23 апреля вышло обновление WordPress v4.2 «Powell», названное в честь джазового исполнителя Бада Пауэлла, под слоганом Communicate and share, globally (“Общайтесь и делитесь по всему миру”). Помимо ряда исправлений и важных изменений, оно также отличилось уязвимостью, которая позволяет хакерам получить полный доступ к обновлённому сайту.

Новая версия WordPress практически полностью изменяет инструмент Press This, добавляет поддержку смайликов Emoji, упрощает работу с плагинами и темами, а также добавляет несколько полезных возможностей для разработчиков, о которых мы расскажем ниже.

Don’t Press This

Функция Press This претерпела ряд значимых изменений. Теперь это более удобный инструмент для создания записей и набросков, похожий на отдельное приложение для браузера. Добавив его в закладки можно сохранять любую интересную информацию, либо же сразу делиться с читателями блога.

Смайлики

С версией 4.2 появилась поддержка смайликов Emoji, использовать их можно абсолютно везде, даже в URL адресе страницы. Emoji задокументированы в Юникоде и отображаются практически на всех современных операционных системах и браузерах. Если же ваша система не поддерживает смайлы, можно найти их на специальных ресурсах, например, Get Emoji.

За стандарт были выбраны смайлики Twemoji от Twitter. Все рожицы векторные и будут выглядеть одинаково хорошо независимо от мониторов и дисплеев.

Отображаться они будут как свои системные Emoji, но если ваш браузер или ОС не имеет своих Emoji, они будут заменены на Twemoji автоматически.

К категории новых символов можно добавить полную поддержку иероглифов азиатских стран.

Управление темами

Новый конфигуратор, позволяющий изменять и предпросматривать темы, получил поиск и возможность делать все это “на лету”. Сам же конфигуратор стал работать лучше, стабильнее и плавнее. На TemplateMonster вы уже можете найти огромное количество тем для вашего сайта, адаптированных под новую версию WordPress 4.2 Powell: www.templatemonster.com/ru/wordpress-themes-type

Обновление плагинов

Обновления теперь происходят в один клик, и похожи на обновление приложений. Сделать это теперь можно прямо со страницы всех ваших плагинов, причем обновиться можно теперь и со страницы поиска и установки новых плагинов.

Изменения для разработчиков

Появился новый метод wp.a11y.speak() для повышения доступности интерфейсов людям с ограниченными возможностями. Он позволяет сообщать браузеру о том, что «происходит» на веб-странице.

Для оповещений на административных страницах можно добавлять новые классы .notice и .is-dismissible, увидев которые WordPress добавит небольшой крестик, позволяющий скрывать уведомление.

Для возможности сохранения смайликов (Emoji) в WordPress добавлена поддержка кодировки utf8mb4. Ранее, установить WordPress в этой кодировке было достаточно проблематично из-за размеров индексов в базе данных (создание некоторых таблиц вызывало ошибки в MySQL в момент установки). Если ваши плагины создают дополнительные таблицы, поля или индексы в базе данных, рекомендуем проверить их работоспособность и совместимость с кодировкой utf8mb4.

Классы WP_Query, WP_Comment_Query и т. п. получили возможность выполнять сортировку по определенным мета-полям.

Прочие изменения

Остальных изменений насчиталось больше 600. Самые значимые – это вставка с Tumblr и KickStarter сразу в текст вашего блога. Цветовая схема по умолчанию стала более гармоничной и тд.

Все изменения можно посмотреть тут.

Уязвимость

Если вы открыли эту статью только ради информации об уязвимости, то вот она: после обновления до версии Powell сайты с темами TwentyFifteen и плагином JetPack становятся открытыми для атаки. Хакерам достаточно обманом заставить нажать вас на одну ссылку и получить полный доступ к вашему сайту.

К счастью, решение проблемы очень простое: удалить example.html и обновиться до версии 4.2.1 выпущенной спустя два дня после выявления проблемы. Если вы попадаете в группу риска, то настоятельно рекомендуем вам сделать это прямо сейчас.