WordPress 3.0.2 – Релиз безопасности

В официальном блоге WordPress появилось сообщение о выпуске новой версии популярной блог-платформы. Данное обновление заявлено как обязательное обновление для всех предыдущих версий WordPress с целью устранения обнаруженных уязвимостей.

В настоящий момент во всех версиях WordPress ниже 3.0.2 существует возможность для злоумышленника с правами автора получить более широкие привелегии в вашем блоге.

Релиз безопасности 3.0.2 устраняет эту ошибку, а также вносит дополнительные корректировки в безопасности и исправления, с которыми можно ознакомиться на багтрекере WordPress по этой ссылке.

via Daemony


Теги: , , ,

301 – permanent redirect

SEOшники очень любят склеивать имя домена с www. и без него, оставляя что-то одно, кому что больше нравится. Лично мне больше нравится без www, т.к. www – пережиток прошлого, эдакий атавизм.

Apache

В веб-сервере Apache для склейки, как правило, используется редирект или реврайт (правило). Первый способ – это создание двух отдельных доменов на сервере и перенаправление с домена с www на домен без www с помощью редиректа в файле .htaccess, например:

RedirectMatch (.*) http://domain.tld/$1

Если вы сторонник mod_rewrite и домен у вас создан не раздельно, можно использовать следующий код:

Options +FollowSymLinks
RewriteEngine on
RewriteBase /
RewriteCond %{HTTP_HOST} !^www.domain.tld$ [NC]
RewriteRule ^(.*)$ http://www.domain.tld/$1 [R=301,NC]

При этом будет происходить редирект с domain.tld на www.domain.tld, если нужно наоборот, просто удалите в правиле "www".

Nginx

В веб-сервере nginx, чтобы перенаправлять запросы с домена с www на домен без www, пропишите в блоке server{} следующий код:

if ($host != 'domain.tld' ) {
   rewrite  ^/(.*)$  http://domain.tld/$1  permanent;
}

Но в этом случае вы не сможете использовать субдомены, если они вам нужны :), пропишите следующее правило:

if ($host = 'www.domain.tld' ) {
   rewrite  ^/(.*)$  http://domain.tld/$1  permanent;
}

N.B.

Учтите, что ВордПресс сам умеет редиректить, в нем нужно изменить настройки в:

Параметры –> Общие


Пропишите в блоках "Адрес WordPress (URL)" и "Адрес сайта (URL)" желаемый адрес, имя домена с www или без него.

TIP
Вы также можете изменить директорию установки WordPress.

Читать остальную часть заметки »

Теги: , , , , , , , , , , ,

WordPress 3.0.1

Наконец-то дошли руки до обновления WP :). Немного подправил прошлогодний мануал по обновлению Вордпресса. В целом, обновление прошло гладко, выплыли только два бага в плагинах, а именно, в плагине популярных записей и плагине подцветки кода.

WordPress Popular Posts

"Плагин популярных записей" в местах специальных символов стал вставлять дополнительные амперсанды, т.е. стал заменять, например, < на < в результате чего она стали выводиться в списке в виде: "3RVX – экранный индикатор громкости звука". Полечить удалось с помощью бета-версии этого плагина, взятой отсюда. Но при наведении курсора все еще виден неправильный тайтл :\. Надеюсь это пофиксят.

SyntaxHighlighter Evolved

Второй плагин вообще начал вести себя странно. На главной странице куски вставленного кода показывал с нормальной подсветкой, а отдельные топики – одни показывал, одни не показывал. Пока что нашел одно решение: принудительно включить опцию "Load All Brushes [v]".


Теги: , , ,

Параграфы WordPress

Наконец-то дошли руки, нашел причину порчи стиля параграфов WordPress. Оказалось их портит виджет ПриватБанка, установленный в боковой панели. Надеюсь в техподдержке мою просьбу передадут кому нужно 🙂

P.S.

Виджет пока отключен.


Теги: , , , ,

Вордпресс

Обновил WordPress до последней версии (по этому мануалу ©) и установил плагин Paginator – всегда просто мечтал иметь нечто подобное, а не какой-то костыль с доступом только к ограничеснному числу страниц. Автору мегареспект :).

Остался только один глюк, который я пока не знаю, как поправить (ну, точнее, просто ленюсь)). В посте почему-то сливаются абзацы, т.е. выглядеть они должны как на скриншоте, а на сайте выглядят совсем не так :(.


Теги: , ,

Удаленный сброс пароля админа в WordPress

В WordPress найдена уязвимость: злоумышленник может сбросить пароль администратора. Уязвимы все версии wordpress/wordpress-mu <= 2.8.3. Хороший момент в том, что пароль отправится админу на почту 🙂 и никуда больше. Но все равно не приятно.

Уязвимость

http://DOMAIN_NAME.TLD/wp-login.php?action=rp&key[]=

Вордпресс просто сбросит пароль и выдаст: “Проверьте ваш email для получения письма с новым паролем.”

Защита

// под этими строчками
if ( empty( $key ) )
return new WP_Error(‘invalid_key’, __(‘Invalid key’));

// добавьте еще эту проверку:
if ( is_array( $key ) )
return new WP_Error(‘invalid_key’, __(‘Invalid key’));


Теги: , , , , , , , , ,

Обновление WordPress

Маленький финт ушами. Если у вас официальная русская сборка WordPress, а не какая-нибудь левая, то вам может быть очень полезна следующая инструкция обновления.

  1. Установите плагин WordPress Automatic Upgrade. При появлении новой версии WP, в админке будет ссылка на автоматическое обновление.
  2. Запустите автоматическое обновление, но дойдите только до шага, где закачивается новая версия WP.
  3. На этом шаге две опции, скачивание англиской версии и скачивание локализованной, но вторая опция отключена. Согласитесь скачать английскую версию. Далее вручную скачайте русскую версию и закачайте архив в каталог wpau-backup. Переименуйте каталог wordpress в что-нибудь (*не важно*) или удалите и распакуйте скачанный архив в текущий каталог (wpau-backup!!!). Появится каталог wordpress. Возможно, вам понадобится изменить права этого каталога: chmod –R o+w wordpress. Если не умеете делать такое из консоли, попросите техподдержку. Или попробуйте обновиться не изменяя права. Если не получится, попросите техподдержку сменить права.
  4. Продолжите следующие шаги. Из этого каталога (wpau-backup) будут скопированы локализированные (русифицированные) файлы.
  5. Поздравляю, вы обновились 🙂

Код для пункта #3:

cd wpau-backup
rm -rf wordpress
wget http://ru.wordpress.org/wordpress-X-ru_RU.zip -O wpau-latest.zip
# где X - последняя версия (см. ru.wordpress.org)
unzip wpau-latest.zip
chmod -R o+w wordpress

Теги: , , , , , , ,