10 Вещей, которые Вам стоит знать о WordPress 2.6

Продолжу публиковать переводы из серии «10 Вещей» от Аарона Бразелла (оригинал статьи). Перевод наполнен ссылками и комментариями от меня, в тех местах, где определения могли бы быть, на мой взгляд, не совсем понятны читателю.


WordPress 2.6 уже совсем рядом (похоже, что появится уже где-то на следующей неделе) (сегодня как раз релиз), и, как обычно, нас ожидает куча изменений, усовершенствований и улучшений, которые появятся в этой версии. По моему мнению, это не совсем релизная версия. И хотя в ней достаточно крупных нововведений, обычно идущие в основных релизах, большая часть релиза представлена различными улучшениями, которые чаще всего появляются в подверсиях (версиях с «точкой», аля 2.3.3). Вещи типа улучшения безопасности. Есть подозрения, что WP 2.6 хотят выпустить сейчас, чтобы уже ранней осенью порадовать нас WordPress 2.7 и интегрировать в него фичи, разработанные в рамках проекта Google Summer of Code.

И всё же, и сейчас существует значительное количество новых функций, которые мне показались интересными.

Поддержка Google Gears

Gears — это технология от Google, позволяющая браузеру Firefox (кажется и IE 6 тоже, но я не уверен) пре-кэшировать страницы и ускорять доступ к ним. Gears теперь встроен в WordPress 2.6 в админ-панель и ощутимо ускоряет работу с ней. Это особенно важно для тех мест, где широкополосный доступ в интернет ограничен или недоступен (например, страны третьего мира). Чтобы включит Gears в вашем WordPress 2.6, кликните на ссылку Turbo в правом верхнем углу админ панели.

Функционал редакторов XML-RPC

Не привлекая особого внимания, новая функциональность вкралась в разработку WordPress и вызвалала интереснейшие дискуссии среди разработчиков. В цикле разработки, XML-RPC и Atom Pub API для удаленного управления были отключены по умолчанию, как «предосторожность, повышающая безопасность», так как большинство из последних проблем с безопасностью в WordPress были связаны с протоколом XML-RPC.

Дэниэл рассмотрел этот момент в своём блоге в несколько озлобленном тоне, потому что у него есть личный интерес в продвижении десктопного клиента для блогов. Он является разработчиком очень приятного клиента MarsEdit под Мак, который, кстати, я и использую, при написании этого поста. Он начал борьбу, подключив к ней сторонников из числа разработчиков WordPress, и в результате добился компромиса. Новая установка WordPress 2.6 будет содержать опцию для включения XML-RPC, а обновляемые блоги (когда установка идёт «поверх») сохранят свои старые настройки, т.е. XML-RPC будет включен.

Remote Publishing menu in WP 2.6

Это очень важный сдвиг в мышлении блогеров относительно методов письма. Большинство из нас просто хотят писать. Нам не хочется беспокоиться о технических аспектах поддержания работоспособности блога. Это та философия, которой придерживается команда b5media, где я работаю уже очень давно над тем, чтобы построить сеть блоггеров, которые бы могли просто писать, не озобачивая себя логикой поддержки, апгрейдов, монетизации и т.п. К сожалению, пока что большинство блоггеров не технари, а вот их злостные противники очень даже технически образованы и ищут пути для атаки блогов и других вебсайтов. XML-RPC и APP предоставляют место приложения их усилий и несмотря на свою защищённость, в последнее время они оказались местом полным эксплойтов. Отключение функционала, который не всегда используется конечными пользователями, играет большую роль в повышении защищенности блога.

Блоггеры могут включить или выключить функционал через страницу Settings > Writing в админ-панели и большинство десктопных редакторов всё ещё поддерживают лишь XML-RPC протокол, так что, если вы точно не используете Atom Publishing Protocol, то возможно будет лучше оставить включенным только XML-RPC.

Контроль версий постов.

Разработчики знакомые с Subversion или SVN понимают концепцию контроля версий. Сравнивайте один файл или ревизию с другим файлом или ревизией и отслеживайте разницу между ними. При помощи GUI приложений разработчики могут наблюдать подсвеченый код: красный против зеленого (удаленное против добавленного).

Эта концепция теперь применима и к постам, так что вы можете отслеживать разницу между постами, так же как и всегда вернуться к более ранней версии. И полностью влюбился в это нововведение и вы можете посмотреть на пример «сравнения ревизий» встроенный прямо в WordPress.

Post Revision in WP

Безопасность SQL- $wpdb->prepare()

Возвращаясь к WordPress 2.3, где функция prepare() впервые была озвучена, но практически не примененялась… до сих пор. Метод в тот момент был введен как экспериментальный и не был готов для реального применения. Мы стали замечать, что в WordPress 2.5 местами уже стали мелькать вызовы этой функции, а в WordPress 2.6 её уже используют повсеместно.

Смысл работы prepare(), если позволите мне на минутку поумничать, заключается в предварительной чистке SQL-кода, таким образом, чтобы предотвратить SQL инъекции. Так что, разработчики плагинов, должны плясать от счастья от введения этого метода (часть $wpdb класса). Но не только они должны быть счастливы, но с позиции конечного пользователя можно судить, что и вы будете использовать её постоянно.

По-моему, это должно быть частью подрелиза, а не как основная фишка основного релиза движка.

Shift-клик для выбора нескольких чекбоксов в админ-панели.

Внутренняя часть WordPress продолжает эволюционировать после релиза радикально переделанной админки в WP 2.5, а вместе с ней улучшается и юзабилити.

Одно из лучших юзабилити нововведений в WordPress 2.6 — способность выбирать сразу несколько пунктов меню (в виде чекбоксов) при нажатом Shift’е. Скажем, к примеру, вы хотите почистить список категорий, который несколько перегружен (как было в моём случае), просто перейдите на страницу управления категориями, выделите первую категорию, которую собираетесь удалить (посты после этого перейдут в категорию по умолчанию) и Shift-клик на пункт ниже в списке. Магическим образом все пункты между этими двумя будут выделены.

Подобный подход, естественно, работает с любыми списками в админ-панели.

Больше настроек аватаров.

В связи с преобретением Automattic’ом (фирма разработчик WordPress) фирмы Gravatar в прошлом году, встроенная поддержка Gravatar‘ов появилась в WordPress 2.5. WordPress 2.6 предоставит блоггерам ещё больше настроек, разрешив выбирать аватар «по умолчанию». Сразу после установки этим аватаром будет «Mystery Man», серый аватар с белым силуэтом на нём. Так же аватарой по умолчанию может быть «пустота» (ну с этим понятно), лого Gravatar, Identicons, Wavatars или MonsterID.

gravatar logo Identicons Wavatars MonsterID

Аватары на выбор: лого Gravatar, Identicons, Wavatars, MonsterID.

Все они уже некоторое время применялись на WordPress.Com и теперь доступны всем нам. Если интересует больше информации, Мэтт написал пост для WP.com комьюнити, с которым вам следует ознакомиться. Есть, конечно и отличия: пользователям WordPress.com доступны «аватары из доски объявлений» (как я понимаю выбор аватар прямо в dashboard’е), чего нет в версии WP для конечного пользователя (в англ. варианте WPFROU — WordPress for the Rest of Us).

Шаблоны страниц через XML-RPC.

В дополнение к XML-RPC/APP мере безопасности, о которой сказано выше, новая ключевая функциональность стала доступна для софта, работающего через API(и так же, если подумать, демонстрирует мощь содержащуюся в XML-RPC и почему вы возможно захотите его отключить, если не пользуетесь им). XML-RPC интерфейс теперь позволяет управлять шаблонами страниц напрямую из desctop-редакторов. Если я не ошибаюсь, то пока что нет редакторов, которые бы это поддерживали.

Между тем, всё больше и больше возможностей удалённо отправлять в блог посты с таких сервисов как YouTube, Utterz и т.п. Ни один из этих сервисов пока что не применяет эту возможность, однако, я хочу отметить, что раз они могут постить удалённо что угодно, то это даёт возможность и внешнему мир сможет это делать.

Так же вполне вероятно, что вскоре оффлайн редакторы для WordPress будут снабжены копией админ-панели, и теперь мы ещё на один шаг ближе в этом направлении.

Press This

Press this! (тут как я понимаю игра слов — press — нажимать и постить/печатать/пресса) — нововведение с уже хорошо известной концепцией. Букмарклеты. На самом деле, в WordPress уже реализованна возможность создание букмарклета для быстрого вызова меню нового поста, прямо из тулбара браузера, но функциональность была ограничена.

Возможности Press this! рулит, в основном, потому что позволяет пользователю, находясь на любом сайте, кликнуть по букмарклету и вызвать миниатюрную версию админки WordPress с возможностью вставить текст, фото со страницы, цитаты или видео.

Press This! Screenshot

Встроенный предпросмотр тем.

Предпросмотр тем был серьёзной проблемой для дизайнеров тем. Как проверить тему и править её, чтобы это не отразилось на остальном сайте? Некоторые пользовались воспетым в веках плагином Theme Preview от Ryan’а. Другие настраивали бета версию сайта, которая была отрезана от остального мира. Множество разных подходов и каждый по своему хорош.

Между тем, для разработчиков тем и блоггеров, желающих посмотреть, как же тема будет смотреться на сайте, с существующим контентом, теперь есть фича предпросмотра тем. Когда вы находитесь на своей странице Design (Внешний вид), кликните на одном из скриншлтов темы и ваш сайт загрузится в окне аля LightBox, где можно будет просмотреть всё в живую. Мне кажется, что разработчиков сильно вдохновила реализация Quick Look в MacOS X Leopard.

Помните когда Technosailor выглядил вот так?

Old Technosailor Preview

Переделка управлением плагинов

Наконец-то интерфейс управления плагинами удостоился капитальной переработки и получил новые функции. Активированные и отключенные плагины теперь отображаются отдельно и, с новой возможностью выбирать несколько элементов при помощи Shift-клик, управлять ими стало действительно просто. Заметьте, что активные плагины можно выключать, а отключенные активировать сразу группами. А отключенные плагины можно не только включить группой, но даже удалить! Подчистите список устаревших плагинов одни кликом. Но… всегда остаётся одно но… не забудьте сделать резервную копию😀


Осилили? Ну что ж, тогда сами для себя решайте стоит ради этого переходить на новую версию или может повременить?

В следующем посте я выложу ряд ссылок, с которыми стоило бы ознакомиться, если вы сомневаетесь в целесообразности обновления до 2.6, а так же просто полезную информацию.

10 вещей, которые вам стоит знать о WordPress 2.5

Пока я нахожусь в состоянии самоуничижения из-за лени и авитаминоза (сейчас вот начал витамины с женьшенем поглощать), то не сильно балую вас постами, хотя идей полная голова, а вот сил излить их в блог — нет.

Тем временем уже отгремели два релиз кандидата WordPress 2.5 и даже «зафиналили» этот чудо блог движок.
Скачать его можно:
а) оригинальную версию с офф. сайта
б) русскую официальную
в) версию от Кактуса, т.н. Lecactus Edition

Сразу скажу, что сам ещё не смотрел и руками не трогал, но почитать успел изрядно про новую версию. Ссылки на русскоязычные статьи по этой теме дам в конце, а пока что предлагаю ознакомиться с интересной заметкой Аарона Бразелла (вы уже могли читать у меня его пост «10 вещей, которые вам стоит знать о WordPress 2.3»), которая продолжает традиции постов «10 вещей, которые вам стоит знать о WordPress …(поставить новую версию))».


10 вещей, которые вам стоит знать о WordPress 2.5

WordPress собираются выпустить версию 2.5 (статья опубликована 18 марта, во время выхода первого релиз кандидата). Если вы пользуетесь услугами WordPress.com или заглядывали на демо сайт, то вы уже, наверное, знаете, что с этим релизом грядут большие изменения.

Кто-то спросит, «А куда подевался WordPress 2.4?» Ответом на вопрос будет — его просто пропустили. Да, всё верно, 120-дневный цикл релизов был нарушен, и теперь мы получим на выходе два релиза в одном. Повторюсь, количество изменений обширно и бесчисленно. Это громадный релиз.

Ну что же, посмотрим что там самого важного?

Новый интерфейс админ панели

WordPress 2.5 Admin Panel Interface

Безусловно, самые большие изменения в этом релизе коснулись переосмысления того, как пользователь WordPress решает свои административные задачи. Студия Happy Cog была нанята для проведения юзабилити тестов и исследований — с акцентом на исследовании юзабилити. Некоторые из нововведений админ панели настолько значительны, что я выделил их отдельными пунктами, потому что они достойны собственного описания и, вновь повторюсь, эти изменения огромны.

Вы сразу же обратите внимание, что админ панель WordPress теперь выполнена в светло-голубых, светло серых и оранжевых тонах. Мне нравится это цветовое решение, но многим, судя по отзывам, не очень. Если вы разработчик или разбираетесь в создании плагинов для WordPress, то вы можете подключить своё собственное css при помощи фильтров wp_admin_css и wp_admin_css_uri, а так же в новый WordPress уже встроены «Классическая» тёмно синяя тема оформление и «Fresh» стиль, который активирован по умолчанию.

Я же остановился на оформлении по умолчанию. Не так уж оно и плохо.

Расположение элементов меню

WordPress 2.5 Menu Layout
Одно из первых, бросающихся в глаза, изменений коснулось навигации по админке. Почему то в памяти всплыл Movable Type. Я понятия не имею, позаимствовали ли идею оттуда или просто глубокие исследования пользователей, проведенные Happy Cog, сказались на результате, но в любом случае… что-то точно сказалось.

В первую очередь, пользователь работает с админ панелью в одной из четырёх областей — написание постов, управление постами, управление комментариями и изменения в элементах оформления. Вы заметите, что эти пункты вынесены в основную навигацию в левой части экрана. (Обратите внимание, что пункт меню «Presentation»/»Внешний вид» был переименован в «Design» — что тоже является юзабилити решением. И это важно.) Мэтт писал об этом более подробно.

Остальные элементы прежнего основного меню — Плагины, Настройки и Пользователи — теперь отнесены к вторичной навигации в правой части экрана.

Под-навигация — немного странная. Так как первичные и новые вторичные элементы навигации являются частью одной и той же панели меню, все «подменю» появляются под первичной навигацией. Всё нормально, когда дело касается пунктов из первичной навигации, но для элементов вторичной навигации смотрится довольно неудобно, учитывая его расположение в противоположной части экрана. Я знаю, что эту проблему сейчас рассматривают, но что получится в результате — мне не известно.

И ещё, как небольшое дополнение, я думаю, авторам плагинов стоит переосмыслить свой выбор того, где размещать подстраницы настроек своих плагинов. Действительно ли их можно причислить к странице «Настройки»? Действительно ли они относятся к странице «Управление»? По моему мнению, настройки плагинов стоит вносить как подстраницы в меню «Плагины».

Управление виджетами

WordPress 2.5 Widget Handling
Другим МАССИВНЫМ сдвигом в философии стала страница Виджетов. Прежде вы могли перетащить (drag-n-drop) виджет в нужное место. Вы всё ещё можете перетаскивать виджеты в пределах сайдбара, тем не менее, этот релиз WordPress меньше привязан к различным java-script «украшательствам». Каждый виджет представлен в левом столбце, вы кликаете на ссылку «Add» и он переносится в сайдбар. Вместо того, чтобы просматривать все сайдбары сразу, пользователь выбирает сайдбар из выпадающего меню, если хочет перейти к настройке другого сайдбара.

По мне, так это только добавит ещё один пункт к общему списку переучиваний при работе с блогом, так что, в общем, мне не очень это понравилось, но похоже, что так оно надёжнее работает.

Усовершенствованная «Доска объявлений»

WordPress 2.5 DashBoard Overview
Второй вещью, которую вы, скорее всего, заметите сразу после входа в админку (первой была цветовая схема), будет новый интерфейс «Доски объявлений». Теперь она полностью модульная и хотя всё ещё нет «простого» способа добавить свой собственный модуль, всё же авторы плагинов могут создавать виджеты для «Доски объявлений». С такой позиции архитектура выглядит примитивно, но это позволит авторам плагинов добавлять функционал более простым способом и не чувствовать себя «хакерами».

Сводка по всем данным вашего WordPress располагается в виджете с заголовком «Right Now», информирующим вас о количестве постов, комментариев, черновиков, тэгах и категориях. Другие полезные виджеты можно настроить при помощи своих собственных RSS-лент.

Улучшения в визуальном редакторе

WordPress 2.5 Visual Editor Improvements
Визуальный редактор, давшнишяя заноза в заднице многих пользователей, был обновлен до поддержки TinyMCE 3. В него включили даже режим «Во весь экран» (Full Screen), для тех, кто не любит отвлекаться во время написания поста. Я не могу много поведать об остальных особенностях этого обновления, так как не пользуюсь визуальным редактором в WordPress, но мне рассказывали о громадных различиях по сравнению с предыдущей версией. Команда разработчиков TinyMCE совместно работали с командой WordPress над текущим релизом.

Flash загрузка мультимедиа

WordPress 2.5 Flash Uploader
Для тех из вас, кто в постах использует много изображений, стандартный загрузчик был полностью переделан. То есть, вы можете загрузить или вставить сразу несколько изображений за раз, при помощи основанного на Flash загрузчика. Для тех же, у кого не установлен Flash, сохранена возможность воспользоваться старым загрузчиком, т.ч. не стоит волноваться. Так же появилась новая ссылка «Add Media» в заголовке окна написания поста, которая и вызывает загрузчик. Для тех из вас, кто желает подискутировать, над философским решением включить элемент с закрытыми исходными кодами (Flash) в open-source проект и выпуск WordPress под GPL, — вперёд и с песней.

Автообновление плагинов

Ещё одна амбициозная фича, добавленная в WordPress, — новый механизм автообновлений. По умолчанию, он попытается обновить плагины, уже помещенные в репозиторий плагинов WordPress, перезаписав новые файлы поверх существующих. Как бы то ни было, при этом появляется дыра в безопасности, так как получается, что ваши плагины доступны для записи непонятно кому. Альтернативным вариантом можно считать обновление плагинов через FTP/FTP+SSL. Но стоит помнить, что ваши учётные данные и пароль от FTP будут сохранены в базе данных, а также важно не забывать, что FTP — не безопасный протокол. FTP/SSL намного безопаснее, но и у него есть огрехи. Но благодаря существованию хуков для работы с файловой системой, я пишу плагин для работы через Безопасный FTP (FTP через SSH). Пока что он ещё не готов, но надеюсь, что совсем скоро я его выпущу и сообщу вам.

Настраиваемый размер миниатюр

WordPress 2.5 Tumbnails Resize Option
С тех пор как впервые встроили загрузчик изображений, кажется где-то в WordPress 2.0, многие люди жаловались на невозможность модифицировать размер миниатюр. Если не ошибаюсь, то старые настройки были что-то вроде 100×100. В WordPress 2.5, миниатюризация стала намного более удобной. Вы не только можете установить глобальный размер миниатюр, но и также размер для «средних», аля Flickr, и добавилась опция для обрезания слишком больших изображений, вместо того, чтобы просто изменять размер. Думаю, что многим из вас эта функция понравится.

Управление тэгами

WordPress 2.5 Tag Managment
С введением в WordPress 2.3 тэгов, группа разработчиков не сильно торопилась добавлять какие-то элементы интерфейса для управления ими. Минималистическое поле ввода на странице создания поста позволяло просто вводить список тэгов через запятую без дополнительных возможностей манипуляций с ними. К счастью, в 2.5, было добавлено несколько элементов интерфейса, хотя функционал остался тот же. Работает, как и тэги во Flickr, где добавлять тэги можно, перечисляя их через запятую или при помощи мантры «введи, кликни, добавь».

Индикатор надёжности пароля

WordPress 2.5 PassWord Strength
Последняя крупная вещь (и поверьте мне, есть ещё тонна более мелких и неясных вещей) в списке вещей, которые вам стоит знать о WordPress 2.5, это индикатор надёжности пароля. Пароль должен быть минимум три символа или появится сообщение «Слишком короткий», и должен состоять из двух или трёх видов знаков- буквы, цифры или символы — или будет обозначен «Слишком слабым». Безопасность паролей — большая проблема для всех в IT сфере, но безопасность блога может быть улучшена самими блоггерами, подбором «сильных» паролей.

Бонусный пункт: Разумная работа с «Полной датой записи»

WordPress 2.5 TimeStamp Sanity
Благодаря Mark Jaquith (Пояснение: Марк — один из моих служащих в b5media, но также разработчик ядра WordPress), функционал «полной даты записи» (Timestamp) был полностью пересмотрен. По умолчанию новый пост вообще не отображает модуль «Полной даты записи». Вместо этого он немедленно публикуется, или вы можете кликнуть по соответствующей ссылке, если действительно планируете изменить дату публикации. Когда редактируете пост с уже существующей датой (т.е. опубликованный), то вы так же не увидите раздела «Изменить дату», который многие годы вызывал недоумение у пользователей. Если вы редактируете существующую дату, то подразумевается, что вы планируете изменить дату! Другими словами, WP больше не будет оскорблять интелект пользователей (не то чтобы он делал это прежде, но защита блоггера от самого себя немного раздражала).

Если вы планируете потестить, вы всегда можете взять последнюю доступную версию кода с http://svn.automattic.com/wordpress/trunk. Стандартное руководство по работе с не-стабильной версией: Поддержка отсутствует, у вас другой подход, используйте на свой страх и риск, не кормите тигров. Но если вы желаете помочь процессу разработки, то тестируйте И сообщайте о найденных багах. Ещё предстоит много-много чего оттестировать до появления релиза. Наслаждайтесь 🙂


От себя добавлю, что так как обзор делался на основе первого релиз кандидата, то и функции тут указаны не все, например забыта поддержка граватар и галерей, поэтому постараюсь сделать более глубокий обзор нововведений (скорее всего он будет интересен «ковыряющим» движок), а пока что можете полистать «чужие» заметки по теме:
«Как активировать глючащие плагины в WordPress 2.5»
«WordPress 2.5 против WordPress 2.3.x — сравнительный обзор»
Качественно переведенный WordPress 2.5 Lecactus Edition — советую!
Показательный опыт обновления до 2.5 — не всё так безоблачно.

Сам я скорее всего пока повременю с обновлением и посмотрю на работу на тестовом блоге, к тому же думаю 2.5.1 не заставит себя долго ждать.

Не работающий nofollow и как бороться со спам-линками в WordPress

Для кого как, но для меня было открытием, что rel=»nofollow», указанное в ссылке, не работает, так как должна. А точнее вес со страницы и бот не идут по ссылке, но вот ключевые слова из ссылки всё равно учитываются при ранжировании.

Товарищь Donncha в качестве примера-доказательства приводит следующее:
кто-то проспамил его блог комментом, где в качестве имени стояло Shih Tzu Checks (ши-тцу — это порода собак такая), а ссылка вела на страничку. И что самое интересное, при поиске по данному ключевику, страница висит в топ10, при том, что в гугле на нее нет ни одного директ линка.

Вот такие вот дела.

Но Donncha не унывает и даёт советы по борьбе с подобными спаммерами:
1. Применять плагин Comment Referrer, который добавляет в письмо для аппрува комментария ссылку, по которой к вам пришёл человек или бот.
comment referrers screenshot
На картинке чётко видно, что страничку искали по слову «Leave a reply», т.е. с целью «оставить коммент». Такое сразу можно в спам отправлять.

2. Установить плагин Delink Comment Author, при помощи которого можно выборочно удалять ссылки с имени автора, для чего рядом с комментом и в админ панели появляются соответствующие ссылки.

3. Использовать плагин Lucia’s Linky Love, позволяющий установить минимальное количество комментариев, необходимое, чтобы ссылка от автора была разрешена к отображению.
Lucia’s Linky Love Admin Panel Screenshot

От себя могу добавить, что есть ещё несколько альтернатив этим плагинам, например:

  • NoFollow Free (русская версия и описание)
  • Comment URL Control — похоже, что тоже самое, что и Delink Comment Author.
  • Nofollow Case by Case — убирает Nofollow со всех комментариев, до тех пор, пока вы в ручную не допишете в конкретный урл dontfollow. Имхо не слишком удобно, но возможно есть и некая автоматизация сего процесса.
  • WP-Ban — банит посетителей по IP, указываемому хосту, а так же рефереру. Позволяет настроить сообщение, выдаваемое забаненному посетителю.
  • Simple Trackback Validation — проверяет трекбэки: сравнивая IP-адрес отправителя трекбэка и сайта, на который ссылается трекбэк, а так проверяет страницу, с которой пришёл трекбэк, на наличие беклинка.

Если вам известны какие-либо ещё способы борьбы со спамом — поделитесь ими в комментариях, а я тогда обновлю пост, если информация будет полезна.

Удачи и поменьше спама и «левых» трекбэков.

[Безопасность] Список дырявых плагинов 2

Продолжаем публиковать список плагинов, которые стоит:
а) обновить до безопасной версии
б) отключить, если таковой не имеется.

Думаю конечному пользователю (т.е. тебе читатель) не столь интересно какими методами злоумышленники будут тебя ломать, а вот как от этого обезопасится — это уж всенепременно важно. Сегодня в список попали довольно популярные плагины (заодно сделаю мини-обзор), так что спешим обновляться:

  1. WP-People
  2. Плагин, который ищет в тексте поста имена, совпадающие с его базой и линкующий их на соответствующий профиль. Пример работы. Уязвимы версии до 1.6, с сайта же можно скачать Wp-People 1.6.1.
    Вообще пожалуй интересный плагин для создания некоего комьюнити на WordPress.

  3. Simple Forum
  4. simple forum plugin screenshot
    Плагин встраиваемого в WordPress форума. На сайте можно скачать помимо самого форума: локализации (русский язык для последней версии отсутствует, может кто посодействует автору, а?), скины и иконки.
    Если у вас стоит версия плагина «моложе» 2.1 build 237, то выключайте или обновляйте (текущую версию форума можно подглядеть в самом низу форумной страницы).

  5. WP Photo Album
  6. Одна из вариаций реализации фото-альбома для WordPress. Тут можно посмотреть как это работает (сайт автора).
    Уязвимы версии до 1.1, так что скачивайте и обновляйтесь.

  7. Search Unleashed
  8. Ещё один популярный плагин, на этот раз для реализации поиска по всему блогу, а не только постам. Русская версия у Кактуса.
    Взлом зарегистрирован во всех версиях до 2.11, причём забавно то, что на сайте плагина скачать можно только 2.10, зато в других местахрусский вариант) уже предлагают безопасные версии.

  9. Sniplets
  10. Это вообще какая-то мега тулза по замене текста в посте в зависимости от условий, добавление подсветки и т.д. БлогСекьюрити сообщают, что уязвимы версии до 1.1.2, но судя по Version History с сайта — багфикса нет и в текущей (1.2.2) версии, на это же указывает и, например, вот этот взлом.
    Так что, если вы его применяли, то отключаем и/или ищем замену.


Йех, наконец-то удалось что-то написать, а то почти неделю без интернета дома — это какой-то кошмар.
Успел за это время досмотреть аниме Death Note, одноименный фильм и Зеленую милю. Последнее настоятельно советую, если вдруг кто ещё не видел.

Виджеты — это очень просто!

«Не знание технологий не освобождает от…», не, не то. «А я вот сделал, а оно не работает…».

К чему это я? Ах да, в последнее время ко мне несколько разных человек обратились примерно с одним и тем же вопросом:
«Почему, после того как я добавил в sidebar.php код кнопки/баннера/ссылки, ничего не изменилось и я их не вижу?!»
На что я сразу выдаю контр-вопрос (нет-нет, я не еврей):
«А вы используете в своей теме виджеты?!»

Просто не все осознают, что всё что находится ниже строки:
if ( !function_exists(‘dynamic_sidebar’) || !dynamic_sidebar() )
в sidebar.php будет показано ТОЛЬКО в том случае, если вы не включили ни одного виджета. В противном случае будут отображаться ваши настройки из «Внешний вид > Виджеты».

Обычно после того, как я это объясняю, следует вопрос — «Ну и как мне поместить свой код в сайдбар/виджет?!», да очень просто — если это обычный хтмл-код (а это в 90% случаев баннеры и стандартные ссылки/кнопки), то достаточно добавить стандартный текстовый виджет и поместить в него готовый код.

Но что делать, если виджет должен выводить результат выполнения какой-то функции? И ведь действительно, почти все «мощные» плагины, такие как ‘Popularity Contest‘ (русская версия), позволяют получать обработанную информацию из своих функций. Например, akpc_most_popular — самые популярные, akpc_most_popular_in_cat — самые популярные в какой-то категории и т.д.

Да, я знаю КАК можно сделать свой виджет, путём редактирования functions.php, но даже мне порой бывает лень это делать, а что говорить о людях, для которых внести изменения в файл темы (причём не просто копи-паст, а ещё и осмысленное редактирование) — это нечто равносильное тасканию пятидесяти килограммовых мешков?

Для таких страдальцев нашёлся чудо плагин Custom Function Widgets (скачать), авторства Kaspars Dambis из Латвии.

Как это работает.

  1. Скачиваете и устанавливаете как и любой другой плагин.
  2. После активации в меню «Внешний вид > Виджеты» появится новый раздел «Custom Function Widgets», где вы можете указать необходимое количество настраиваемых виджетов.
  3. Custom Function Widgets - admin panel - Screenshot

  4. Теперь перетащите один из «Custom Function» плагинов в свой сайдбар и нажмите кнопку настройки.
  5. Введите в поле Function name имя нужной функции (например, st_related_posts, чтобы вывести связанные посты, при помощи плагина Simple Tags) и жмём «сохранить».
  6. Вуаля, если всё сделали правильно, то можем полюбоваться на результат в сайдбаре блога.

Теперь объясню какие поля в настройках за что отвечают:
Widget title — заголовок виджета. Он будет показан при выводе (если вы специально не отключите, о чём ниже), а так же это название будет видно в панели управления виджетами.
Function name — имя функции. Указывается без кавычек и скобок.
Function variables — переменные, передаваемые в функцию. Если функция для работы требует параметры, то указывайте их тут. Важно сохранять последовательность переменных, а так же перечислять переменные через запятую, если их несколько.
HTML before и HTML after — хтмл код, который будет выводиться перед и после вашей функции. Обычно это обрамление тэгами списков, ну или возможно подключение какого-нибудь java-script.
Галочка Remove Widget title from output отключает вывод заголовка виджета в сайдбар, а Remove the default widget wrapper — отключит разрывы между виджетами.

В общем — пробуйте и пишите отзывы тут или сразу автору плагина, который очень оперативно ответил и исправил найденный мною баг. Ещё раз ссылка на скачку плагина.