V nedávné aktualizaci pluginu Advanced Custom Fields (ACF) došlo k významné změně, která ovlivňuje způsob zobrazení obsahu z ACF polí ve WordPress šablonách. Tato verze zavádí automatické escapování HTML z obsahu vypsaného funkcemi the_field a the_sub_field, což má za cíl zvýšit bezpečnost tím, že se zabrání potenciálním XSS útokům. Tato změna může ovlivnit stránky, které vkládají HTML nebo JavaScript přímo z ACF polí. Změny jsou detailněji popsány tady.

Chyba

V tomto směru se tak může začít v administraci WordPressu zobrazovat chyba typu:

Příklad změny kódu

Setkal jsem se s problémy s aktualizací pluginu Carousel Slider z verze 2.2.6 na 2.2.7, kdy to kompletně rozhodí weby nebo samotné galerie. Zatím jsem blíže nezkoumal veškeré změny, ale doporučuji případně si na tuto aktualizaci dát pozor.

Jak zakázat aktualizaci

Je běžné, že se v dnešní době již pluginy aktualizují automaticky a většinou to nejde ani jednoduše vypnout v administraci WordPressu.

Pokud aktualizaci nechcete zakazovat přímo přidáním/editací kódu, tak existuje celá řada pluginů, které dokážou konkrétní aktualizaci zakázat. Využít lze např. Block Plugin Update, kde lze přímo vybrat jen konkrétní plugin, který se nemá aktualizovat.

Moje opatření

U webů, o které se starám, jsem zatím tuto aktualizaci zakázal a plugin obnovil ze zálohy v původní verzi.

Pokud máte v rámci svých webových stránek, které využívají redakční systém WordPress, aktivovaný plugin captcha-for-contact-form-7 pro přidávání bezpečnostní captchy k formulářům, tak si dejte pozor na automatické aktualizace tohoto pluginu. Dobré je mít vyplněný správný e-mail správce webu v administraci WordPressu, aby se o této aktualizaci včas dozvěděl.

Aktualizace plugin deaktivuje

Setkal jsem se totiž s tím, že aktualizace plugin deaktivuje a místo captchy na stránkách pak vidíte kód typu:

V tomto směru se stačí přihlášit do administrace vašeho WordPressu a plugin znovu aktivovat. U klientů, kterým se o WordPress starám já, jsem toto samozřejmě opravil.