Дайджест новостей от WPCraft — 4 апреля 2026

4 апреля 2026

TL;DR: WordPress 7.0 отложен ради стабильности, вышло @wordpress/build — новый билдинг плагинов. Критическая supply-chain атака через поддельный axios. Astro 6.0 с Rust-компилятором. Laravel 13.3 с #[UnitTest] атрибутом.

🟦 WordPress

1. WordPress 7.0 отложен — фокус на «экстремальную стабильность»

Релиз перенесён с 9 апреля. Mullenweg решил продлить RC-фазу вместо отката к бетам. Real-Time Collaboration и новые таблицы БД требуют дополнительного тестирования. План — вернуться к 4 релизам в год к 2027.

🔗 https://www.searchenginejournal.com/wordpress-delays-release-of-version-7-0-to-focus-on-stability/570944/

2. @wordpress/build — следующее поколение билдинга плагинов (Apr 2)

Новая утилита заменяет @wordpress/scripts под капотом. Переход безболезненный — большинству разработчиков ничего менять не нужно. Улучшен DX, новый движок сборки. Рекомендую присмотреться.

🔗 https://developer.wordpress.org/news/2026/04/wordpress-build-the-next-generation-of-wordpress-plugin-build-tooling/

3. 225 новых уязвимостей за неделю (SolidWP, Apr 1)

203 плагина + 22 темы. 91 уязвимость остаётся незапатченной. Smart Slider 3 (CVE-2026-3098) — чтение файлов, затронуто 500K+ сайтов. Патч 3.5.1.34 вышел 24 марта, но обновились не все.

🔗 https://solidwp.com/blog/wordpress-vulnerability-report-april-1-2026/

4. WordCamp Asia 2026 — сессии от AI до Open Source (Apr 2)

Опубликованы материалы конференции. Темы: AI в WordPress, open source культура, комьюнити.

🔗 https://wordpress.org/news/2026/04/wcasia-2026-sessions/

🟪 WooCommerce

1. WooCommerce 10.6.2 — подготовка к WordPress 7.0 (Mar 31)

Исправления UI в админке: padding в таблицах аналитики, обёртывание кнопок, выравнивание экрана заказов. Багфикс переменных товаров в блоке Add to Cart with Options.

🔗 https://developer.woocommerce.com/2026/03/31/woocommerce-10-6-2-dot-release/

3. CVE-2025-15484 (CVSS 9.1) в Order Notification for WooCommerce

Критическая уязвимость — обход прав доступа, полный доступ к заказам. Исправлено в 3.6.3. CVE-2026-32488 в Product Filter for WooCommerce (WBW) — исправлено в 5.1.3.

🔗 https://freshysites.com/resources/wordpress-security-bulletin-order-notification-for-woocommerce-plugin-vulnerability-cve-2025-15484/

🌐 Веб-разработка

1. 🔥 Supply-chain атака через поддельный axios 1.14.1 и 0.30.4

Фейковые пакеты содержали RAT (remote access trojan). Проверяйте package.json и package-lock.json на эти версии.

🔗 https://app.daily.dev/posts/malicious-axios-versions-1-14-1-and-0-30-4-deploy-a-remote-access-trojan-via-supply-chain-attack-rlevdfzaa

2. Astro 6.0 — Rust-компилятор, CSP, новый dev-сервер

Релиз с экспериментальным Rust-компилятором, переработанным дев-сервером и Content Security Policy. Astro 6.1 — улучшения оптимизации изображений и i18n. Cloudflare анонсировали EmDash — CMS на Astro 6.0 как альтернативу WordPress.

🔗 https://astro.build/blog/whats-new-march-2026/

3. Laravel 13.3 — #[UnitTest] атрибут и BatchStarted event (~Apr 1)

Новый атрибут пропускает загрузку фреймворка для быстрых unit-тестов. Вариативные атрибуты для моделей (#Fillable, #Hidden). Мониторинг пакетных задач через BatchStarted. Forge добавил managed PostgreSQL.

🔗 https://laravel.com/blog/laravel-march-product-updates

4. Next.js 16.2 — стабильный Adapter API

Типизированный API для мультиплатформенности (OpenNext, Netlify, Cloudflare, AWS Amplify, Google Cloud). Cloudflare выпустили Vinext — экспериментальный Vite-плагин, воспроизводящий API Next.js за 1 неделю с помощью AI.

🔗 https://github.com/vercel/next.js/releases