IнTересности

Вышла очередная версия блогодвижка WordPress – WordPress 2.9.2. Данное обновление рекомендуется всем, у кого блог ведут несколько авторов.

Проблему в общей видимостью черновиков обнаружил Thomas Mackenzie. Поэтому если у вас есть пользователи, с правами больше чем простой читатель – рекомендуется обновляться.

Скачать последнюю версию WordPress можно здесь. Ну или обновиться из админки блога – [Инструменты] – [Обновление] ([Tools] – [Upgrade])

Совсем недавно нашёл ещё один сервис для упрощения использования аватаров пользователей Twitter-а на любом сайте – Twitter Images. Первый сервис, который я использовал, если помните, создал Рэми Шарп (Remy Sharp) – Twivatar.org

Для тех кто не в курсе зачем всё это нужно – твиттер хранит все аватары пользователей не по постоянным адресам. Например мой текущий аватар имеет url-ы

• https://s3.amazonaws.com/twitter_production/profile_images/83297159/stew_mini.jpg
• https://s3.amazonaws.com/twitter_production/profile_images/83297159/stew_normal.jpg
• https://s3.amazonaws.com/twitter_production/profile_images/83297159/stew_bigger.jpg

При такой организации хранения аватаров есть куча недостатков:

• если пользователь изменит свой аватар – поменяются пути к текущим версиям аватара
• имя файла аватара не всегда идентично имени аккаунта (ну если не учитывать постфикс размера)

Так вот – подобные сервисы избавляют разработчиков и пользователей от проблем замены путей к файлам аватаров на сторонних ресурсах.

Использовать этот сервис тоже очень просто, нужно в коде своей страницы просто вставлять следующую ссылку

<img src="http://img.tweetimag.es/i/[username]_[size]" alt="" />

где
[username] – ваш ник в твиттере
[size] :

• m (24×24)
• n (48×48)
• b (73×73)
• o (исходный размер)

Пример использования:
обычный (normal) размер

<img src="http://img.tweetimag.es/i/stewardtz_n" alt="" />

и большая

<img src="http://img.tweetimag.es/i/stewardtz_b" alt="" />

Для желающих – добро пожаловать в мой Twitter – stewardtz, там уже больше 300 твиттов на разные темы. Да – в ответ зафоловлю только если сочту вас интересным – так что не обижайтесь.

Сегодня в NETTUTS появилась коротенький совет для верстальщиков – как различать в CSS IE6 и IE7 с помощью всего двух символов * и _. Это самый просто хак для ИЕ. Надеюсь понятно что эти два правила нужно располагать именно в таком порядке – сначала правило с «*», потом «_».

#someElement {
	background: red; 			/* нормальные браузеры */
	*background: green; 		/* IE7 и ниже */
	_background: yellow;  		/* только IE6 */
}

Однако всё это не способствует прохождению валидации файла стилей. Честно говоря в своих немногочисленных работах никогда не пользуюсь хаками – либо использую условные комментарии (для IE), либо «не судьба» – точнее приходится решать проблемы другими способами или отказываться от чего-то.

Условные комментарии для IE стали доступны с 5-й версии Internet Explorer и поддерживаются только Internet Explorer-ом.

	<!--[if IE 6]>
	Код только для IE6 - любой html, css, javacsript
	<![endif]-->

Официальная документация – условные комментарии на MSDN.

Синтаксис условных комментариев

После двух перестраховок (Beta-1 и RC1) разработчики наконец-то выпустили первый стабильный релиз 2.9 ветки (саму версию 2.9 вряд ли можно считать стабильной) – уже можно смело устанавливать WordPress 2.9.1.

Если вы уже устанавливали себе какую-то из версий 2.9 ветки можно обновиться через Tools -> Upgrade в административной панели блога. Для терпеливых или осторожных (кто сказал – тру’сов!? ) – нужно скачать WordPress 2.9.1

Все исправленные ошибки можно посмотреть здесь.

Приятного всем пользования… ну а я буду переходить чуть позже – попытаюсь чуть обновить тему и привести всё в порядок.

Не успела выйти, так давно всеми ожидаемая, версия WordPress 2.9, как оказалось что необходимо срочно выпускать обновление. Ошибка содержалась в коде, который работает с некоторыми версиями PHP-расширения cUrl – некорректно работали отложенные топики и трэкбэки. Поэтому авторы скрипта сразу же выпустили WordPress 2.9.1, присвоив ей на всякий случай статус «Beta 1″. Предлагается тестерам ещё раз покопаться во внутренностях и внешностях работы WordPress, чтобы снова не произошёл такой неприятный казус – новая ветка и сразу баг.

Я сам, если честно, ещё не обновлялся. думаю что переходить на новую версию WordPress буду уже после нового года. Просто планирую немного переделать внешний вид блога плюс немного активизировать его работу.

Пока я отмечал свой день рождения, вышло очередное обновление движка для блогов – WordPress 2.8.6

В официальном релизе скупые пять строчек (в переводе вышло больше):

2.8.6 исправляет две проблемы в безопасности, которые могут быть использованы зарегистрированными и залогинеными пользователями, которые имеют права для создания новых записей в блоге. Обновление до версии 2.8.6 рекомендуется если у вас есть авторы, которым вы не доверяете.

Первая проблема – это XSS уязвимость в Press This, обнаруженная Бенжамином Флечем (Benjamin Flesch). Вторая проблема, обнаруженная Дэвидом Голунски (Dawid Golunski), состоит в том, что недостаточно фильтруются имена загружаемых файлов и это может быть использовано в некоторых конфигурациях Apache. Спасибо Бенжамину и Дэвиду за найденные и сообщенные ошибки.

Собственно кактусовый вариант можно скачать здесь.

В официальном блоге WordPress появилось сообщение о подготовке к предстоящем открытии сезона охоты за багами в новой версии – WordPress 2.9

Команда разработчиков просит всех заинтересованных в тестировании подготовится к этому процессу морально и технически.
Первый этап будет проводиться 5-7 ноября, второй – 14-16 ноября.
Цели:

• Тестировать, тестировать и ещё раз тестировать. Как завещал… упс… это кажется не отсюда…
• Исправить уже известные ошибки
• Найти и сообщить о новых ошибках

Подробности читайте на официальном блоге.

То ли я пропустил, то ли Лекактус разленился – не объявил об обновлении русской сборки WordPress 2.8.4 в его переводе.

Сборка доступна в трёх вариантах – мегапак с переведёнными плагинами, обычная сборка (там самые необходимые плагины – всего 3 штуки) и вариант обновления с версии 2.8.2 на 2.8.4. Как мы все помним версия 2.8.3 была проходная – в которой не был исправлен очень неприятный баг со сбросом пароля админа.

В общем всем кто пользуется именно этой сборкой – качать однозначно. Я уже скачал и обновился – спасибо колючему .
Хотя судя по статистике – эту сборку скачали уже почти 10 000 раз – чё-то я как всегда всё пропустил. Ну да лучше поздно, чем никогда.

Из официального блога:

Вчера была обнаружена уязвимость, позволяющая, при помощи специально составленного URL, атакующему обойти проверку пользователя и запросить сброс пароля. В результате для первой учётной записи без ключа в базе данных (обычно это учётная запись администратора) сбрасывался пароль. Новый пароль отправлялся по е-мейлу, указанному в учётной записи. Это не давало удалённого доступа, но является очень досадной ошибкой.

Мы исправили эту проблему прошлой ночью и протестировали исправления и нашли некоторые другие проблемы. Версия WordPress 2.8.4, которая исправляет все известные проблемы, уже доступна для скачивания и крайне рекомендуется для всех пользователей WordPress.

Оперативненько, чего собственно и следовало ожидать.

Подвержены этому багу все версии, включая и WordPress 2.8.3.

Заключается он в следующем – на любом сайте можно сбросить административный пароль. Так во всяком случае написано в источнике, откуда собственно я об этом узнал.
Достаточно всего лишь пойти на сайте на котором установлен WordPress по следующему url:
http://DOMAIN_NAME.TLD/wp-login.php?action=rp&key[]=
при этом на почтовый адрес, указанный в учётной записи администратора (ID=1 – это важно – запомните)

А теперь что удалось выяснить мне:

• эксплойт работает… пароль сбрасывается и высылается на почту сгенерированный самим WordPress-ом;
• особенно не повезёт тем, у кого не работает отсылка писем (бывает такое) – сможете получить доступ к своему аккаунту только путём правки базы MySQL своего блога;
• а теперь самое важное – пароль сбрасывается для пользователя с наименьшим ID – если вы воспользовались ранее мудрыми советами по защите своего блога, где кроме всего прочего рекомендуется удалять административную учётную запись по-умолчанию. Хотя опять же, если вы сразу же после этого создали нового пользователя с ID=2 – то у вас проблемы!!!
• на данном блоге у меня админ-пользователь не с наименьшим ID – так что можете даже не пытаться – не повезёт Жилинскому (его пользователь имеет наименьший ID)
• даже если вы залогинились в блог как админ и в браузере зашли на http://DOMAIN_NAME.TLD/wp-login.php?action=rp&key[]= – всё равно сбросится пароль пользователя с наименьшим ID

Мои рекомендации:

• срочно создаёте нового пользователя с административными правами
• меняете привилегии пользователя с наименьшим ID (по-умолчанию это admin) на «Подписчик» или удаляете его. Только если будете удалять – не забудьте переназначить все его записи и комментарии на нового админа. Да и если у вас всего два пользователя в блоге – не удаляйте с наименьшим ID – иначе вы ничего не исправите.
• не забывайте делать регулярные бекапы.

Ну и конечно будем ждать обновления от команды WordPress.

Update:
Оказывается решение проблемы уже давно есть.
Находим в файле wp-login.php 190-ю строку if ( empty( $key ) ) и меняем её на if ( empty( $key ) || is_array( $key ) )