Новости про WordPress, WooCommerce & Web-разработку. Дайджест за неделю — 25 апреля 2026

TL;DR: WordPress 7.0 перенесён на 20 мая, критические уязвимости в плагинах Breeze Cache и Ninja Forms активно эксплуатируются хакерами, Laravel 13.6.0 добавил дебунс джоб, Vercel подвергся атаке на цепочку поставок, WooCommerce анонсировал интеграцию с YouTube Shopping.

🟦 WordPress

WordPress 7.0 перенесён на 20 мая 2026

Релиз отложен для включения архитектурных улучшений стабильности и производительности, идёт тестирование RC3. Планируется три крупных релиза в 2026 году (7.0, 7.1, 7.2) с встроенными AI-функциями.

🔗 https://wordpress.org/news/2026/03/wordpress-7-0-release-candidate-2/

Хакеры эксплуатируют уязвимость в Breeze Cache (CVE-2026-3844)

Критическая уязвимость произвольной загрузки файлов в плагине с 400K+ установок. Wordfence заблокировал 170+ атак. Cloudways выпустили патч в версии 2.4.5.

🔗 https://www.bleepingcomputer.com/news/security/hackers-exploit-file-upload-bug-in-breeze-cache-wordpress-plugin/

Более 30 плагинов Essential Plugin скомпрометированы после продажи на Flippa

Атака на цепочку поставок затронула ~400K сайтов. WordPress.org команда отключила плагины 7 апреля. Продолжаются эксплойты других плагинов с уязвимостями перемещения файлов.

🔗 https://www.wordfence.com/blog/2026/04/wordfence-intelligence-weekly-wordpress-vulnerability-report-april-13-2026-to-april-19-2026/

WordCamp Asia 2026 побил рекорды посещаемости

Мероприятие в Мумбаи ознаменовало запуск новых инициатив сообщества. Мэтт Малленвег на PressConf 2026 подчеркнул приоритет индивидуальных контрибьюторов над корпорациями.

🔗 https://wordpress.org/news/2026/04/celebrating-wcasia-2026/

🟪 WooCommerce

Интеграция YouTube Shopping через Google for WooCommerce 3.6

Анонсировано 21 апреля: теги товаров в видео и Shorts для 2.7 млрд пользователей, AI-креативы для рекламы и сервисные кампании.

🔗 https://woocommerce.com/posts/woocommerce-youtube-shopping/

Критические XSS уязвимости в плагинах WooCommerce

CVE-2025-47504 в «Maximum Products per User» (≤4.3.6) и «Order Minimum/Maximum Amount Limits» (≤4.6.4). Обновления 4.3.7 и 4.6.5 исправляют проблемы, требующие привилегий контрибьютора.

🔗 https://managed-wp.com/blogs/critical-xss-in-woocommerce-maximum-products-plugin-cve202547504-2026-04-22/

Долгосрочные баги в WooCommerce Subscriptions вызывали сбои продлений

Отчёт от 22 апреля: некоторые магазины теряли выручку из-за ошибок продления подписок на протяжении лет.

🔗 https://dev.to/sarpefe/after-3-years-of-managing-woocommerce-stores-i-found-the-bug-cache-plugins-cant-fix-463b

UCP-возможности WooCommerce превзошли Shopify

Анализ автономных платежей и протокола AP2. WooCommerce теперь поддерживает больше UCP-функций для AI-агентов.

🔗 https://dev.to/zologic/woocommerce-now-has-more-ucp-capabilities-than-shopify-heres-the-breakdown-4fe2

Свободная альтернатива Metorik для WooCommerce

Разработчик поделился опытом 1.5 лет и 1000 клиентских магазинов. Плагин с самостоятельным хостингом без ежемесячных платежей.

🔗 https://dev.to/niyht/i-built-a-free-metorik-alternative-for-woocommerce-heres-what-15-years-and-1000-client-stores-3fag

🌐 Веб-разработка

Laravel 13.6.0 — дебунс джоб и новые инструменты

Релиз от 21 апреля: атрибут #[DebounceFor] для отложенных джоб, JSON-ответы для health route, интеграция Cloudflare Email Service, пакет Laravel Mobile Pass для Apple/Google Wallet от Spatie.

🔗 https://laravel-news.com/laravel-13-6-0

Vercel подвергся атаке на цепочку поставок

19 апреля: злоумышленник получил доступ через компрометацию аккаунта сотрудника через Context.ai. Next.js и npm-пакеты не затронуты. Рекомендуется ротация кредов.

🔗 https://vercel.com/kb/bulletin/vercel-april-2026-security-incident

Astro 6.1.6 — исправление XSS уязвимости (CVE-2026-41067)

Уязвимость в defineScriptVars позволяла выполнение произвольного JS. Раскрыта 21 апреля, обновитесь до 6.1.6+.

🔗 https://security.snyk.io/vuln/SNYK-JS-ASTRO-16119128