WordPress 4.5

Что нового появилось в версии WordPress 4.5, релиз которой состоялся 12 апреля 2016 года и имеет название «Coleman»:

  • В кастомайзер добавлен предосмотр для визуальной оценки адаптивности вашего сайта. Представляет из себя 3 иконки в самом низу кастомайзера для вида с настольного компьютера, планшета и мобильного устройства, соответственно. До внесения конечных изменений, вы сможете оценить, как они будут выглядеть на разных устройствах
    responsive preview wordpress 4.5
  • Добавлена нативная поддержка логотипа для темы. Для включения такой поддержки в функциях темы должна быть прописана активация данной возможности:
    add_theme_support( 'site-logo', size )
    Стоит различать иконку сайта, добавленную в 4.3 и лого сайта в WordPress 4.5 — они выполняют разные функции
    site-logo-wordpress45
  • Немного изменено редактирование ссылок в визуальном редакторе. Для вставки ссылки без помощи мышки можно воспользоваться комбинацией клавиш Ctrl+K и ввести URL в появившееся pop-up окошко или с помощью поиска в этом же окошке выбрать из уже имеющихся на сайте, если при этом курсор был на слове, то оно становится названием для ссылки
    illustration short inlinelinks wordpress 4.5
  • Продолжаются внедрения автозамены в редакторе. На этот раз добавлены такие возможности для тегов <code> и <hr>
    shortcuts-wordpress-4.5
  • Улучшенная модерация комментариев. Улучшено юзабилити управления комментариями, в том числе и в e-mail оповещениях о новых комментариях на вашем сайте.
  • Оптимизация генерации загружаемых картинок. Теперь изображения генерируются более эффективно, удаляется не нужная информация, за счет чего достигается уменьшение размера при сохранении должного качества.
  • Селективное обновление в кастомайзере. Теперь вместо обновления всей страницы, будут обновляться только нужные данные. Призвано повысить скорость просмотра изменений в кастомайзере и для повышения его юзабилити. Для поддержки селективного обновления виджетов в большинстве тем достаточно добавить такую поддержку строкой
    add_theme_support( 'customize-selective-refresh-widgets' );
  • Авторизация на сайте теперь доступна не только по логину, но и по email (на выбор)
  • Backbone и Underscore, включенные в WordPress и которые не обновлялись 2 года — теперь обновлены до последних версий (Backbone обновлен с 1.1.2 до 1.2.3 и Underscore с 1.6.0 до 1.8.3). Обновлен jQuery — с версии 1.11.3 до 1.12.3
  • Новый класс WP_Site — еще более объектно-ориентированный подход для управления Мультисайтом.
  • Загрузчик скриптов — представляет wp_add_inline_script() функцию для инлайновой загрузки JavaScript и для улучшения поддержки header/footer зависимостей, подобно функции wp_add_inline_style() для CSS.
  • Теперь в иерархию шаблонов также входят внедряемые объекты (embed) с такой структурой:
    embed-{post-type}-{post_format}.php
    embed-{post-type}.php
    embed.php
    wp-includes/theme-compat/embed.php

Стоит также отметить, что после внедрения 1-й фазы REST API в 4.4, разработчики не успели подготовить 2-ю его фазу к запуску в WordPress 4.5. Таким образом полноценный запуск REST API пока задерживается, по имеющейся на данный момент информации — до версии 4.7 (конец 2016 г.). Информация о следующей версии — WordPress 4.6.

Подробный видеообзор WordPress 4.5

WordPress 4.5.1 — исправлено 12 багов

Новая версия исправляет найденные ошибки и проблемы, отмеченные в WordPress 4.5. Согласно Адаму Сильверстейну, «исправлена проблема с классом singular, который затрагивал сайты, основанные на теме Twenty Eleven, исправлена несовместимость между отдельными версиями Chrome и визуальным редактором, а также исправлен баг в Imagick, который мог приводить к проблемам с загрузкой медиафайлов». Источник

WordPress 4.5.2 — исправлены две уязвимости безопасности

Команда WordPress выпустила свежую версию WordPress 4.5.2, которая исправляет две уязвимости безопасности в версиях WordPress 4.5.1 и ниже. Первая уязвимость – SOME (Same-Origin Method Execution) в Plupload, сторонней библиотеке, которая используется в WordPress для загрузки файлов. Вторая уязвимость – это XSS-уязвимость в MediaElement.js, сторонней библиотеке, используемой для медиаплееров.

Same Origin Method Execution – новая атака, основанная на использовании callback-параметра JSONP, позволяющая выполнять произвольные методы на уязвимом сайте. Как только жертва переходит по ссылке злоумышленника, открывается новое окно или фрейм, в котором выполняется вредоносный код. Жертва обычно даже не понимает, что произошло. Выполнение конкретных методов Same Origin Method Execution зависит от атакуемого сайта. Чтобы защититься от подобной атаки, можно: использовать статичные имена функций для callback; внести callback’и в белый список на стороне сервера; зарегистрировать callback’и. Источник.

WordPress 4.5.3 — исправлено 7 проблем с безопасностью и 17 багов

В релизе были исправлены следующие проблемы:

  • Обход перенаправления в кастомайзере
  • Две различных XSS проблемы с именами вложений
  • Раскрытие истории ревизий
  • Атака на oEmbed
  • Неавторизованное удаление категорий из записей
  • Смена паролей через украденные cookie
  • Некоторые небезопасные случаи использования sanitize_file_name

Релиз также исправляет 17 багов в версиях WordPress 4.5, 4.5.1 и 4.5.2. Вы можете ознакомиться с замечаниями к версии по ссылке.