WordPress 3.0.4 – ważna aktualizacja zabezpieczeń

Wersja 3.0.4 WordPressa, dostępna przez stronę „Aktualizacje” panelów administracyjnych oraz do pobrania tutaj, jest istotną aktualizacją, która powinna zostać zaaplikowana jak najprędzej, ponieważ naprawiono w niej poważny błąd w bibliotece KSES, która odpowiada za czyszczenie kodu HTML. Zalecam jak najszybszą aktualizację do tej wersji.

Zdaję sobie sprawę z tego, że konieczność aktualizacji podczas świąt nie jest niczym przyjemnym, ale warto poświęcić temu chwilkę czasu. Zastanów się również, w duchu świąt, nad pomocą z tym zadaniem przyjaciołom.

Jeśli jesteś osobą, która zajmuje się badaniem bezpieczeństwa systemów komputerowych, cieszylibyśmy się, gdybyś zechciał rzucić okiem na te zmiany w kodzie, aby sprawdzić, czy wszystko jest tam w porządku. Poświęciliśmy wiele czasu analizowaniu tego błędu, ale ponieważ dotyczy on tak istotnego komponentu WordPressa, byłoby dobrze, gdyby zbadała go możliwie największa liczba osób. Dziękujemy Mauro Gentile’owi oraz Jonowi Cave’owi (pseud. duck_), którzy odkryli ten problem i zgłosili go nam w pierwszej kolejności.


[ oryginalny wpis ]

WordPress 3.0.3

WordPress 3.0.3 jest już dostępny. Ta poprawka dotyczy bezpieczeństwa wszystkich poprzednich wersji WordPressa.

W tym wydaniu naprawiono błąd w interfejsie zdalnej publikacji, który, w specjalnych okolicznościach, pozwalał użytkownikom o roli autora lub współtwórcy edytować, publikować oraz usuwać wpisy w niepożądany sposób.

Ten błąd dotyczy wyłącznie witryn, na których jest włączona możliwość zdalnej publikacji.

Możliwość ta jest domyślnie wyłączona. Ustawienia zdalnej publikacji na Twojej witrynie możesz sprawdzić w panelu administracyjnym na ekranie “Ustawienia → Pisanie”.

Pobierz WordPressa 3.0.3 lub uruchom automatyczną aktualizację z poziomu ekranu “Kokpit → Aktualizacje” panelu administracyjnego.


[ oryginalny wpis ]

WordPress 3.0.2

Poniższy tekst jest tłumaczeniem wpisu Marka Jaquitha z blogu „WordPress News”:


WordPress 3.0.2 jest już dostępny. Poprawka ta dotyczy bezpieczeństwa wszystkich starszych wersji WordPressa. Tradycyjne haiku:

Naprawione w dniu zero
Wystarczy jedno kliknięcie, aby się zabezpieczyć
Kiedyś to było skomplikowane

W tym wydaniu naprawiono błąd, który pozwalał użytkownikowi z uprawnieniami autora uzyskać szersze uprawnienia, a także inne błędy, oraz dodano nowe usprawnienia zabezpieczeń. Wielkie podziękowania należą się Vladimirowi Kolesnikovi za szczegółowe informacje o tym błędzie!

Pobierz wersję 3.0.2 lub uruchom automatyczną aktualizację z poziomu ekranu Kokpit > Aktualizacje panelu administracyjnego swojej witryny. Zalecamy wykonanie tej aktualizacji niezależnie od tego, czy masz na swojej witrynie konta użytkowników, którym nie ufasz.

WordPress 3.0.1

Jak zwykle, poniżej tłumaczenie wpisu z blogu wordpress.org:


Po ponad 11 milionach pobrań WordPressa 3.0 w przeciągu 42 dni wydajemy WordPressa 3.0.1. Konieczne haiku:

Trzy kropka zero kropka jeden
Poprawki, byś się uśmiechnął
Zaktualizuj WordPressa

W tym wydaniu zostało naprawionych około 50 pomniejszych błędów. Dzięki przeprowadzonym przez Was przed wydaniem wersji 3.0 testom udało nam się wydać jedną z najlepszych i najbardziej stabilnych wersji WordPressa.

Pobierz wersję 3.0.1 lub zaktualizuj swoją instalację automatycznie z poziomu menu Kokpit > Aktualizacje swojego panelu administracyjnego.

WordPress 3.0 – „Thelonious”

Tłumaczenie wpisu WordPress 3.0 “Thelonious” z blogu wordpress.org/development:


Przygotujcie wuwuzele: WordPress 3.0, trzynaste ważne wydanie WordPressa i rezultat połowy roku pracy 218 ludzi, jest już dostępny do pobrania (także przez kokpit, w celu aktualizacji). Ważnymi nowymi funkcjami tej wersji są pociągający nowy motyw o nazwie „Twenty Ten”, nowe API dla twórców motywów, które pozwala im łatwo wdrażać możliwość ustawiania własnych teł, nagłówków oraz skróconych odnośników, menu (nigdy więcej edytowania plików), typów plików oraz taksonomii (wszystkie te nowe funkcje są prezentowane przez motyw Twenty Ten), długo oczekiwane połączenie MU oraz zwykłego WordPressa, które z pewnością docenią programiści i administratorzy sieci, dodające obsługę wielu witryn, pozwalającą na założenie zarówno jednej witryny, jak i dziesięciu milionów przy pomocy pojedynczej instalacji WordPressa. Jako użytkownik, pokochasz odświeżony, lżejszy interfejs, pomoc kontekstową na każdym ekranie, 1217 poprawek błędów i usprawnień, masowe aktualizacje, pozwalające na jednoczesną aktualizację 15 wtyczek za jednym kliknięciem, i bla, bla, bla, po prostu obejrzyj poniższy film. 🙂 (W HD, abyś mógł wyłapać „easter eggi”).

Jeśli chcesz wstawić powyższy przewodnik po WordPressie 3.0 do swojego blogu, wklej tam następujący kod:

<embed src="https://v.wordpress.com/wp-content/plugins/video/flvplayer.swf?ver=1.21" type="application/x-shockwave-flash" width="640" height="360" wmode="transparent" seamlesstabbing="true" allowfullscreen="true" allowscriptaccess="always" overstretch="true" flashvars="guid=BQtfIEY1&amp;width=640&amp;height=360&amp;locksize=no&amp;dynamicseek=false&amp;qc_publisherId=p-18-mFEk4J448M" title="Introducing WordPress 3.0 &quot;Thelonious&quot;"></embed>

Dokładniejsza lista rzeczy, które zostały ulepszone w wersji 3.0, znajduje się w Kodeksie oraz w Tracu. (Staramy się skracać informacje o wydaniach). Uf! Naprawdę jest tego sporo. Nie mogę wyobrazić sobie lepszego sposobu na rozpoczęcie gałęzi 3.X WordPressa, która będzie rozwijana przez kolejne dwa i pół roku.

Przyszłość

Zwykle w tym miejscu mówię, ze zamierzamy zacząć pracę nad WordPressem 3.1, ale tak nie jest. Tym razem zamierzamy skupić się na tym wszystkim, co otacza WordPressa. Rozwój społeczności zapiera dech w piersiach; WordPress 2.9 został pobrany 10,3 milionów razy, ale tak wiele naszych wysiłków było skupionych na oprogramowaniu, że nie pozostało czasu na nic innego. W ciągu kolejnych trzech miesięcy zamierzamy podzielić się na zespoły ninja/piratów, które skupione będą na różnych dziedzinach okołowordpressowych, włączając w to wystawę, Kodeks, forum dyskusyjne, profile, API aktualizacji oraz kompatybilności, katalog motywów, katalog wtyczek, listy dyskusyjne, rdzenne wtyczki, witrynę wordcamp.org… możliwości jest nieskończenie wiele. Celem tych zespołów nie będzie uczynienie wszystkiego momentalnie doskonałym, a po prostu lepszym, niż teraz. Myślimy, że ta inwestycja pozwoli nam na zbudowanie silniejszej infrastruktury dla rozwoju WordPressa przez dziesiątki milionów użytkowników, którzy dołączą do nas podczas pracy nad gałęzią 3.X.

It Takes a Village

Jestem dumny, że mogę uznać wkład 218 ludzi do wydania 3.0. Dzięki tym ludziom WordPress jest tym, czym jest. Ich wkład i ciężka praca pozwalają nam budować coś większego niż tylko sumę wielu części. Lista oczywiście w porządku alfabetycznym.

Opiekunowie: azaozz (Andrew Ozz) (prof), dd32 (Dion Hulse) (prof), donncha (Donncha O Caoimh) (prof), iammattthomas (Matt Thomas) (prof), josephscott (Joseph Scott) (prof), markjaquith (Mark Jaquith) (prof), matt (Matt Mullenweg) (prof), nacin (Andrew Nacin) (prof), nbachiyski (Николай Бачийски) (prof), ryan (Ryan Boren) (prof), westi (Peter Westwood) (prof) oraz wpmuguru (Ron Rennick) (prof). Wkładcy: aaroncampbell (Aaron Campbell) (prof), akerem (prof), alexkingorg (Alex King) (prof), amattie (prof), ampt (Luke Gallagher) (prof), andrea_r (prof), andreasnrb (Andreas Nurbo) (prof), anilo4ever (Angelo Verona) (prof), apeatling (Andy Peatling) (prof), apokalyptik (Demitrious Kelly) (prof), arena (André Renaut) (prof), barry (Barry Abrahamson) (prof), batmoo (Mohammad Jangda) (prof), beaulebens (Beau Lebens) (prof), belg4mit (prof), bigdawggi (Matthew G. Richmond) (prof), blepoxp (Glenn Ansley) (prof), brentes (Brent Shepherd) (prof), briancolinger (Brian Colinger) (prof), bumbu (prof), caesarsgrunt (Caesar Schinas) (prof), camiloclc (prof), CAMWebDesign (prof), carbolineum (prof), caspie (prof), catiakitahara (Cátia Kitahara) (prof), CharlesClarkson (Charles Clarkson) (prof), chdorner (Christof Dorner) (prof), chrisbliss18 (Chris Jean) (prof), chrisscott (Chris Scott) (prof), cnorris23 (Brandon Allen) (prof), coffee2code (Scott Reilly) (prof), computerwiz908 (prof), cyberhobo (Dylan Kuhn) (prof), dancole (Dan Cole) (prof), Daniel Koskinen , deepak.seth (Deepak Seth), demetris (Δημήτρης Κίκιζας) (prof), Denis-de-Bernardy (prof), dimadin (Milan Dinić) (prof), dndrnkrd (Dan Drinkard) (prof), docwhat (prof), dougwrites (prof), dphiffer (Dan Phiffer) (prof), dragoonis (prof), dremeda (Dre Armeda) (prof), dtoj , dougal (Dougal Campbell) (prof), duck_ (Jon Cave) (prof), dxjones (David Jones) (prof), eddieringle (Eddie Ringle) (prof), edward mindreantre (Edward Hevlund), eoinomurchu (prof), empireoflight/Ben Dunkle (prof), ericmann (Eric Mann) (prof), etiger13 (Eddie Monge Jr.) (prof), filosofo (Austin Matzko) (prof), firebird75 (prof), frankieroberto (Frankie Roberto) (prof), Frumph (Philip M. Hofer) (prof), garyc40 (Gary Cao) (prof), gautam2011 (prof), Gary Ross (Gazzer) , GDragoN (Milan Petrovic) (prof), greenshady (Justin Tadlock) (prof), GIGALinux (Dennis Morhardt) (prof), hakre (prof), husky (prof), iandstewart (Ian Stewart) (prof), ipstenu (Mika Epstein) (prof), jacobsantos (Jacob Santos) (prof), jamescollins (James Collins) (prof), jane (Jane Wells) (prof), jbsil (Jesse Silverstein) (prof), jdub (Jeff Waugh) (prof), jeffikus (Jeffrey Pearce) (prof), jeffstieler (Jeff Stieler) (prof), jeremyclarke (Jeremy Clarke) (prof), jfarthing84 (Jeff Farthing) (prof), Jick (James Dimick) (prof), jmstacey (Jon Stacey) (prof), jobjorn (Jobjörn Folkesson) (prof), johanee (Johan Eenfeldt) (prof), johnbillion (John Blackbourn) (prof), johnjamesjacoby/jjj (John James Jacoby) (prof), johnjosephbachir (John Joseph Bachir) (prof), johnl1479 (John Luetke) (prof), johnonolan (John O’Nolan) (prof), JohnPBloch/wmrom (John Bloch) (prof), joostdevalk/yoast (Joost de Valk) (prof), jorbin (Aaron Jorbin) (prof), joshtime (prof), jshreve (prof), junsuijin (prof), kallewangstedt (Karl Wångstedt) (prof), keighl (Kyle Truscott) (prof), kevinB (Kevin Behrens) (prof), koopersmith (Daryl Koopersmith) (prof), kpdesign (Kim Parsell) (prof), ktdreyer (Ken Dreyer) (prof), kurtmckee (Kurt McKee) (prof), laceous (prof), lancewillett (Lance Willett) (prof), lloydbudd (Lloyd Budd) (prof), lriggle (prof), markauk (prof), markmcwilliams (Mark McWilliams) (prof), markoheijnen (Marko Heijnen) (prof), markup (Sasha Mukhin) (prof), mattsains (prof), matveb (Matias Ventura) (prof), mdawaffe (Michael Adams) (prof) , mentel_br (prof), messenlehner (Brian Messenlehner) (prof), miau_jp (prof), Michael (Michael Heilemann) (prof), MichaelH (prof), mikeschinkel (Mike Schinkel) (prof), Miloslav Beňo , minusfive (prof), miqrogroove (Robert Chapin) (prof), misterbisson (Casey Bisson) (prof), mitchoyoshitaka (mitcho (Michael 芳貴 Erlewine)) (prof), MMN-o (prof), momo360modena (Amaury Balmer) (prof), morganestes (Morgan Estes) (prof), mrmist (David McFarlane) (prof), mtdewvirus (Nick Momrik) (prof), nadavvin (prof), Nao (Naoko McCracken) (prof), nathanrice (Nathan Rice) (prof), neoxx (Bernhard Riedl) (prof), niallkennedy (Niall Kennedy) (prof), ninjaWR (Ryan Murphy) (prof), noel (Noël Jackson) (prof), nomulous (Fletcher Tomalty) (prof), ocean90 (Dominik Schilling) (prof), Otto42 (Samuel Wood) (prof), pedger (prof), PeteMall (prof), pampfelimetten (prof), pnettle (prof), PotterSys (Juan) (prof), prettyboymp (Michael Pretty) (prof), ptahdunbar (Ptah Dunbar) (prof), ramiy (prof), RanYanivHartstein (Ran Yaniv Hartstein) (prof), reaperhulk (Paul Kehrer) (prof), reko (prof), remi (Rémi Prévost) (prof), rlerdorf (Rasmus Lerdorf) (prof) , rmccue (Ryan McCue) (prof), rooodini (prof), rovo89 (prof), ruslany (prof), sc0ttkclark (Scott Kingsley Clark) (prof), scottbasgaard (Scott Basgaard) (prof), ScottMac (prof), scribu (prof), SergeyBiryukov (Сергей Бирюков) (prof), ShaneF (prof), sillybean (Stephanie Leary) (prof), Simek (Bartosz Kaszubowski) (prof), simonwheatley (Simon Wheatley) (prof), simosx (Σίμος Ξενιτέλλης) (prof), sirzooro (Daniel Frużyński) (prof), sivel (Matt Martz) (prof), skeltoac (Andy Skelton) (prof), snumb130 (Luke Howell) (prof), solarissmoke (Samir Shah) (prof), sorich87 (prof), ssandison (prof), stencil (prof), stephdau (Stephane Daury) (prof), tai (prof), TECannon (Tracy Cannon) (prof), technosailor (Aaron Brazell) (prof), tenpura (prof), thales.tede , TheDeadMedic (prof), thee17 (Charles E. Frees-Melvin) (prof), thetoine (Antoine Girard) (prof), tinkerpriest (c.bavota) (prof), TobiasBg (Tobias Bäthge) (prof), tomtomp (prof), tychay (Terry Chay) (prof), typeomedia (prof), uglyrobot (Aaron Edwards) (prof), UnderWordPressure (prof), usermrpapa (prof), Utkarsh (Utkarsh Kukreti) (prof), validben (Benoit Gilloz ) (prof), Viper007Bond (Alex Mills) (prof), vladimir_kolesnikov (Vladimir Kolesnikov) (prof), willmot (Tom Willmot) (prof), wahgnube (prof), waltervos (Walter Vos) (prof), wds-chris (Christopher Cochran) (prof), williamsba1 (Brad Williams) (prof), wnorris (Will Norris) (prof), xibe (Xavier Borderie) (prof), yoavf (Yoav Farhi) (prof), zeo (Safirul Alredha) (prof), znarfor (François Hodierne) (prof) oraz zoranzaric (Zoran Zaric) (prof).

Bonus

Jeśli udało Ci się dotrwać aż dotąd, obejrzyj moje tegoroczne wystąpienie pt. „State of the Word” na WordCampie San Francisco; jest ono pełne informacji nt. rozwoju WordPressa, wersji 3.0, naszych planach na przyszłość i filozofii WordPressa.

WordPress 2.8.4: aktualizacja zabezpieczeń

Poniższy tekst jest tłumaczeniem tego wpisu, który Matt Mullenweg umieścił dzisiaj na blogu wordpress.org:


Wczoraj w WordPressie odkryta została luka: odpowiednio ułożony adres URL pozwalał na pominięcie sprawdzenia, czy użytkownik faktycznie zażądał zmiany swojego hasła. W efekcie tego działania pierwsze konto w bazie danych, do którego nie był przypisany żaden klucz (zwykle jest to konto administratora), uzyskiwało nowe hasło, które było następnie wysyłane do właściciela owego konta. Nie pozwalało to na uzyskanie dostępu do blogu, ale było bardzo irytujące.

Naprawiliśmy ten problem wczoraj w nocy i od tego czasu testujemy poprawiony kod i szukamy innych błędów. Wersja 2.8.4, która naprawia wszystkie znane problemy, jest już dostępna do pobrania, a aktualizacja do tej wersji jest zalecana wszystkim użytkownikom WordPressa.

WordPress 2.8.3

Tłumaczenie wpisu Ryana Borena:


Niestety pominąłem niektóre miejsca podczas naprawiania błędu nadmiernych uprawnień w wersji 2.8.1. Ubezpiecza nas, na szczęście, cała społeczność WordPressa. Paru ludzi zajrzało głębiej do kodu i odkryło miejsca, które zostały pominięte. Z ich pomocą w wersji 2.8.3 naprawione zostały pozostałe błędy. W związku z tym, że aktualizacja ta jest aktualizacją dotyczącą bezpieczeństwa, uaktualnienie WordPressa jest mocno zalecane. Pobierz wersję 2.8.3 lub wykonaj automatyczną aktualizację z poziomu panelu administratora.

Wersja 2.8

Dzisiaj, 11 czerwca, późną nocą/wczesnym rankiem wydana została wersja 2.8 WordPressa. Poniżej zamieszczam tłumaczenie wpisu umieszczonego na blogu wordpress.org przez Matta.


Jestem bardzo podekscytowany, mogąc ogłosić wszem i wobec, że najnowsza i najlepsza z wersji WordPressa – 2.8 („Baker”) – jest już dostępna do pobrania. 2.8 przedstawia solidne, wykończone wydanie WordPressa, z usprawnieniami na polach motywów, widgetów, taksonomii i szybkości działania. Poprawiliśmy również ponad 790 błędów. Ta wersja została nazwana ku czci znanego trębacza i wokalisty, Cheta Bakera. Oto krótki film, w którym prezentujemy wszystkie funkcjonalności nowego wydania:

Pierwszą rzeczą, którą zauważysz, jest fakt, że, wizualnie, wersja 2.8 prezentuje się prawie tak samo, jak 2.7, z paroma pomniejszymi zmianami tu i tam, jednak, kiedy już się w niej zaglębisz, zaczniesz je doceniać.

Najważniejsze usprawnienia

Po pierwsze, wersja 2.8 jest znacznie szybsza w użyciu. Zmieniliśmy sposób, w jaki WordPress obsługuje style i skrypty.

Aktualizatory systemu i wtyczek, dodane do poprzednich wersji WordPressa, okazały się takim sukcesem, że zdecydowaliśmy się zrobić to samo z motywami. Od teraz możesz przeglądać cały katalog motywów i instalować motywy za pomocą jednego kliknięcia myszy, a wszystko to z wygodnego kokpitu Twojego WordPressa.

Jeżeli wprowadzasz zmiany lub poprawki do motywów i wtyczek z Twojego kokpitu, spodoba Ci się nowy edytor CodePress, który dodaje podświetlanie składni do poprzedniego, prostego edytora. Od teraz także dostępna jest kontekstowa dokumentacja funkcji użytych w pliku, który edytujesz, znajdująca się zaraz pod edytorem.

Jeśli kiedykolwiek denerwowały Cię widgety, ta wersja powinna być dla Ciebie wybawieniem. Całkowicie przeprojektowaliśmy interfejs widgetów (na co nie mieliśmy czasu przed wydaniem wersji 2.7), który teraz pozwala Ci edytować widgety „w locie”, posiadać kilka kopii tego samego widgetu, przenosić widgety pomiędzy panelami bocznymi i zapisywać nieaktywne widgety, aby nie stracić ich ustawień. Programiści mają teraz dostęp do o wiele bardziej przejrzystego i solidnego API do tworzenia widgetów.

W końcu, zapraszam do odwiedzenia nowych „Opcji ekranu” na każdej ze stron – to ta karta w prawym górnym rogu. Teraz, jeśli, na przykład, posiadasz panoramiczny monitor, możesz ustawić swój kokpit tak, aby wyświetlał on cztery kolumny widgetów zamiast domyślnych dwóch. Na innych stronach możesz zmienić liczbę wyświetlanych na jednej stronie elementów.

I jeszcze więcej

Możesz przeczytać pełną listę ponad 180 nowych funkcji, zmian, poprawek oraz usprawnień w Kodeksie. Jest wyczerpująca!

Przyszłość

Już teraz koncentrujemy się na kolejnych wersjach WordPressa – 2.9 i 3.0. To, czego można spodziewać się w przyszłości, to ulepszona obsługa mediów, usprawnione testy zależności, system wersji szablonów i motywów oraz, oczywiście, legendarne połączenie WordPressa i WordPressa MU obwieszczone na WordCampie w San Francisco dwa tygodnie temu.

Tłumaczenie wersji 2.7

Cześć! 🙂

Jak zapewne zdążyliście się zorientować, jakiś czas temu wydana została wersja 2.7 WordPressa (o kodowej nazwie „Coltrane”). Niesie ona za sobą m.in. gruntowną przebudowę panelu administracyjnego i ułatwienia moderacji komentarzy. Jeżeli nie zdążyliście się jeszcze z nią zapoznać, zachęcam do uczynienia tego jak najszybciej. 🙂 W przeciwnym wypadku pozostaje mi zachęcić jedynie do pobrania samego tłumaczenia, które zdobyć można w sekcji Pobieranie.

Życzę miłej pracy z WordPressem 2.7!