WordPress 3.0.4 – ważna aktualizacja zabezpieczeń

Wersja 3.0.4 WordPressa, dostępna przez stronę „Aktualizacje” panelów administracyjnych oraz do pobrania tutaj, jest istotną aktualizacją, która powinna zostać zaaplikowana jak najprędzej, ponieważ naprawiono w niej poważny błąd w bibliotece KSES, która odpowiada za czyszczenie kodu HTML. Zalecam jak najszybszą aktualizację do tej wersji.

Zdaję sobie sprawę z tego, że konieczność aktualizacji podczas świąt nie jest niczym przyjemnym, ale warto poświęcić temu chwilkę czasu. Zastanów się również, w duchu świąt, nad pomocą z tym zadaniem przyjaciołom.

Jeśli jesteś osobą, która zajmuje się badaniem bezpieczeństwa systemów komputerowych, cieszylibyśmy się, gdybyś zechciał rzucić okiem na te zmiany w kodzie, aby sprawdzić, czy wszystko jest tam w porządku. Poświęciliśmy wiele czasu analizowaniu tego błędu, ale ponieważ dotyczy on tak istotnego komponentu WordPressa, byłoby dobrze, gdyby zbadała go możliwie największa liczba osób. Dziękujemy Mauro Gentile’owi oraz Jonowi Cave’owi (pseud. duck_), którzy odkryli ten problem i zgłosili go nam w pierwszej kolejności.


[ oryginalny wpis ]

WordPress 3.0.3

WordPress 3.0.3 jest już dostępny. Ta poprawka dotyczy bezpieczeństwa wszystkich poprzednich wersji WordPressa.

W tym wydaniu naprawiono błąd w interfejsie zdalnej publikacji, który, w specjalnych okolicznościach, pozwalał użytkownikom o roli autora lub współtwórcy edytować, publikować oraz usuwać wpisy w niepożądany sposób.

Ten błąd dotyczy wyłącznie witryn, na których jest włączona możliwość zdalnej publikacji.

Możliwość ta jest domyślnie wyłączona. Ustawienia zdalnej publikacji na Twojej witrynie możesz sprawdzić w panelu administracyjnym na ekranie “Ustawienia → Pisanie”.

Pobierz WordPressa 3.0.3 lub uruchom automatyczną aktualizację z poziomu ekranu “Kokpit → Aktualizacje” panelu administracyjnego.


[ oryginalny wpis ]

Polski „kodeks”

Szanowni Państwo,

Od jakiegoś czasu istnieje polski „kodeks” WordPressa, niestety w chwili obecnej składa się on praktycznie wyłącznie ze spisu treści i jednego artykułu. Chciałbym Państwa zachęcić do wspólnej pracy nad nim. Wydaje mi się, że warto zająć się tłumaczeniem artykułów z angielskiego kodeksu, ponieważ znajduje się tam wiele informacji, które mogłyby pomóc innym rozwiązać problemy związane z WordPressem, a także artykuły na temat rozwijania go (i inne). Nie musimy trzymać się takiej struktury, jaka jest używana w angielskim kodeksie i oczywiście nic nie stoi na przeszkodzie, aby, zamiast tłumaczyć z angielskiego, publikować własne twory. 🙂

Do kodeksu można dostać się przez odnośnik „Dokumentacja” na górze strony.

WordPress 3.0.2

Poniższy tekst jest tłumaczeniem wpisu Marka Jaquitha z blogu „WordPress News”:


WordPress 3.0.2 jest już dostępny. Poprawka ta dotyczy bezpieczeństwa wszystkich starszych wersji WordPressa. Tradycyjne haiku:

Naprawione w dniu zero
Wystarczy jedno kliknięcie, aby się zabezpieczyć
Kiedyś to było skomplikowane

W tym wydaniu naprawiono błąd, który pozwalał użytkownikowi z uprawnieniami autora uzyskać szersze uprawnienia, a także inne błędy, oraz dodano nowe usprawnienia zabezpieczeń. Wielkie podziękowania należą się Vladimirowi Kolesnikovi za szczegółowe informacje o tym błędzie!

Pobierz wersję 3.0.2 lub uruchom automatyczną aktualizację z poziomu ekranu Kokpit > Aktualizacje panelu administracyjnego swojej witryny. Zalecamy wykonanie tej aktualizacji niezależnie od tego, czy masz na swojej witrynie konta użytkowników, którym nie ufasz.

WordPress 3.0.1

Jak zwykle, poniżej tłumaczenie wpisu z blogu wordpress.org:


Po ponad 11 milionach pobrań WordPressa 3.0 w przeciągu 42 dni wydajemy WordPressa 3.0.1. Konieczne haiku:

Trzy kropka zero kropka jeden
Poprawki, byś się uśmiechnął
Zaktualizuj WordPressa

W tym wydaniu zostało naprawionych około 50 pomniejszych błędów. Dzięki przeprowadzonym przez Was przed wydaniem wersji 3.0 testom udało nam się wydać jedną z najlepszych i najbardziej stabilnych wersji WordPressa.

Pobierz wersję 3.0.1 lub zaktualizuj swoją instalację automatycznie z poziomu menu Kokpit > Aktualizacje swojego panelu administracyjnego.

WordPress 3.0 – „Thelonious”

Tłumaczenie wpisu WordPress 3.0 “Thelonious” z blogu wordpress.org/development:


Przygotujcie wuwuzele: WordPress 3.0, trzynaste ważne wydanie WordPressa i rezultat połowy roku pracy 218 ludzi, jest już dostępny do pobrania (także przez kokpit, w celu aktualizacji). Ważnymi nowymi funkcjami tej wersji są pociągający nowy motyw o nazwie „Twenty Ten”, nowe API dla twórców motywów, które pozwala im łatwo wdrażać możliwość ustawiania własnych teł, nagłówków oraz skróconych odnośników, menu (nigdy więcej edytowania plików), typów plików oraz taksonomii (wszystkie te nowe funkcje są prezentowane przez motyw Twenty Ten), długo oczekiwane połączenie MU oraz zwykłego WordPressa, które z pewnością docenią programiści i administratorzy sieci, dodające obsługę wielu witryn, pozwalającą na założenie zarówno jednej witryny, jak i dziesięciu milionów przy pomocy pojedynczej instalacji WordPressa. Jako użytkownik, pokochasz odświeżony, lżejszy interfejs, pomoc kontekstową na każdym ekranie, 1217 poprawek błędów i usprawnień, masowe aktualizacje, pozwalające na jednoczesną aktualizację 15 wtyczek za jednym kliknięciem, i bla, bla, bla, po prostu obejrzyj poniższy film. 🙂 (W HD, abyś mógł wyłapać „easter eggi”).

https://videopress.com/v/wp-content/plugins/video/flvplayer.swf?ver=1.21

Jeśli chcesz wstawić powyższy przewodnik po WordPressie 3.0 do swojego blogu, wklej tam następujący kod:

<embed src="https://v.wordpress.com/wp-content/plugins/video/flvplayer.swf?ver=1.21" type="application/x-shockwave-flash" width="640" height="360" wmode="transparent" seamlesstabbing="true" allowfullscreen="true" allowscriptaccess="always" overstretch="true" flashvars="guid=BQtfIEY1&amp;width=640&amp;height=360&amp;locksize=no&amp;dynamicseek=false&amp;qc_publisherId=p-18-mFEk4J448M" title="Introducing WordPress 3.0 &quot;Thelonious&quot;"></embed>

Dokładniejsza lista rzeczy, które zostały ulepszone w wersji 3.0, znajduje się w Kodeksie oraz w Tracu. (Staramy się skracać informacje o wydaniach). Uf! Naprawdę jest tego sporo. Nie mogę wyobrazić sobie lepszego sposobu na rozpoczęcie gałęzi 3.X WordPressa, która będzie rozwijana przez kolejne dwa i pół roku.

Przyszłość

Zwykle w tym miejscu mówię, ze zamierzamy zacząć pracę nad WordPressem 3.1, ale tak nie jest. Tym razem zamierzamy skupić się na tym wszystkim, co otacza WordPressa. Rozwój społeczności zapiera dech w piersiach; WordPress 2.9 został pobrany 10,3 milionów razy, ale tak wiele naszych wysiłków było skupionych na oprogramowaniu, że nie pozostało czasu na nic innego. W ciągu kolejnych trzech miesięcy zamierzamy podzielić się na zespoły ninja/piratów, które skupione będą na różnych dziedzinach okołowordpressowych, włączając w to wystawę, Kodeks, forum dyskusyjne, profile, API aktualizacji oraz kompatybilności, katalog motywów, katalog wtyczek, listy dyskusyjne, rdzenne wtyczki, witrynę wordcamp.org… możliwości jest nieskończenie wiele. Celem tych zespołów nie będzie uczynienie wszystkiego momentalnie doskonałym, a po prostu lepszym, niż teraz. Myślimy, że ta inwestycja pozwoli nam na zbudowanie silniejszej infrastruktury dla rozwoju WordPressa przez dziesiątki milionów użytkowników, którzy dołączą do nas podczas pracy nad gałęzią 3.X.

It Takes a Village

Jestem dumny, że mogę uznać wkład 218 ludzi do wydania 3.0. Dzięki tym ludziom WordPress jest tym, czym jest. Ich wkład i ciężka praca pozwalają nam budować coś większego niż tylko sumę wielu części. Lista oczywiście w porządku alfabetycznym.

Opiekunowie: azaozz (Andrew Ozz) (prof), dd32 (Dion Hulse) (prof), donncha (Donncha O Caoimh) (prof), iammattthomas (Matt Thomas) (prof), josephscott (Joseph Scott) (prof), markjaquith (Mark Jaquith) (prof), matt (Matt Mullenweg) (prof), nacin (Andrew Nacin) (prof), nbachiyski (Николай Бачийски) (prof), ryan (Ryan Boren) (prof), westi (Peter Westwood) (prof) oraz wpmuguru (Ron Rennick) (prof). Wkładcy: aaroncampbell (Aaron Campbell) (prof), akerem (prof), alexkingorg (Alex King) (prof), amattie (prof), ampt (Luke Gallagher) (prof), andrea_r (prof), andreasnrb (Andreas Nurbo) (prof), anilo4ever (Angelo Verona) (prof), apeatling (Andy Peatling) (prof), apokalyptik (Demitrious Kelly) (prof), arena (André Renaut) (prof), barry (Barry Abrahamson) (prof), batmoo (Mohammad Jangda) (prof), beaulebens (Beau Lebens) (prof), belg4mit (prof), bigdawggi (Matthew G. Richmond) (prof), blepoxp (Glenn Ansley) (prof), brentes (Brent Shepherd) (prof), briancolinger (Brian Colinger) (prof), bumbu (prof), caesarsgrunt (Caesar Schinas) (prof), camiloclc (prof), CAMWebDesign (prof), carbolineum (prof), caspie (prof), catiakitahara (Cátia Kitahara) (prof), CharlesClarkson (Charles Clarkson) (prof), chdorner (Christof Dorner) (prof), chrisbliss18 (Chris Jean) (prof), chrisscott (Chris Scott) (prof), cnorris23 (Brandon Allen) (prof), coffee2code (Scott Reilly) (prof), computerwiz908 (prof), cyberhobo (Dylan Kuhn) (prof), dancole (Dan Cole) (prof), Daniel Koskinen , deepak.seth (Deepak Seth), demetris (Δημήτρης Κίκιζας) (prof), Denis-de-Bernardy (prof), dimadin (Milan Dinić) (prof), dndrnkrd (Dan Drinkard) (prof), docwhat (prof), dougwrites (prof), dphiffer (Dan Phiffer) (prof), dragoonis (prof), dremeda (Dre Armeda) (prof), dtoj , dougal (Dougal Campbell) (prof), duck_ (Jon Cave) (prof), dxjones (David Jones) (prof), eddieringle (Eddie Ringle) (prof), edward mindreantre (Edward Hevlund), eoinomurchu (prof), empireoflight/Ben Dunkle (prof), ericmann (Eric Mann) (prof), etiger13 (Eddie Monge Jr.) (prof), filosofo (Austin Matzko) (prof), firebird75 (prof), frankieroberto (Frankie Roberto) (prof), Frumph (Philip M. Hofer) (prof), garyc40 (Gary Cao) (prof), gautam2011 (prof), Gary Ross (Gazzer) , GDragoN (Milan Petrovic) (prof), greenshady (Justin Tadlock) (prof), GIGALinux (Dennis Morhardt) (prof), hakre (prof), husky (prof), iandstewart (Ian Stewart) (prof), ipstenu (Mika Epstein) (prof), jacobsantos (Jacob Santos) (prof), jamescollins (James Collins) (prof), jane (Jane Wells) (prof), jbsil (Jesse Silverstein) (prof), jdub (Jeff Waugh) (prof), jeffikus (Jeffrey Pearce) (prof), jeffstieler (Jeff Stieler) (prof), jeremyclarke (Jeremy Clarke) (prof), jfarthing84 (Jeff Farthing) (prof), Jick (James Dimick) (prof), jmstacey (Jon Stacey) (prof), jobjorn (Jobjörn Folkesson) (prof), johanee (Johan Eenfeldt) (prof), johnbillion (John Blackbourn) (prof), johnjamesjacoby/jjj (John James Jacoby) (prof), johnjosephbachir (John Joseph Bachir) (prof), johnl1479 (John Luetke) (prof), johnonolan (John O’Nolan) (prof), JohnPBloch/wmrom (John Bloch) (prof), joostdevalk/yoast (Joost de Valk) (prof), jorbin (Aaron Jorbin) (prof), joshtime (prof), jshreve (prof), junsuijin (prof), kallewangstedt (Karl Wångstedt) (prof), keighl (Kyle Truscott) (prof), kevinB (Kevin Behrens) (prof), koopersmith (Daryl Koopersmith) (prof), kpdesign (Kim Parsell) (prof), ktdreyer (Ken Dreyer) (prof), kurtmckee (Kurt McKee) (prof), laceous (prof), lancewillett (Lance Willett) (prof), lloydbudd (Lloyd Budd) (prof), lriggle (prof), markauk (prof), markmcwilliams (Mark McWilliams) (prof), markoheijnen (Marko Heijnen) (prof), markup (Sasha Mukhin) (prof), mattsains (prof), matveb (Matias Ventura) (prof), mdawaffe (Michael Adams) (prof) , mentel_br (prof), messenlehner (Brian Messenlehner) (prof), miau_jp (prof), Michael (Michael Heilemann) (prof), MichaelH (prof), mikeschinkel (Mike Schinkel) (prof), Miloslav Beňo , minusfive (prof), miqrogroove (Robert Chapin) (prof), misterbisson (Casey Bisson) (prof), mitchoyoshitaka (mitcho (Michael 芳貴 Erlewine)) (prof), MMN-o (prof), momo360modena (Amaury Balmer) (prof), morganestes (Morgan Estes) (prof), mrmist (David McFarlane) (prof), mtdewvirus (Nick Momrik) (prof), nadavvin (prof), Nao (Naoko McCracken) (prof), nathanrice (Nathan Rice) (prof), neoxx (Bernhard Riedl) (prof), niallkennedy (Niall Kennedy) (prof), ninjaWR (Ryan Murphy) (prof), noel (Noël Jackson) (prof), nomulous (Fletcher Tomalty) (prof), ocean90 (Dominik Schilling) (prof), Otto42 (Samuel Wood) (prof), pedger (prof), PeteMall (prof), pampfelimetten (prof), pnettle (prof), PotterSys (Juan) (prof), prettyboymp (Michael Pretty) (prof), ptahdunbar (Ptah Dunbar) (prof), ramiy (prof), RanYanivHartstein (Ran Yaniv Hartstein) (prof), reaperhulk (Paul Kehrer) (prof), reko (prof), remi (Rémi Prévost) (prof), rlerdorf (Rasmus Lerdorf) (prof) , rmccue (Ryan McCue) (prof), rooodini (prof), rovo89 (prof), ruslany (prof), sc0ttkclark (Scott Kingsley Clark) (prof), scottbasgaard (Scott Basgaard) (prof), ScottMac (prof), scribu (prof), SergeyBiryukov (Сергей Бирюков) (prof), ShaneF (prof), sillybean (Stephanie Leary) (prof), Simek (Bartosz Kaszubowski) (prof), simonwheatley (Simon Wheatley) (prof), simosx (Σίμος Ξενιτέλλης) (prof), sirzooro (Daniel Frużyński) (prof), sivel (Matt Martz) (prof), skeltoac (Andy Skelton) (prof), snumb130 (Luke Howell) (prof), solarissmoke (Samir Shah) (prof), sorich87 (prof), ssandison (prof), stencil (prof), stephdau (Stephane Daury) (prof), tai (prof), TECannon (Tracy Cannon) (prof), technosailor (Aaron Brazell) (prof), tenpura (prof), thales.tede , TheDeadMedic (prof), thee17 (Charles E. Frees-Melvin) (prof), thetoine (Antoine Girard) (prof), tinkerpriest (c.bavota) (prof), TobiasBg (Tobias Bäthge) (prof), tomtomp (prof), tychay (Terry Chay) (prof), typeomedia (prof), uglyrobot (Aaron Edwards) (prof), UnderWordPressure (prof), usermrpapa (prof), Utkarsh (Utkarsh Kukreti) (prof), validben (Benoit Gilloz ) (prof), Viper007Bond (Alex Mills) (prof), vladimir_kolesnikov (Vladimir Kolesnikov) (prof), willmot (Tom Willmot) (prof), wahgnube (prof), waltervos (Walter Vos) (prof), wds-chris (Christopher Cochran) (prof), williamsba1 (Brad Williams) (prof), wnorris (Will Norris) (prof), xibe (Xavier Borderie) (prof), yoavf (Yoav Farhi) (prof), zeo (Safirul Alredha) (prof), znarfor (François Hodierne) (prof) oraz zoranzaric (Zoran Zaric) (prof).

Bonus

Jeśli udało Ci się dotrwać aż dotąd, obejrzyj moje tegoroczne wystąpienie pt. „State of the Word” na WordCampie San Francisco; jest ono pełne informacji nt. rozwoju WordPressa, wersji 3.0, naszych planach na przyszłość i filozofii WordPressa.

https://videopress.com/v/wp-content/plugins/video/flvplayer.swf?ver=1.21

Wystawa ciekawych zastosowań WordPressa

Od teraz istnieje możliwość zaprezentowania swojej strony w serwisie WordPress Polska! Jeżeli Twoja strona spełnia jedno z poniższych wymagań, możesz ją zgłosić na stronie „Kontakt”:

  • na swojej stronie używasz WordPressa w nietypowy lub ciekawy sposób;
  • Twoja strona przyciąga codziennie wielu czytelników;
  • jesteś osobą popularną w jakimś środowisku;
  • Twoja strona reprezentuje znaną organizację lub firmę.

WordPress 2.8.4: aktualizacja zabezpieczeń

Poniższy tekst jest tłumaczeniem tego wpisu, który Matt Mullenweg umieścił dzisiaj na blogu wordpress.org:


Wczoraj w WordPressie odkryta została luka: odpowiednio ułożony adres URL pozwalał na pominięcie sprawdzenia, czy użytkownik faktycznie zażądał zmiany swojego hasła. W efekcie tego działania pierwsze konto w bazie danych, do którego nie był przypisany żaden klucz (zwykle jest to konto administratora), uzyskiwało nowe hasło, które było następnie wysyłane do właściciela owego konta. Nie pozwalało to na uzyskanie dostępu do blogu, ale było bardzo irytujące.

Naprawiliśmy ten problem wczoraj w nocy i od tego czasu testujemy poprawiony kod i szukamy innych błędów. Wersja 2.8.4, która naprawia wszystkie znane problemy, jest już dostępna do pobrania, a aktualizacja do tej wersji jest zalecana wszystkim użytkownikom WordPressa.

WordPress 2.8.3

Tłumaczenie wpisu Ryana Borena:


Niestety pominąłem niektóre miejsca podczas naprawiania błędu nadmiernych uprawnień w wersji 2.8.1. Ubezpiecza nas, na szczęście, cała społeczność WordPressa. Paru ludzi zajrzało głębiej do kodu i odkryło miejsca, które zostały pominięte. Z ich pomocą w wersji 2.8.3 naprawione zostały pozostałe błędy. W związku z tym, że aktualizacja ta jest aktualizacją dotyczącą bezpieczeństwa, uaktualnienie WordPressa jest mocno zalecane. Pobierz wersję 2.8.3 lub wykonaj automatyczną aktualizację z poziomu panelu administratora.