Webservicedienst Logo beeldmerk
Websites met Waarde

WordPress 5.6

WordPress 5.6 Logo

WordPress 5.6, de laatste grote release die gepland staat voor 2020, komt vandaag uit, op 8 december 2020. Het bevat een paar belangrijke functies en updates, evenals een groot aantal kleine verbeteringen en bugfixes.

Een paar wijzigingen hebben onmiddellijke gevolgen voor de veiligheid en compatibiliteit, die we in dit bericht hebben benadrukt voor WordPress-gebruikers.

Toepassingswachtwoorden voegen functionaliteit en risico's toe

WordPress 5.6 komt met een nieuwe functie waarmee externe applicaties toestemming kunnen vragen om verbinding te maken met een site en een wachtwoord kunnen genereren dat specifiek is voor die applicatie. Nadat de applicatie toegang heeft gekregen, kan deze acties uitvoeren namens een gebruiker via de WordPress REST API.

Helaas is het eenvoudig om een ​​sitebeheerder sociaal te manipuleren om toepassingswachtwoorden toe te kennen aan een kwaadwillende toepassing. Een aanvaller zou een site-eigenaar kunnen misleiden om op een link te klikken om een ​​applicatiewachtwoord te vragen, waarbij hij zijn kwaadaardige applicatie een naam geeft die hij maar wil.

Erger nog, de request-URL's voor het wachtwoord van de app zijn zo ingesteld dat het nieuw gegenereerde wachtwoord via een omleidings-URL naar de site van de aanvrager wordt gestuurd. Aangezien toepassingswachtwoorden werken met de machtigingen van de gebruiker die ze heeft gegenereerd, kan een aanvaller dit gebruiken om controle te krijgen over een website. WordFence heeft laten zien hoe een aanvaller een social engineering-aanval kan gebruiken met behulp van applicatiewachtwoorden op Wordfence Live.

Is deze functionaliteit voor uw website niet nodig? Schakel het dan uit. Verwijs je developer naar deze pagina.

Wordfence-instellingen om toepassingswachtwoorden uit te schakelen.

Ondanks het risico bieden toepassingswachtwoorden in de toekomst waarschijnlijk enig nut. Enkele voorbeelden van hoe ze kunnen worden gebruikt, zijn onder meer het publiceren van berichten op een WordPress-site vanuit andere interfaces, het openen of bijwerken van gegevens in de WordPress-database of zelfs het maken van gebruikers.

Deze functionaliteit is aan de oppervlakte vergelijkbaar met XML-RPC, maar de REST API biedt aanzienlijk bredere mogelijkheden. Bovendien worden toepassingswachtwoorden veilig gegenereerd en zijn ze 24 tekens lang, dus aanvallen met brute force en het opvullen van inloggegevens zijn waarschijnlijk niet succesvol.

Als u besluit gebruik te maken van applicatiewachtwoorden, raden we u ten zeerste aan om een ​​gebruiker in te stellen met minimale rechten, idealiter met alleen de noodzakelijke mogelijkheden specifiek voor de applicatie waarmee u verbinding wilt maken.

WordPress 5.6 en jQuery

WordPress 5.5, uitgebracht in augustus 2020, heeft het jQuery Migrate-script verwijderd. Dit zorgde ervoor dat veel sites die plug-ins gebruikten die afhankelijk waren van oudere versies van jQuery, problemen ondervonden.

Waarchuwingsbord

Als uw site is getroffen en u momenteel de plug-in Enable jQuery Migrate Helper gebruikt om deze problemen te omzeilen, moet u ervoor zorgen dat uw site zonder deze plug-in werkt voordat u bijwerkt naar WordPress 5.6.

Dit komt omdat WordPress 5.6 wordt bijgewerkt naar de nieuwste versie van jQuery en jQuery Migrate 3.3.2 toevoegt, wat kan conflicteren met de versie die opnieuw is ingeschakeld door de Enable jQuery Migrate Helper-plug-in, namelijk jQuery Migrate 1.4.1.

Stap 2

WordPress 5.6 is stap 2 van een 3-stappenplan om WordPress op een up-to-date versie van jQuery te krijgen. Dit plan is:

  1. WordPress 5.5: verwijder het jQuery Migrate 1.x-script. (Augustus 2020)
  2. WordPress 5.6: update naar de nieuwste jQuery, jQuery UI en jQuery Migrate-scripts. (December 2020)
  3. WordPress 5.7: verwijder het jQuery Migrate-script. (Maart 2021)

Vanwege deze tijdlijn is compatibiliteit met jQuery eigenlijk aanzienlijk urgenter dan compatibiliteit met PHP 8.0. Plug-ins en thema-ontwikkelaars zouden de komende maanden vóór de release van WordPress 5.7 moeten gebruiken om hun code volledig over te zetten om compatibel te zijn met de nieuwste versie van jQuery zonder de hulp van jQuery Migrate.

Hoewel beveiligingsfixes zijn teruggevoerd naar de versies van jQuery die door eerdere versies van WordPress werden gebruikt, hebben veel tools, zoals Google's Lighthouse, gemeld dat WordPress-sites kwetsbaar waren vanwege het uitvoeren van een oudere versie van jQuery. Een klein beetje goed nieuws is dat deze hulpprogramma's voor sitecontrole niet langer WordPress 5.6-sites als kwetsbaar laten zien.

Lees meer over dit onderwerp op WPTavern.

PHP 8-compatibiliteit

WordPress 5.6 is bedoeld om "bèta-compatibel" te zijn met PHP 8. Dit betekent dat bij normaal gebruik het onwaarschijnlijk is dat een site met WordPress 5.6 op PHP 8 met een standaardthema en geen plug-ins problemen zal ondervinden. Ons vorige artikel gaat dieper in op enkele van de uitdagingen waarmee plug-in-auteurs worden geconfronteerd als het gaat om compatibiliteit met PHP 8.

Als je een typische WordPress-site-eigenaar bent die een behoorlijk aantal plug-ins gebruikt, kan het even duren voordat het veilig is om bij te werken naar PHP 8. Aan de andere kant, als je een geheel nieuwe site maakt, zul je om veel problemen voor te zijn door te beginnen met de nieuwste versie van PHP en WordPress.

Automatische updates van belangrijke versies

We hebben in het verleden gesproken over automatische updates en hoe deze essentieel kunnen zijn voor sommige gebruikssituaties en mogelijk catastrofaal voor andere. Momenteel past de WordPress-kern automatisch kleine updates toe, die doorgaans veel veiliger zijn dan automatische plug-in-updates vanwege uitgebreide tests.

Vanaf WordPress 5.6 ontvangen alle nieuwe WordPress-installaties automatische updates voor de belangrijkste versies. Dit betekent dat als u een nieuwe WordPress-site maakt met WordPress 5.6, deze automatisch wordt bijgewerkt naar WordPress 5.7 wanneer deze uitkomt. Hoewel dit een grotere kans heeft om problemen te veroorzaken, moet u er rekening mee houden dat de meest waarschijnlijke problemen zijn met incompatibele plug-ins, die veel minder vaak voorkomen op gloednieuwe sites.

Bestaande sites die vanaf eerdere versies zijn geüpdatet naar WordPress 5.6 behouden het huidige gedrag van automatisch updaten alleen voor kleinere versies en beveiligingspatches, dus huidige site-eigenaren hoeven zich hier geen zorgen over te maken. Indien gewenst kan een huidige site-eigenaar zich nu aanmelden voor automatische updates van grote versies en zelfs voor bèta- en RC-releases.

WordPress 5.6: Nieuw thema

WordPress 5.6 Thema: Twenty-Twenty-One

Aangezien 5.6 de laatste grote versie van WordPress is die voor 2020 wordt uitgebracht, bevat het een nieuw standaardthema voor volgend jaar, getiteld Twenty Twenty-One. Net als eerdere standaard WordPress-thema's, is het gebaseerd op een bestaand thema, Seedlet, en is het redelijk minimaal, hoewel het wel ondersteuning biedt voor de donkere modus.

Gevolgtrekking

WordPress 5.6 bevat een aantal wijzigingen, verbeteringen en bugfixes, waarvan we er veel niet hebben behandeld. We hebben ons gericht op de items die volgens ons het meest relevant zijn voor onze gebruikers en waarschijnlijk problemen veroorzaken.

Zoals bij alle belangrijke updates voor WordPress, is het afhankelijk van uw gebruiksscenario of u deze meteen wilt updaten. Er zijn een aantal veelbelovende nieuwe functies en er is een potentieel voor groeipijn, maar deze zullen van toepassing zijn op ontwikkelaars in plaats van op gebruikers.

Vragen over deze WordPress update? Neem contact met ons op.

Meer van 

textmark-webservicedienst-logo
Algemene VoorwaardenPrivacybeleid
Webservicedienst.nl Logo PNG
Home
sluiten
cross-circle linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram