IнTересности

Вышла очередная версия блогодвижка Wordpress – Wordpress 2.9.2. Данное обновление рекомендуется всем, у кого блог ведут несколько авторов.

Проблему в общей видимостью черновиков обнаружил Thomas Mackenzie. Поэтому если у вас есть пользователи, с правами больше чем простой читатель – рекомендуется обновляться.

Скачать последнюю версию Wordpress можно здесь. Ну или обновиться из админки блога – [Инструменты] – [Обновление] ([Tools] – [Upgrade])

После двух перестраховок (Beta-1 и RC1) разработчики наконец-то выпустили первый стабильный релиз 2.9 ветки (саму версию 2.9 вряд ли можно считать стабильной) – уже можно смело устанавливать WordPress 2.9.1.

Если вы уже устанавливали себе какую-то из версий 2.9 ветки можно обновиться через Tools -> Upgrade в административной панели блога. Для терпеливых или осторожных (кто сказал – тру’сов!? ) – нужно скачать WordPress 2.9.1

Все исправленные ошибки можно посмотреть здесь.

Приятного всем пользования… ну а я буду переходить чуть позже – попытаюсь чуть обновить тему и привести всё в порядок.

Не успела выйти, так давно всеми ожидаемая, версия Wordpress 2.9, как оказалось что необходимо срочно выпускать обновление. Ошибка содержалась в коде, который работает с некоторыми версиями PHP-расширения cUrl – некорректно работали отложенные топики и трэкбэки. Поэтому авторы скрипта сразу же выпустили WordPress 2.9.1, присвоив ей на всякий случай статус “Beta 1″. Предлагается тестерам ещё раз покопаться во внутренностях и внешностях работы Wordpress, чтобы снова не произошёл такой неприятный казус – новая ветка и сразу баг.

Я сам, если честно, ещё не обновлялся. думаю что переходить на новую версию Wordpress буду уже после нового года. Просто планирую немного переделать внешний вид блога плюс немного активизировать его работу.

В официальном блоге Wordpress появилось сообщение о подготовке к предстоящем открытии сезона охоты за багами в новой версии – Wordpress 2.9

Команда разработчиков просит всех заинтересованных в тестировании подготовится к этому процессу морально и технически.
Первый этап будет проводиться 5-7 ноября, второй – 14-16 ноября.
Цели:

• Тестировать, тестировать и ещё раз тестировать. Как завещал… упс… это кажется не отсюда…
• Исправить уже известные ошибки
• Найти и сообщить о новых ошибках

Подробности читайте на официальном блоге.

То ли я пропустил, то ли Лекактус разленился – не объявил об обновлении русской сборки Wordpress 2.8.4 в его переводе.

Сборка доступна в трёх вариантах – мегапак с переведёнными плагинами, обычная сборка (там самые необходимые плагины – всего 3 штуки) и вариант обновления с версии 2.8.2 на 2.8.4. Как мы все помним версия 2.8.3 была проходная – в которой не был исправлен очень неприятный баг со сбросом пароля админа.

В общем всем кто пользуется именно этой сборкой – качать однозначно. Я уже скачал и обновился – спасибо колючему .
Хотя судя по статистике – эту сборку скачали уже почти 10 000 раз – чё-то я как всегда всё пропустил. Ну да лучше поздно, чем никогда.

Из официального блога:

Вчера была обнаружена уязвимость, позволяющая, при помощи специально составленного URL, атакующему обойти проверку пользователя и запросить сброс пароля. В результате для первой учётной записи без ключа в базе данных (обычно это учётная запись администратора) сбрасывался пароль. Новый пароль отправлялся по е-мейлу, указанному в учётной записи. Это не давало удалённого доступа, но является очень досадной ошибкой.

Мы исправили эту проблему прошлой ночью и протестировали исправления и нашли некоторые другие проблемы. Версия Wordpress 2.8.4, которая исправляет все известные проблемы, уже доступна для скачивания и крайне рекомендуется для всех пользователей WordPress.

Оперативненько, чего собственно и следовало ожидать.

Подвержены этому багу все версии, включая и Wordpress 2.8.3.

Заключается он в следующем – на любом сайте можно сбросить административный пароль. Так во всяком случае написано в источнике, откуда собственно я об этом узнал.
Достаточно всего лишь пойти на сайте на котором установлен Wordpress по следующему url:
http://DOMAIN_NAME.TLD/wp-login.php?action=rp&key[]=
при этом на почтовый адрес, указанный в учётной записи администратора (ID=1 – это важно – запомните)

А теперь что удалось выяснить мне:

• эксплойт работает… пароль сбрасывается и высылается на почту сгенерированный самим Wordpress-ом;
• особенно не повезёт тем, у кого не работает отсылка писем (бывает такое) – сможете получить доступ к своему аккаунту только путём правки базы MySQL своего блога;
• а теперь самое важное – пароль сбрасывается для пользователя с наименьшим ID – если вы воспользовались ранее мудрыми советами по защите своего блога, где кроме всего прочего рекомендуется удалять административную учётную запись по-умолчанию. Хотя опять же, если вы сразу же после этого создали нового пользователя с ID=2 – то у вас проблемы!!!
• на данном блоге у меня админ-пользователь не с наименьшим ID – так что можете даже не пытаться – не повезёт Жилинскому (его пользователь имеет наименьший ID)
• даже если вы залогинились в блог как админ и в браузере зашли на http://DOMAIN_NAME.TLD/wp-login.php?action=rp&key[]= – всё равно сбросится пароль пользователя с наименьшим ID

Мои рекомендации:

• срочно создаёте нового пользователя с административными правами
• меняете привилегии пользователя с наименьшим ID (по-умолчанию это admin) на “Подписчик” или удаляете его. Только если будете удалять – не забудьте переназначить все его записи и комментарии на нового админа. Да и если у вас всего два пользователя в блоге – не удаляйте с наименьшим ID – иначе вы ничего не исправите.
• не забывайте делать регулярные бекапы.

Ну и конечно будем ждать обновления от команды Wordpress.

Update:
Оказывается решение проблемы уже давно есть.
Находим в файле wp-login.php 190-ю строку if ( empty( $key ) ) и меняем её на if ( empty( $key ) || is_array( $key ) )

Вышел очередной релиз самой популярной CMS для создания standalone блогов (и не только) – Wordpress 2.8.3

Вольный перевод сообщения Райана Борана (Ryan Boren):

К сожалению я пропустил несколько мест в коде, когда исправлял ошибки повышения привилегий в версии 2.8.1. К счастью сообщество WordPress прикрыло наши тылы. Несколько ребят из сообщества копнули глубже и нашли пропущенные места. С их помощью пропущенные ошибки исправлены в 2.8.3. Т.к. это релиз улучшающий безопасность – крайне рекомендуется обновиться. Можно скачать Wordpress 2.8.3 или обновиться автоматически через панель администратора.

Вышло очередное обновление самого популярного движка для блогов — Wordpress 2.8.2.

Это обновление содержит устранение XSS-уязвимости, которая заключается в недостаточной фильтрации URL автора коментария при отображении самого коментария в админке блога. Эта уязвимость позволяла выполнить редирект с админки блога на другой сайт.

Всем рекомендуется либо скачать новую версию Wordpress 2.8.2, либо автоматически обновиться, используя страницу обновления в админке блога — Tools → Upgrade (Инструменты → Обновление).

В официальном блоге был опубликован отчёт о встрече (виртуальной естественно) 03.06.2009 на IRC-канале #wordpress-dev.

Выделены следующие IнTересные моменты:

• Следующая среда, 10-е июня – дата релиза WordPress 2.8.
• WP 2.9 будет требовать MySQL 4.1.2 или старше. Это поднимает текущие требования с 4.0 версии.
• Будет добавлена проверка при автоматическом обновлении, чтобы избежать обновления до версии 2.9 если установлена версия MySQL < 4.1.2. Программа обновления будет советовать отправлять хостерам сообщения о переходе на более новые версии MySQL
• Программа обновления будет советовать переходить с PHP 4 на PHP 5. В Кодексе будут соответствующие статьи для различных хостингов.
• Новое время еженедельной встречи на IRC – каждая среда 9:00 pm UTC.

Ну что – все усиленно готовимся к переходу на Wordpress 2.8. Хотя вроде переделок тем и плагинов особо не потребуется. Ну будем посмотреть.