IнTересности

Подвержены этому багу все версии, включая и WordPress 2.8.3.

Заключается он в следующем – на любом сайте можно сбросить административный пароль. Так во всяком случае написано в источнике, откуда собственно я об этом узнал.
Достаточно всего лишь пойти на сайте на котором установлен WordPress по следующему url:
http://DOMAIN_NAME.TLD/wp-login.php?action=rp&key[]=
при этом на почтовый адрес, указанный в учётной записи администратора (ID=1 – это важно – запомните)

А теперь что удалось выяснить мне:

• эксплойт работает… пароль сбрасывается и высылается на почту сгенерированный самим WordPress-ом;
• особенно не повезёт тем, у кого не работает отсылка писем (бывает такое) – сможете получить доступ к своему аккаунту только путём правки базы MySQL своего блога;
• а теперь самое важное – пароль сбрасывается для пользователя с наименьшим ID – если вы воспользовались ранее мудрыми советами по защите своего блога, где кроме всего прочего рекомендуется удалять административную учётную запись по-умолчанию. Хотя опять же, если вы сразу же после этого создали нового пользователя с ID=2 – то у вас проблемы!!!
• на данном блоге у меня админ-пользователь не с наименьшим ID – так что можете даже не пытаться – не повезёт Жилинскому (его пользователь имеет наименьший ID)
• даже если вы залогинились в блог как админ и в браузере зашли на http://DOMAIN_NAME.TLD/wp-login.php?action=rp&key[]= – всё равно сбросится пароль пользователя с наименьшим ID

Мои рекомендации:

• срочно создаёте нового пользователя с административными правами
• меняете привилегии пользователя с наименьшим ID (по-умолчанию это admin) на «Подписчик» или удаляете его. Только если будете удалять – не забудьте переназначить все его записи и комментарии на нового админа. Да и если у вас всего два пользователя в блоге – не удаляйте с наименьшим ID – иначе вы ничего не исправите.
• не забывайте делать регулярные бекапы.

Ну и конечно будем ждать обновления от команды WordPress.

Update:
Оказывается решение проблемы уже давно есть.
Находим в файле wp-login.php 190-ю строку if ( empty( $key ) ) и меняем её на if ( empty( $key ) || is_array( $key ) )

Вышел очередной релиз самой популярной CMS для создания standalone блогов (и не только) – WordPress 2.8.3

Вольный перевод сообщения Райана Борана (Ryan Boren):

К сожалению я пропустил несколько мест в коде, когда исправлял ошибки повышения привилегий в версии 2.8.1. К счастью сообщество WordPress прикрыло наши тылы. Несколько ребят из сообщества копнули глубже и нашли пропущенные места. С их помощью пропущенные ошибки исправлены в 2.8.3. Т.к. это релиз улучшающий безопасность – крайне рекомендуется обновиться. Можно скачать WordPress 2.8.3 или обновиться автоматически через панель администратора.

Вышло очередное обновление самого популярного движка для блогов — WordPress 2.8.2.

Это обновление содержит устранение XSS-уязвимости, которая заключается в недостаточной фильтрации URL автора коментария при отображении самого коментария в админке блога. Эта уязвимость позволяла выполнить редирект с админки блога на другой сайт.

Всем рекомендуется либо скачать новую версию WordPress 2.8.2, либо автоматически обновиться, используя страницу обновления в админке блога — Tools → Upgrade (Инструменты → Обновление).

В официальном блоге был опубликован отчёт о встрече (виртуальной естественно) 03.06.2009 на IRC-канале #wordpress-dev.

Выделены следующие IнTересные моменты:

• Следующая среда, 10-е июня – дата релиза WordPress 2.8.
• WP 2.9 будет требовать MySQL 4.1.2 или старше. Это поднимает текущие требования с 4.0 версии.
• Будет добавлена проверка при автоматическом обновлении, чтобы избежать обновления до версии 2.9 если установлена версия MySQL < 4.1.2. Программа обновления будет советовать отправлять хостерам сообщения о переходе на более новые версии MySQL
• Программа обновления будет советовать переходить с PHP 4 на PHP 5. В Кодексе будут соответствующие статьи для различных хостингов.
• Новое время еженедельной встречи на IRC – каждая среда 9:00 pm UTC.

Ну что – все усиленно готовимся к переходу на WordPress 2.8. Хотя вроде переделок тем и плагинов особо не потребуется. Ну будем посмотреть.

Долгожданный финальный релиз WordPress 2.8 все ближе и ближе – вышла вторая бета.

Уже можно скачать WordPress 2.8 Beta 2

Изменения относительно первого бета-релиза.

Lecactus высказался относительно грядущей версии WordPress – В ожидании релиза WP2.8. Уж чьему-чьему, а его мнению относительно WordPress я очень доверяю, тем блее что именно его сборка стоит на этом блоге, только версии 2.7.1. Буду ждать сборку в его исполнении версии 2.8.

Спасибо ему за работу.

Я вот сам давно задумывался над этим вопросом – ведь большинство живёт ради работы, а не работает ради жизни. Вчера наткнулся у кого-то на ссылку – Programmers: Tell me about your work / life balance, Are you happy?. Похоже такие проблемы не только у украинских/русских программистов/дизайнеров и т.д. – проблемы у всех. И это печально.

Рекомендую внимательно прочитать все комментарии в данном обсуждении, я переведу только самый для меня актуальный – на меня не сильно похоже – но параллели довольно чётко прослеживаются. За перевод сильно не пинайте.

Я иду на работу, пашу несколько часов, программирую после обеда, иду домой, работаю над кодом дома пока хватает сил. В 4 утра заканчиваю и иду спать, просыпаюсь в 10 утра и возвращаюсь на работу…

Приходят выходные, я просыпаюсь в 5-6 вечера субботы (отсыпаюсь за недоспанное в течении недели). Я играю в игры, делаю кое-какую работу, иногда выхожу поиграть в бильярд или просто пошляться с друзьями, или просто напиваюсь. Ложусь спать в полдень. Просыпаюсь в 5-6 вечера воскресенья, хорошо отдохнув от работы (вот тут я не понял как правильно перевести).

В каждый из этих дней я ем много фастфуда и мой организм ненавидит меня за это. Я пью много газировки у курю много сигарет. Кажду неделю я работаю 40 (отчётных) часов, т.к. переработки запрещены, но в реальности я работаю примерно 70 часов только для того, чтобы показать насколько я замечательный программист, который может сделать всё.

Мой вес был 155 фунтов (70 кг) до того как я опять начал программировать. Я регулярно таскал железки и практически всегда был на улице. Теперь я постоянно в помещении, стал на 25 фунтов (11 кг) тяжелее – но это пока ещё нормально для парня с ростом 5’11 (1 м 80 см), но у меня абсолютно нет энергии – я постоянно чувствую себя уставшим.

Мне нравится программировать, но там где я работаю на 99% мужской коллектив, женщина работают в других местах и у меня нет возможности пригласить кого-нибудь. Я иду в бар и всем женщинам там далеко за 30, а мне всего 28.

Я зарабатываю неплохие деньги, может быть не для программиста, но довольно неплохие в сравнении с моими одноклассниками, но я проедаю 75% и вожу машину, которая стоит дешевле чем годовая премиум-страховка большинства людей.

Моя жинь полностью расстроена. Нет сремления к чему-нибудь – полный хаос. Я на последней ступени – я просто потерялся по жизни. Я не трахаюсь (уж извините – как написано – так написано ), я конечно регулярно общаюсь с девушками, но не могу заставить себя не нечто большее чем дружба.

Моя общественная жизнь никакая. Я знаю всего 3-4 человек с которыми мы проводим время и которые не работают со мной. В общем – я доволен работой, но совершенно недоволен остальной чатью жизни.

Я не знаю типичный ли это расклад для программиста – но что есть, то есть.

Мне почему-то кажется что с подобными проблемами сталкивается любой человек, особенно на работу переехавший в другой город/другую страну. Я вот ушёл с предыдущей работы на новую, в другой город перехал только для того, чтобы вечерами не сидеть и не работать неосновную работу – ничего не вышло. Сейчас необходимости работать не только на основной работе стало ещё больше.

Естественно новых друзей в новом городе тоже нет, потому что просто нехватает времени их находить. С женщинами та же фигня

Вот только в отличии от автора комментария фастфудом я не питаюсь.. и пожалуй даже немного похудел . Ну и конечно сплю я по всеобщему расписанию , т.е. ночью

А как у вас обстоят с этим дела собратья программисты/дизайнеры/консультанты и иже с ними с постоянной работой в офисе? Добро пожаловать в комментарии (после регистрации).

P.S. нашёл ссылку откуда я узнал об этой статье, я-то думал что потерял её – вот собственно.
На что, на что – а на ссылки я пока не жадный

Ну что… всем плакать, кому от счастья, кому от горя – вышла первая бета новой ветки WordPress – WordPress 2.8 Beta 1

Офицальное сообщение на редкость таланливое (в смысле краткое ):

Скачать, протестировать, сообщить об ошибке.

Что нового? Да всё вот это.

Удачной охоты, все вы тестеры.

Обязательно почитайте кодекс, особенно касается разработчиков плагинов и тем – очень много изменений в API и структуре базы данных. Уже можно смело начинать инспектировать код своих тем и плагинов на предмет совместимости и исправлять ошибки этой самой несовместимости – успеете как раз к выходу финального релиза.

Вышел первый «технический» релиз пожалуй самого известного скрипта для автономных блогов ветки 2.7 – WordPress 2.7.1

Релиз 2.7.1 исправил 68 ошибок. Можно обновляться автоматически с 2.7 до 2.7.1 через меню Tools->Upgrade (ну или Инструменты->Обновление) или можно скачать полную версию и обновится вручную.

Подробности можно посмотреть в списке исправленных ошибок и полном перечне отличий файлов версий 2.7 и 2.7.1.

К сожалению сейчас ссылки на http://trac.wordpress.org/ не работают – видимо народ ломанулся узнавать чего же там такого новенького.

Я качать этот релиз пока не буду. Во-первых он не критический, во-вторых подожду версии от Ивана Калинина aka Lecactus-а .

Update:
Ссылки заработали, поэтому можно углубляться в подробности релиза.

Исправлены ошибки в высоким приоритетом (критических не было):

• 6489 Даты сохранения версий статей/сообщений не соответствовали часовому поясу
• 8405 WordPress создавал некорректные rss-ленты комментариев
• 8535 Проблема с возможностью доступа в админ область через некорректно разработанные плагины
• 8672 Ошибка в wp_newComment()
• 8767 Пересмотрены фильтры для предотвращения потенциальных XSS аттак
• 8978 При опубликовании черновиков бралась дата последнего сохранения, а не дата опубликования

Update 2:
Кактусная версия уже вышла – смотрите внимательно на сайте Калинина. У кого не взорвался мозг от «Какстусная версия Калинина» – те могут качать обновления для ручного режима или всю сборку целиком, ну или обновляться автоматически.

28 января 2009 года на сайте «Плагины для WordPress» случилось знаменательное событие – набралось 4000 доступных для скачивания плагинов. По этому поводу Мэт Муленвег (Matt Mullenweg) объявил о учреждении Дня благодарения разработчика плагина (Thank a Plugin Developer Day)

Мэт высказал пожелание ко всем кто пользуется WordPress-ом и плагинами к нему (а по его данным в среднем на каждой инсталляции WordPress-а стоит 5 плагинов) посетить странички создателей и по имеющимся там контактам отослать сообщения с благодарностью.

Сделаем приятное авторам: кто-то словом, а кто-то и реальными деньгами.