WordPress *

К сожалению, нигде не нашел упоминания в постах на Хабре о замечательной утилите — WPScan, которая просто безумно помогает с пентестом блогов на WordPress. Этот пост о ней и еще одной утилите, которые помогут даже ничего не знающему в безопасности IT'шнику провести пентест блога на WordPress.

# ./wpscan.rb
_______________________________________________________________
        __          _______   _____
        \ \        / /  __ \ / ____|
         \ \  /\  / /| |__) | (___   ___  __ _ _ __
          \ \/  \/ / |  ___/ \___ \ / __|/ _` | '_ \
           \  /\  /  | |     ____) | (__| (_| | | | |
            \/  \/   |_|    |_____/ \___|\__,_|_| |_|

        WordPress Security Scanner by the WPScan Team
                    Version v2.1r1c1a6d2
     Sponsored by the RandomStorm Open Source Initiative
 @_WPScan_, @ethicalhack3r, @erwan_lr, @gbrindisi, @_FireFart_
_______________________________________________________________

Вчера вышла первая бета-версия WordPress 3.7, и теперь она будет обновляться автоматически.

Вот уже более десяти лет, для того, чтобы редактировать содержимое сайта на WordPress, приходится заходить в панель администрирования, но в скором времени это должно измениться. Группа разработчиков WordPress принялись за работу над возможностью создавать и редактировать контент прямо «на лету» в вашей теме WordPress.

Всем приятного чтения. Я хочу рассказать о небезопасной фиче во всемирно известном движке для блогов — WordPress, которая присутствует в нем уже долгое время. О ней многим известно (в т.ч. эту возможность признают как «законную» сами разработчики), но я точно не уверен, описывал ли кто-то её использование именно в предлагаем в статье векторе атаки (лично я найти не смог).

Множество компаний, таких как Microsoft, Nokia, Google используют WordPress. Администраторы блогов выдают права редакторов своим PR-службам… И вот тут главный момент — в WordPress только две роли имеют права использовать javascript внутри постов — администраторы и редакторы.

Вся идея в одно предложение: создаём пост, содержащий зловредный JS. Если администратор открывает наш пост — мы получаем Remote Command Execution.

Специфичные свойства поста, вносимые в структуру сайта вашим плагином, настраиваются с помощью метабоксов. Это — панели, содержащие все необходимые элементы настройки. Располагаются они на экранах редактирования.

Без метабокса не обойтись, когда новые свойства
* задействованы в большинстве постов;
* имеют жёсткие ограничения (напр., числа конкретного формата);
* трудно или неудобно вводить в виде строк (напр., значения из списка);
* взаимосвязаны друг с другом и являются одним целым.

Если же свойства могут отображаться в виде строки, затрагивают небольшое количество постов и не имеют жёстких ограничений по формату — для них можно воспользоваться метабоксом «Произвольные поля» на странице редактирования поста.

Ориентировочно со 2 августа наблюдается массовая атака на сайты построенные на движках Wordpress (по некоторым данным также атакуются сайты на Joomla, DLE). Злоумышленники с помощью большого ботнета пытаются подобрать пароли к админкам с помощью брутфорса. Некоторые серверы не выдерживают нагрузки. Хостеры принимают различные меры по фильтрации ботов. Обширное обсуждение идет на форуме Searchengines.

Wordpress предлагает свои варианты решения: codex.wordpress.org/Brute_Force_Attacks

В логах на сервере это выглядит как-то так:
93.73.186.55 funshow.ru POST /wp-login.php HTTP/1.0
178.223.136.215 funshow.ru POST /wp-login.php HTTP/1.0
178.68.139.101 funshow.ru POST /wp-login.php HTTP/1.0
99.162.150.102 funshow.ru POST /wp-login.php HTTP/1.0


Как вариант следует убедиться, что админский пароль к сайту устойчив для подбора.

WordPress по разнообразию настроек и функций всё больше становится похож на операционную систему. В результате выполнение задач в панели администратора оказывается слишком медленным способом работы, что особенно заметно при выполнении рутинных действий.

Любой разработчик и администратор, выходя на определенный уровень профессионализма, стремится такие действия автоматизировать и упростить. В случае операционной системы инструмент, позволяющий это сделать, существует. Это командная строка.

О преимуществах использования командной строки хорошо известно. Существует ли подобный инструмент для управления WordPress? Оказывается, да. Это wp-cli, интерфейс командной строки для WordPress.

Даже в самых маленьких городах России есть собственные порталы с местными новостями, афишей, бизнес-справочником, форумом и доской объявлений.

Одним из таких порталов владею я. Его название — «АЙК Обнинск» (г. Обнинск, Калужская область, население — 105,200 человек).

Я начал разрабатывать его в 2010 году, на CMS WordPress. Основная идея — сделать нечто особенное, яркое, нужное жителям города каждый день.

Через три с половиной года решил написать про это пост. Поскольку проект в итоге получился очень хорошим и достаточно уникальным (многие из реализованных идей не доводилось видеть на каких-либо других городских порталах, хотя отсматриваю их постоянно).

Первый шаг — установка CMS. Так получилось, что мой портал стоит не на одном WordPress, а сразу на двух. Один для ленты новостей и другой для всего остального. Это сделано для удобства, поскольку новости требуют особой структуры, которая не подходит для контента из других разделов.

Каждый год на сайте WordPress.org проводится опрос пользователей и разработчиков WordPress, а результаты анонсируются со-основателем WordPress Мэттом Мулленвегом на конференции WordCamp San Francisco, которая в этом году пройдёт в конце июля. Опрос проводится с целью узнать кто и как использует эту CMS.

Опрос может пройти каждый, кто имеет хоть какой-то опыт работы с WordPress — разработчики, дизайнеры, блоггеры, контент-менеджеры, журналисты и другие. Начать опрос можно перейдя по ссылке. Это не должно занять у вас более десяти минут, но стоит отметить что опрос проводится на английском языке.

Буквально сегодня закончила разбираться с интересной и новой для себя задачкой — подопечный сайт оказался в блэклисте яндекса. Причина — троян Troj/JSRedir-LK (по данным компании Sophos).
Уточню: в блэклисте оказались сразу два сайта, один из которых является поддоменом второго, и ниже я опишу, какие трансформации произошли с обоими в результате действия трояна.

Недавно Google выложили свой первый плагин в официальную директорию WordPress.org. Google App Engine for WordPress заменяет некоторый функционал ядра WordPress для полноценной его работы на cloud-хостинге App Engine. О поддержке языка PHP на платформе App Engine, Google заявили ещё в мае на конференции Google I/O.

Над новым внешним видом ребята работают уже несколько месяцев. Ещё в апреле пользователи сети WordPress.com могли испытать новый внешний вид, пока он находился в стадии доработки и тестирования. Сегодня новый облик админ-панели коснулся всех, с временной возможностью его отключить в настройках.

Плоский дизайн, повышенная контрастность, открытый веб-шрифт Open Sans и улучшенная совместимость с мобильными устройствами и планшетами. Вариант не окончательный и работы ещё ведутся. Есть большая вероятность, что именно этот дизайн войдёт в ядро с версией WordPress 3.7 или 3.8. Кстати, если вы пользуетесь версией WordPress.org (а не WordPress.com) то вы можете подключить этот же внешний вид с помощью плагина MP6.

Какие впечатления?

Доброго времени суток.

Сегодня я расскажу на примере одного из сайтов созданных и поддерживаемых мной — как оптимизировать скорость его загрузки и лояльность Googla.

Исходные данные:

• Скорость загрузки сайта — 2 с,
• Скорость обработки первого запроса 1,06 с,
• Время передачи первого запроса 364 мс,
• Объем загружаемых данных ~ 3 мБ,

Ответ на задачку

• Скорость загрузки сайта — 1 с,
• Скорость обработки первого запроса 80 мс,
• Время передачи первого запроса 15 мс,
• Объем загружаемых данных ~ 70 кБ, (первая загрузка 1400 кБ)

Перед проведением работ сделайте бекап всех файлов и базы данных. Автор не несет ответственности за возникшие последствия.

Одной из самых известных CMS — Wordpress — исполнилось 10 лет. На данный момент её используют огромная армия блоггеров и профессионалов, в том числе, и такие крупные проекты как CNN, TechCrunch, Dow Jones, UPS, NBC Sports, TED и ряд других.

По этому поводу Мэтт Мюлленвег (Matt Mullenweg), который считается автором Wordpress и которому принадлежат права на торговую марку, написал ностальгический пост у себя в блоге, первые строчки которого подтверждают, что Wordpress — еще один успешный продукт, появившийся благодаря энтузиастам.

Здравствуйте. Пишу эту статью, чтобы поделиться собственными идеями (хотя, может, многие так делают — я не в курсе).
Есть много статей по улучшению формата страницы «Page not found» для Wordpress, и вот я предлагаю вам ознакомится ещё с одной.

Задача:

Недавно столкнулся с интересной для себя задачей: Написать скрипт, который бы выводил некоторое количество постов с моего сайта в виде миниатюр. Казалось бы что может быть проще, однако суть задачи именно в том, чтобы сделать этот скрипт универсальным и доступным в использовании на любом сайте с любого движка.

Пример реализации вы можете посмотреть на моём сайте game.tobefun.org открыв любую игру.

Как видите я применил этот алгоритм для вывода определённого количества (оно задаётся параметрами вашего окна) случайных миниатюр, которые являются ссылками на записи для которых они заданы.

Похоже, свободный шрифт Open Sans становится новым стандартом для веба, и не только для веба. Этот нейтральный шрифт неплохо смотрится и в мобильных приложениях, и при печати. Очередным крупным сайтом, который отказался от старых Helvetica/Arial в пользу Open Sans, стал WordPress.com.

При разработке одного из проектов столкнулся с необходимостью настроить вывод постов в двух вариантах:

• Расширенный — Название, крупное изображение, анонс, некоторые ссылки
• Компактный — Название, маленькое изображение

Причиной тому был тот факт, что некоторым пользователям удобнее, когда на страничке отображается несколько последних записей и их краткое содержание, а некоторым — большое количество записей, без анонса.
В таком случае необходимо каждому пользователю дать возможность переключать вид так, как ему будет удобно.

Общий алгоритм следующий:

1. При загрузке страницы проверяется состояние параметра style в базе
2. В зависимости от параметра посты выводятся в том или ином формате
3. При нажатии на флажок переключения вида запускается функция getPage
4. Функция getPage принимает значение переключателя и отправляет данные на обработку и ОЖИДАЕТ ЗАВЕРШЕНИЯ ОБРАБОТКИ
5. Файл style_updater.php принимает данные и обновляет Базу данных.
6. После этого функция getPage перезагрузит страницу

Эта небольшая статья посвящена описанию моих действий по приведению VPS за $10/месяц в приемлемое состояния для работы персональной сети сайтов на WordPress в одиночном и сетевом режиме (WordPress Network Mode).

Интро

Итак, дорогие мои хай-тек специалисты и случайные читатели, история эта началась в конце апреля 2012 года, когда мой любимый городской провайдер-монополист наотрез отказал мне в дальнейшем размещении моего трех-ядерного атлона в своей стойке.

Я живу в маленьком курортном городке (3 тыс.мы-местные и 50 тыс.понаехали-тут-летом) и большинство моих персональных проектов посвящено родному и любимому городу. Пара городских вебкамер, погода, справочники и т.д. Кроме того, я ещё чуток борюсь за справедливость и права: организовал небольшой проектик на домене TV — снимаем репортажи про безпредел чиновников и т.д...

В самое замечательное время года Wordpress подготовил нам великолепный подарок – новый релиз «Элвин», о котором уже оставлено множество положительных откликов от блоггеров и разработчиков. Этот релиз назван в честь барабанщика Элвина Джонса, который играл с John Coltrane и многими другими.