WordPress 5.6 已发布,其中包含许多改进和新功能。 代号为 Simone(致敬歌手 Nina Simone)的 WordPress 5.6 得到了积极响应,可能是因为它没有破坏任何东西。
WordPress 5.6 中的新功能的实质可以说是大部分都很好,有些问题和一个丑陋的问题。
好的
启用 jQuery Migrate 插件已更新
由于数以百万计的网站中断或意外更新了 WordPress 的测试版,最后两次更新有些困难。
最大的潜在问题是 jQuery Migrate 弃用和更新。
WordPress 5.6 设法避免了 2020 年 8 月 WordPress 5.5 更新所遇到的遗留 jQuery 插件问题。该更新导致网站以无数和意想不到的方式停止运行。
这次避免这些问题的原因是因为 WordPress 5.6 更新了 Enable jQuery Migrate 插件,以避免网站再次崩溃。
当插件处于活动状态并且发布者登录时,插件将检测过时的 jQuery 并记录它,在页面顶部显示一个显示以表明问题。
当页面在浏览网站时提供给发布者时,该插件会检测页面之间的 jQuery 问题。
有一个选项可以使用提供给正在浏览该站点的用户的页面来执行类似的日志记录,但 WordPress 警告说这可能会产生大量的服务器负载并建议不要打开它。
有一个弃用日志页面显示负责警告的插件。 更新插件后,发布者可以清除旧日志并再次继续浏览,以查看 Enable jQuery Migrate 插件是否检测到其他问题。
“考虑到上述情况,Enable jQuery Migrate Helper 插件已针对 WordPress 5.6 的发布进行了更新,这为在需要时在站点上运行旧版 jQuery 提供了一个临时降级路径。
这被认为是一个临时解决方案的原因是,旧版本的 jQuery 不再接收安全更新,如果发生任何需要更新的情况,旧版本将不会手动修补。”
咩
WordPress 5.6 附带了他们的第一个 WordPress 版本,它(在某种程度上)与 PHP 8 兼容,这是 11 月发布的最新版本的 PHP。 但是,这种兼容性意味着被视为与测试版兼容。
因为 WordPress PHP 8 兼容性新闻既是好消息又不是好消息,它最终变成了……嗯。
正如 WordPress 5.6 和 PHP 8 兼容性的官方指南中所述:
“WordPress Core 旨在与 5.6 版本中的 PHP 8.0 兼容(目前计划于 2020 年 12 月 8 日发布)。
…为了使 WordPress 5.6 与 PHP 8 本身兼容,已经付出了巨大的努力,但很可能仍然存在未发现的问题。”
发布者应该在升级他们的 PHP 版本之前先进行测试,因为此时主题和插件很可能还没有为 PHP 8 做好准备。
这就是为什么 WordPress 的公告将 PHP 8 兼容性作为第一步之一,因为潜在的兼容性错误以及主题和插件可能还不兼容。
根据WordPress:
“5.6 标志着 WordPress Core 对 PHP 8 的支持迈出了第一步。”
丑陋的
WordPress 团队引以为豪的 5.6 版中的一项新功能也包含一个潜在的缺点,即如果充分利用可能会导致整个网站被接管。
WP 5.6 引入了带有应用程序密码功能的 REST API 身份验证
应用程序密码功能允许第三方应用程序连接到您的网站并添加功能。
“由于 API 的新应用程序密码授权功能,第三方应用程序可以无缝且安全地连接到您的站点。 这个新的 REST API 功能让您可以查看哪些应用程序正在连接到您的站点并控制它们的操作。 “
但是,根据 WordPress 安全插件发布商 Wordfence 的说法,可以对网站管理员使用社会工程攻击来获取管理员凭据。
社会工程是一种依靠欺骗来提供信息或访问权限的黑客方法。
例如,网络钓鱼是一种社会工程形式,攻击者可能会通过电子邮件向冒充银行的受害者发送电子邮件,要求他们重置登录凭据。
电子邮件中的一个链接指向一个类似于银行网站的模仿网站,受害者在该网站上输入他们的用户名和密码,然后获取这些用户名和密码以访问他们的银行账户。
Wordfence 描述了一种社会工程攻击,犯罪分子可以创建一个冒充受信任应用程序的应用程序,导致网站发布者发布密码并允许安全连接到他们的网站。 Wordfence 将这种攻击的复杂性描述为“琐碎的。”
根据 Wordfence:
“攻击者可以诱骗网站所有者单击请求应用程序密码的链接,随意命名他们的恶意应用程序……
由于应用程序密码在生成它们的用户的权限下运行,攻击者可以使用它来控制网站。”
Wordfence 制作了一段视频,描述并展示了破坏新应用程序密码功能的社会工程攻击的可能性:
WordPress 应用程序密码的 Wordfence 描述具有社会工程漏洞
WordPress 5.6 概述
WordPress 5.6 在很大程度上是成功的。 有很多东西是对的。 虽然这不是一项重大进步,但它确实对网站设计功能和功能进行了逐步改进。
考虑到 2020 年还有几周的时间,这个版本设法避免了最后两个版本的戏剧性,这使得这次更新成为了一场胜利。
引文
WordPress 5.6 警告、公告和文档
Wordfence文章:
WordPress 5.6 给您的网站带来了新风险:怎么办
