Плагины и темы для WordPress использовались для внедрения бэкдоров

https://wp-digest.com/security/plaginy-i-temy-dlya-wordpress-ispolzovalis-dlya-vnedreniya-bekdorov/
Масштабная атака на цепочку поставок затронула 93 темы и плагина для WordPress, в которые были внедрены бэкдоры, дававшие злоумышленникам полный доступ к сайтам.
#accesspress #security #themes #wordpress #Плагиныwordpress

Tabnine — искусственный интеллект для вашего PhpStorm

Tabnine (ранее Codota) — самый лучший плагин для автодополнения кода с привлечением искусственного интеллекта и нейросетей в PhpStorm.

https://www.kobzarev.com/soft/tabnine-phpstorm/

#wordpress #phpstorm #soft #tabnine

Что не касается WordPress, то сразу счет на миллионы. В этот раз обнаружен критический RCE в популярном плагине Essential Addons for Elementor, который подвергает опасности более миллиона ресурсов.

Essential Addons for Elementor — популярный плагин WordPress, который предоставляет простые в использовании и креативные элементы для улучшения внешнего вида страниц. Как выяснилось плагин подвержен критической уязвимости RCE, которая затрагивает версию 5.0.4 и старше и позволяет пользователю, не прошедшему проверку подлинности использовать эту уязвимость для выполнения атаки с включением локального файла, например файла PHP, для удаленного выполнения кода на сайтах, на которых запущена уязвимая версия подключаемого модуля.

В анализе, опубликованном PatchStack так и говорится, что атака может быть использована для включения локальных файлов в файловую систему веб-сайта, таких как /etc/passwd, а также можно использовать для выполнения RCE, включив файл с вредоносным PHP-кодом, который обычно не может быть выполнен. Кроме того уязвимость включения локального файла существует из-за того, как данные ввода пользователя используются внутри функции включения PHP, которая является частью функций ajax load more и ajax eael product gallery.

Уязвимость была обнаружена энтузиастом Вай Ян Мьо Тхетом и может быть использована только в том случае, если на веб-сайтах включены виджеты «динамическая галерея» и «галерея продуктов», так что отсутствует проверка токена.

Угрозу конечно локализовали, но далеко не сразу.

Первоначально команда разработчиков попыталась исправить ошибку, реализовав функцию sanitize text field для входных данных пользователя. Однако специалисты обнаружили, что включение локальных полезных нагрузок все же возможно, после чего к версии 5.0.4 был применен второй патч. Новый патч вызывает функцию WordPress sanitize filename, которая удаляет специальные символы, недопустимые в именах файлов, чтобы предотвратить локальные атаки включения файлов. К сожалению, эта версия по-прежнему была уязвима и требовала дополнительной проверки.

Тогда был применен третий патч к версии 5.0.5 плагина, что повысило безопасность за счет использования функции realpath в PHP.

Версия 5.0.5 была выпущена 28 января 2022 года и на сегодняшний день она была установлена только на 380 000 сайтов WordPress, а это означает, что более 600 тысяч сайтов все еще используют потенциально уязвимую версию.

Глубокое погружение в блочные темы WordPress

https://wp-digest.com/guides/glubokoe-pogruzhenie-v-blochnye-temy-wordpress/
Относительно новый редактор WordPress, также известный как редактор блоков WordPress, всегда находящийся в процессе разработки с помощью плагина Gutenberg, с нами с 2018 года.
#gutenberg #wordpress #Плагиныwordpress

Как откатиться к прошлым версиям WordPress

https://wp-digest.com/guides/kak-otkatitsya-k-proshlym-versiyam-wordpress/
Установка самых свежих версий для ядра WordPress, тем и плагинов является передовой практикой использования платформы.
#backups #core #development #restore #wordpress #Плагиныwordpress

Что нового произошло в мире Gutenberg по состоянию на 2 февраля 2022 года

https://make.wordpress.org/core/2022/02/03/whats-new-in-gutenberg-12-5-february-2nd/

#wordpress #gutenberg #news #core

WooCommerce против Shopify — все, что нужно знать

На сегодня 1,92 миллиарда онлайн-покупателей, и, учитывая пандемию, это число постоянно растет. В Интернете можно продавать свои вещи, продвигать свой бизнес и даже открывать свой интернет-магазин.

https://hostenko.com/wpcafe/tutorials/woocommerce-shopify/

#wordpress #woocommerce #shopify #compare

WordPress Interop

Пакет на основе Doctrine/DBAL для более удобного доступа к базе WordPress из других приложений на PHP.

https://github.com/williarin/wordpress-interop

#wordpress #db #development #interop

Статический анализатор кода Psalm в WordPress

Статические анализаторы кода (PHPStan, Psalm, Phan) просто читают код и пытаются найти в нём ошибки.
Они могут выполнять как очень простые и очевидные проверки (например, на существование классов, методов и функций, так и более хитрые (например, искать несоответствие типов, race conditions или уязвимости в коде).

Ключевым является то, что анализаторы не выполняют код — они анализируют текст программы и проверяют её на типичные (и не очень) ошибки.

Далее пойдёт речь об одном таком синтаксическом анализаторе кода под названием Psalm.

https://www.kobzarev.com/programming/psalm/

#Composer #Development #PHP #PhpStorm #Psalm #WordPress

Что нового в плагине Front User Submit в версии 3.4.0

Сперва для тех кто не в курсе что плагин делает.
Если кратко то плагин дает возможность добавлять посты с фронта не заходя в админку WordPress c разными возможностями настройки.
Более подробно про функционал можно прочитать на странице плагина.

Что нового:

1. Есть фронт админка для пользователя [fe_fs_user_admin]
2. Настройка уведомлений при добавлении поста
3. Настройка редиректа после обновления поста либо его добавлении
4. В редактор EditorJS теперь есть новый блок Attaches при помощи которого можно добавлять файлы этот блок можно активировать для пользователей или деактивировать как и все блоки
5. Исправлена ошибка при создании форм

https://wordpress.org/plugins/front-editor/

#guestposting #frontendposting #wordpress #plugins

Как использовать ACF в WordPress: руководство для начинающих

https://wp-digest.com/guides/kak-ispolzovat-acf-v-wordpress-rukovodstvo-dlya-nachinayushhih/
Вы уже заметили, что для вашей учетной записи WordPress при написании контента часто отображается некоторая основная информация — имена авторов, даты и названия.
#acf #wordpress #Плагиныwordpress

RCE-уязвимости в плагине PHP Everywhere угрожают тысячам сайтов на WordPress

https://wp-digest.com/security/rce-uyazvimosti-v-plagine-php-everywhere-ugrozhayut-tysyacham-sajtov-na-wordpress/
Специалисты WordFence обнаружили три опасные RCE-уязвимости в популярном плагине PHP Everywhere, который используется на 30 000 сайтов на базе WordPress.
#php #rce #wordpress #Плагиныwordpress

Как перейти с Wix на WordPress: полное пошаговое руководство

https://wp-digest.com/guides/kak-perejti-s-wix-na-wordpress-polnoe-poshagovoe-rukovodstvo/
Если вы задумываетесь о переносе своего сайта с Wix на WordPress, то это полное пошаговое руководство по правильному процессу миграции вебсайта поможет в этом.
#migration #wix #wordpress

MonsterONE от компании TemplateMonster

Всем привет! Хотим представить вам проект MonsterONE от компании TemplateMonster, которая уже 20 лет на рынке разработки веб-сайтов.

MonsterONE – это универсальная подписка, которая предоставляет вам доступ к огромной коллекции шаблонов сайтов и графических элементов, для создания различных проектов.

Загрузка всех файлов неограниченна в течении периода подписки. Вы можете купить тариф на месяц (только графика), год или выбрать пожизненную подписку.

Предлагаем вам получить промокод на самый популярный и востребованный тариф All-in-One на 1 год!

Используйте промокод: wpdigest. Скидка действительна до конца февраля!

👉 http://smbx.me/GqqS5

Изменение WooMS 2022 — плагин становится бесплатным для всех

https://wp-digest.com/news/izmenenie-wooms-2022-plagin-stanovitsya-besplatnym-dlya-vseh/
Плагин WooMS который стоил до 12 тр. за 1 год — становится бесплатным целиком.
#wooms #wordpress #plugins

Как указывать версии для пакетов в composer.json

Вы наверняка видели всякие "^3.2", "~3.2" в файле composer.json. Давайте разберемся что значат эти знаки и поддержку каких версий пакетов они означают.

https://wp-kama.ru/note/kak-ukazyvat-versii-dlya-paketov-v-composer-json

#wordpress #php #composer

Скрываем сообщения (уведомления) о новой версии WordPress в админ-панели
В этой заметке рассмотрим, как убрать (отключить) визуальные оповещения об обновлений.

При появлении новой версии WP, по всей админке появляются уведомления о том что нужно обновится, иногда такие уведомления нужно убрать, но при этом оставить саму проверку обновлений и возможность обновится, например через кли команду wp core update.

https://wp-kama.ru/id_15347/skryvaem-vizualnye-soobshheniya-ob-obnovleniyah.html

#wordpress #dashboard #hooks #update #notify

Типы данных в WordPress

Из коробки в WordPress существует пять основных типов данных, о них и поговорим.

https://wp-kama.ru/handbook/codex/data-types

#wordpress #cpt #taxonomy #development

WordPress-плагин с 3 000 000 установок позволял всем желающим скачивать бэкапы сайтов.

Разработчики WordPress пошли на редкий шаг и принудительно обновили плагин UpdraftPlus на всех сайтах, где он установлен. Это произошло из-за серьезной уязвимости, позволявшей даже пользователям с низкими привилегиями загружать последние бэкапы БД, которые часто содержат учетные данные и другую личную информацию.

Уязвимость, получившая идентификатор CVE-2022-0633 (8,5 балла о шкале CVSS), затрагивает плагин UpdraftPlus начиная от версии 1.16.7 по 1.22.2. Разработчики уже исправили баг в составе версий 1.22.3 и 2.22.3 (Premium).

https://xakep.ru/2022/02/18/updraftplus/

#wordpress #plugins #security #updraftplus

Вышел Gutenberg 12.6

https://wp-digest.com/news/vyshel-gutenberg-12-6/
На днях в каталоге плагинов WordPress появился свежий релиз Gutenberg 12.6.
#core #gutenberg #wordpress