Что нового будет в админ панели WordPress 2.5

Обещали WordPress 2.4 в январе, а получим WordPress 2.5 в конце марта. Придётся ждать, хотя пока не сильно понятно чего именно.

Ах, вспомнил. Одной из главных «фич» очередного релиза объявлена переделанная Admin Panel, где вроде как всё стало «лучше, удобнее, просто сказка»… Ну не знаю, не знаю, любой желающий может протестировать рабочую бета-версию админки на предмет вкусностей, для тех же, кому лень, сделаю небольшой обзорчик. Он, конечно, не тянет на эпичность, потому что, по словам разработчиков, пока что готово только 20-30% от конечного функционала админ панели, но общее представление сложить можно.

Список нововведений в администраторской панели WordPress 2.5

  1. Новая цветовая гамма
  2. Первое что бросается в глаза — новые цвета: «Прощай надоевший синий, да здравствуют более благородный голубой и агрессивный оранжевый!» Ну что тут скажешь? Довольно мило, не напрягает, но учитывая, что все кому было нужно уже сто лет назад переделали свою админку, то одной лишь обёрткой нас — пользователей — не купить.

  3. Панель Right Now и стартовая страница

  4. Похоже, разработчики решили сменить акцент на стартовой странице с новостей (которые редко кто читает, но зато все от них бесятся) на действительно актуальную для блоггера информацию, а так же предоставить быстрый доступ к наиболее используемым функциям.
    Статистика выведена по постам/страницам и рубрикам, так же указано количество задействованных виджетов.
    В саму же панельку впихнули кнопки для быстрого перехода к созданию страницы или поста, ну и сразу можно перейти к смене темы (ну вот это уже конечно несколько сомнительная возможность, чтобы выводить её в быстрый доступ).
    Ниже под «Right Now» панелью расположили списки последних комментариев, входящих ссылок и последних постов. В общем, из узенького и незаметного блока в нынешнем Dashboard, эти списки развернулись во всём своём величии.

    Что же мы потеряли по сравнению с тем, что есть сейчас на стартовой странице?
    Ссылку на редактирование профиля (зачем оно там вообще, если в правом верхнем углу всегда есть линк на «My profile»), ссылку на переход в управление блогроллом (ответьте, только честно, часто вы на неё нажимали? да и вообще часто ли редактируете свой blogroll?) и конечно же 70% объёма страницы с новостями о WordPress (дружно похлопаем в ладоши, теперь этот блок в самом низу и не так мозолит глаза).

    Больше всего конечно интригуют кнопки «Edit» рядом с каждым блоком, но пока что доступа к редактированию не дали (во всяком случае, в тестовом блоге), если можно будет настроить отображение/скрытие каждого из них, то мы получим «админку мечты».

  5. «Пузырь» в комментариях.
  6. Вы, должно быть, заметили «комиксовый бабл» над ссылкой «Comments» c цифрой 0? Я сперва подумал, что там отображается количество оставленных пользователями комментариев, но не тут то было — после небольшого изучения выяснилось, что «пузырь» показывает количество комментариев, ожидающих модерации. И, знаете, мне очень нравится эта ненавязчивая напоминалка, которая сразу бросается в глаза, в отличие от того, как это реализовано сейчас.
    У меня это вообще постоянная проблема — Акисмет помечает как спам некоторые нормальные комментарии, я их оттуда, при помощи Spam Viewer, вытаскиваю, а вот отмодерировать порой забываю, и висят они пару дней неприкаянные.

  7. Создание и редактирования постов
  8. Тут всё ещё явно сыро и недоделано, во всяком случае мне показалось несколько неудобным, что совсем все разделы выстроены в список, друг за другом, но думаю это временно.
    Зато понравилась работа с тэгами, которые теперь представляют собой не просто слова через запятую, а действительно интерактивные элементы, что упрощает и ускоряет работу с ними. Но вот сможет ли это заменить Simple Tags — сложный вопрос, особенно, если не будет возможности выбирать из списка уже использованных тэгов.
    Визуальным редактором я не пользуюсь, но выглядит он не в пример приятнее, хотя и не работает пока что вообще) А вот HTML-редактор посмотреть нельзя, а жаль.

    Со страницами всё почти то же самое, только в другом порядке — видимо по убыванию важности пунктов, хотя я не особо это прочувствовал. Так же в раздел «Write» поместили добавление ссылок в блогролл.

    В разделе «Manage» особо изменений я не заметил. Поэтому перейду к тому, что мне очень понравилось.

  9. Управление виджетами

  10. Во-первых, добавили возможность фильтровать виджеты, чтобы скрыть уже использованные.
    Во-вторых, теперь можно добавлять любое количество одинаковых плагинов, если они сами это поддерживают, просто нажав «Add», например, RSS-виджет.
    В-третьих, наконец-то сделали действительно удобное и функциональное редактирование виджетов, потому как существующий ныне вариант, меня несколько бесит, а тут всё наглядно и можно просматривать одновременно настройки всех добавленных в сайдбар виджетов. В общем зачОт.

Ну вот собственно и всё, что нового мне удалось разглядеть в довольно сырой, но между тем многообещающей бетке админ-панели.

Какие выводы и ощущения?
Ждать определенно стоит, а так же стоит почаще заходить и проверять — не добавилось ли на этой тестовой страничке что-нибудь нового? Пока что нельзя оценить заявленную возможность настраивать Dashboard widget-style, т.е. подключать сторонние виджеты и самому выбирать, что и как показывать на стартовой странице, да и вообще, пока что админка выглядит скорее как «рыба», которую надо хорошо обработать напильником, подкрасить там и тут CSS-ками и навешать побольше AJAX-интерактивности, ну а тогда уж «WordPress ещё всем покажет!»

А мужики то не знают: защита в WordPress 2.4, дыры и апдейт в 2.3 и подсветка синтаксиса

Пока пишутся большие посты и другие программы, сделаю небольшой обзор того, о чём следует знать, если не каждому, то большинству.

Улучшенная система безопасности в WordPress 2.4

Хоть сам движок ещё готов процентов на 30, но уже заявлены приятные нововведения, такие как использование безопасных куки и новый алгоритм шифрования хранимых паролей.
Про протокол безопасных куки (secure cookie protocol) можно прочитать в этом .pdf (116Kb на англ.), если кратко, то новые куки выглядят так:
имя пользователя|время действия|HMAC(имя пользователя|время действия|ключ)
Причём ключ = HMAC(имя пользователя|время действия|секретный ключ), во как!

В новом протоколе реализованы такие фичи, как управление истечением времени на стороне сервера, массовая перепроверка всех кукисов, а так же предложена повышенная конфиденциальность.

Пароли же теперь буду хэшироваться при помощи phpass, который к обычному md5-хэшированию добавляет ещё возможность подсолить («salt» — представляет собой некий набор символов; обычно это символы обоих регистров, цифры и спецсимволы, которые накладываются или склеиваются с самим паролем или с хэш-суммой пароля) и даже растянуть короткий пароль. Всё вместе это значительно увеличивает сложность взлома путём перебора хэшей.

Так же не стоит забывать, что phpass так же будет применяться в Drupal и phpBB, а значит, существует вероятность, что можно будет использовать одни и те же регистрационные данные в пределах сайта для каждого пользователя, причём без дополнительных извращений.

В принципе, код, отвечающий за кукисы и шифрование phpass’ом, уже можно скачать и опробовать, вот только не делайте этого на активном блоге, т.к. таблица пользователей будет безнадёжно испорчена, а уж если вы ещё и бэкап не сделали…


Некоторые активные дыры в WordPress 2.3.x

1. Существует возможности при выполнении определенных действий, получить доступ к Черновикам (Drafts), созданным другими пользователями, в том числе и администратором. Поэтому старайтесь не хранить в черновиках конфиденциальную информацию. Пока что дыра есть в 2.3.1 и скорее всего во всех предыдущих версиях. Ждём-с багфикса с апдейтом.

2. Дыра в плагине Wp-ContactForm, при помощи которой злоумышленник может выполнить инъекцию HTML кода и получить пересылаемые данные. Баг фикса нет, но сам плагин старенький, поэтому советую вам просто поменять его на Cforms II, тем более вы можете скачать русскую версию у Соники.

3. Уязвимость обнаружили ребята из Seo Egghead. Заключается она в возможности внедрять ссылки в старые посты, причём, обычно выглядит это так, как будто и должно быть, только вот PR естественно снизится. Подвержены такому «хаку» все версии с 2.1 по 2.3.1 включительно.
Яйцеголовые ребята советуют произвести поиск по блогу по таким словам, как: mp3, download, adshelper, softicana, casino, viagra и тому подобному (не мне вам рассказывать, чем обычно спамят)))


Обнови пермалинки правильно

У некоторых пользователей после перехода на 2.3.1 появился скверный глюк, а точнее ошибка:
«Warning: Invalid argument supplied for foreach() in /home/wallis3/public_html/wordpress/wp-includes/classes.php on line 92»
Лечится это довольно просто, но и не очевидно одновременно: нужно сперва сбросить пермалинки на те, что установлены по умолчанию (Настройки > Постоянные ссылки > По умолчанию > «Обновить шаблоны ссылок»), после чего можно вернуть свои старые шаблоны и обновить повторно — глюк должен исчезнуть.


Разметка кода на блогхостинге WordPress.com

Возможно, полезность данной заметки сомнительна, потому как у нас большой популярностью WordPress.com (не путать с бесплатной блог-платформой WordPress) не пользуется, куда чаще используют BlogSpot/Blogger или ЖЖшку, но была — не была.
Если вы ведете блог на WordPress.com, то для красивой разметки исходных кодов, у вас есть строенная реализация. Работает это так
[sourcecode language='язык']
строчка код 1
...
строчка код n
[/sourcecode]

, где язык — это на выбор: cpp, csharp, css, delphi, java, jscript, php, python, ruby, sql, vb, xml.
За основу взят SyntaxHighlighter, нашего соотечественника (как я понял) Алекса Горбачева.


Помоги найти трэкбэк

Оказывается, среди тэгов разметки WordPress есть такое чудо, как trackback_rdf, который внедряет на страницу не видимый для пользователя код, применяемый некоторыми программами и поисковыми ботами, для определения адреса трэкбэка. Сам тэг должен размещаться внутри Loop’а и быть скрыт в html-комментарий, чтобы не попадаться на глаза читателю. Выглядит это примерно вот таким образом:


Ну вот на сегодня и всё. До скорого. И берегите себя и свой блог.