirkenderebene erfordern.“

WordFence erklärt weiter, dass es sich bei der Sicherheitslücke um einen Fehler handelt, der eine weitere schwerwiegendere Sicherheitslücke ermöglichen kann.

Die Lösung für die Shortcode-Schwachstelle bestand darin, die Shortcode-Funktionalität vollständig aus den WordPress-Blockvorlagen zu entfernen.

In der offiziellen Dokumentation zur Behebung der Sicherheitslücke heißt es:

„Shortcode-Unterstützung aus Blockvorlagen entfernen.“

Jemand hat einen Workaround erstellt, um die Shortcode-Unterstützung in WordPress-Blockvorlagen wiederherzustellen.

Der Workaround hat aber auch die Schwachstelle behoben:

„Für diejenigen, die bei 6.2.1 bleiben möchten und die Unterstützung für Shortcodes in Vorlagen wiederherstellen müssen, können Sie diesen Workaround ausprobieren.

… Beachten Sie jedoch, dass die Unterstützung zur Behebung eines Sicherheitsproblems entfernt wurde und dass die Wiederherstellung der Shortcode-Unterstützung wahrscheinlich das Sicherheitsproblem zurückbringt.“

Das Deaktivieren der Shortcode-Unterstützung führte tatsächlich dazu, dass einige Websites nicht mehr funktionsfähig waren oder überhaupt nicht mehr funktionierten.

Daher war es für viele Benutzer sinnvoll, den Workaround hinzuzufügen, bis eine dauerhaftere Lösung gefunden wurde.

WordPress-Entwickler berichteten von ihrer Frustration über das WordPress-Update:

Eine Person schrieb:

„… es ist absolut verrückt für mich, dass Shortcodes absichtlich entfernt wurden!! Jede einzelne FSE-Site unserer Agentur verwendet den Shortcode-Block in Vorlagen für alles: Filter, Suche, ACF und Plugin-Integrationen. Das ist Chaos!!

Der Workaround scheint bei mir nicht zu funktionieren. Ich werde zu einer früheren Version zurückkehren und hoffe, dass es eine Lösung gibt.

Eine andere Person hat gepostet:

„Ja, ich verstehe den Gutenberg-Hass nicht, aber zumindest hätten sie einige Blöcke wie Shortcode, die sie im Full Site Editor auslaufen ließen, verbieten sollen.

Das war dumm von den WP-Entwicklern.

Die Leute werden die alten Wege nutzen, es sei denn, Sie sagen ihnen etwas anderes oder führen sie zu neuen Dingen.

Aber wie gesagt, es wäre besser gewesen, eine Brücke zu bauen, beispielsweise über einen offiziellen PHP-Block – oder einfach darauf zu hören, was Benutzer und Entwickler wollen.“

Eines der bemerkenswerten Plugins, die betroffen waren, war Rank Math. Die Breadcrumb-Funktionalität schlug nach dem Update 6.2.1 fehl, wenn sie bei Blockthemen vorhanden war.

Eine Rank Math-Supportseite enthielt eine Anfrage nach einem Fix von einem Rank Math-Plugin-Benutzer.

Der Rank Math-Support hat empfohlen, einen Workaround-Fix hinzuzufügen. Leider stellt dieser Workaround-Fix nicht nur die Shortcode-Funktionalität wieder her, sondern behebt auch die Schwachstelle.

Das Update blockierte auch die Funktionalität des Smart Slider 3-Plugins.

Auf der Smart Slider 3-Plugin-Seite wurde ein Support-Thread geöffnet:

„Es ist nicht ganz deine Schuld, aber Automattic hat beschlossen, Shortcodes aus Blockvorlagen zu ziehen. … und behauptet ein ‚Sicherheitsproblem‘, zerstört aber im Grunde zwei Plugins, die ich verwende, deines eingeschlossen.“

Das bedeutet, dass Ihr Plugin nur [smartslider3 slider="6″] anzeigt, wenn es in einer FSE-Vorlage verwendet wird. Im FSE-Editor wird es jedoch gut angezeigt!

Ich dachte nur, dass Sie es vielleicht wissen möchten, bevor die verwirrten Leute, die Automattic hätte informieren sollen, anfangen, Ihnen die Schuld zu geben. Sie sollten solche Funktionen nicht einfach entfernen – es ist wie in den schlechten alten Zeiten.

Ich muss jetzt auch herausfinden, wie ich ein Formular/PHP-Code einbinden kann, um Kategorielisten in Suchfelder einzufügen. Grr.“

Das Smart Slider 3-Supportteam hat empfohlen, den Workaround-Fix hinzuzufügen.

Andere im WordPress.org-Support-Thread zu diesem Problem haben Lösungen gefunden. Wenn Ihre Website betroffen ist, kann es hilfreich sein, die Diskussion zu lesen.

WordPress v6.2.1 unterbricht den Shortcode-Block in Vorlagen

Ausgewähltes Bild von Shutterstock/ViChizh