Web5X Блог

Блог о создании сайта, конструкторе сайтов

Web5X Блог

Блог о создании сайта, конструкторе сайтов

Поиск по блогу

Bricks 1.9.7 — безопасность кода превыше всего

Обновлено: 14.03.2024
0 комментариев

Разработчики конструктора сайта Bricks выпустили обновления безопасности кода. Суть обновления заключается в том, что любой php код который мы запускаем в конструкторе т.е пишем в виджете Code должен быть подписан сигнатурой. Тоже самое касается динамического тега echo т.е если мы выводим функцию через echo , то должны явно определить это , что такая функция разрешена.

Для чего все это? Тут ответ конечно один, это для безопасности сайта, т.е если злоумышленник каким то образом сможет изменить данные в шаблоне, а именно в виджете Code , то подписи кода не совпадут и код не будет исполняемым. Тоже самое и с динамическим тегом echo в который злоумышленник может написать исполняемый код и поэтому, каждая добавленная функция должна быть явно разрешена. Это все в теории и на практике защитит сайт от неавторизированного исполнения кода.

Как видно на скриншоте выше, при первоначальном добавлении виджет, нас просят создать сигнатуру. Далее это сигнатура сохранится в БД и будет сверяться на целостность.

А вот если мы зайдем в настройки , то можем проинспектировать все наши исполняемые коды и есть ли у них сигнатура. Так же мы можем на какой странице этот код. Ну и конечно мы можем разом подписать все коды, это на случай когда мы обновили ключи в wp-config.php , напрмер при переезде.

Но и это еще не все, ниже видим как для элемента Heading я добавил динамический тег с функцией те echo:func_moi и ревизия показывает, что тег есть, но среди разрешенных его нет и поэтому нужно исполнить рекомендацию ниже т.е или добавить как разрешенную в ваш код или (если еще не делали) то в function.php дочерней темы, добавить рекомендуемый код в подсказке.

Что еще ?

  • Фильтр: Radio & Checkbox добавили настройки префикса и расстояний при иерархических таксономий
  • Фильтр: Checkbox, Radio & Select: Новая настройка “Label: All terms” т.е можно задать свой текст для фильтра "ВСЕ ..... "
  • Комментарии: Новая настройка полей т.е выбор какие поля отображать. Также добавили фильтр comment_form_default_fields

И конечно сделали улучшения и исправили баги.

Остались вопросы?
Листай ниже или клик по ссылке выше. Там можно задать вопрос или почитать комментарии других.
Написать комментарий

0 комментариев

Оставьте первый комментарий