Блог о WordPress от Тараса

Продолжу публиковать переводы из серии “10 Вещей” от Аарона Бразелла (оригинал статьи). Перевод наполнен ссылками и комментариями от меня, в тех местах, где определения могли бы быть, на мой взгляд, не совсем понятны читателю.

---

WordPress 2.6 уже совсем рядом (похоже, что появится уже где-то на следующей неделе) (сегодня как раз релиз), и, как обычно, нас ожидает куча изменений, усовершенствований и улучшений, которые появятся в этой версии. По моему мнению, это не совсем релизная версия. И хотя в ней достаточно крупных нововведений, обычно идущие в основных релизах, большая часть релиза представлена различными улучшениями, которые чаще всего появляются в подверсиях (версиях с “точкой”, аля 2.3.3). Вещи типа улучшения безопасности. Есть подозрения, что WP 2.6 хотят выпустить сейчас, чтобы уже ранней осенью порадовать нас WordPress 2.7 и интегрировать в него фичи, разработанные в рамках проекта Google Summer of Code.

И всё же, и сейчас существует значительное количество новых функций, которые мне показались интересными.

Поддержка Google Gears

Gears - это технология от Google, позволяющая браузеру Firefox (кажется и IE 6 тоже, но я не уверен) пре-кэшировать страницы и ускорять доступ к ним. Gears теперь встроен в WordPress 2.6 в админ-панель и ощутимо ускоряет работу с ней. Это особенно важно для тех мест, где широкополосный доступ в интернет ограничен или недоступен (например, страны третьего мира). Чтобы включит Gears в вашем WordPress 2.6, кликните на ссылку Turbo в правом верхнем углу админ панели.

Функционал редакторов XML-RPC

Не привлекая особого внимания, новая функциональность вкралась в разработку WordPress и вызвалала интереснейшие дискуссии среди разработчиков. В цикле разработки, XML-RPC и Atom Pub API для удаленного управления были отключены по умолчанию, как “предосторожность, повышающая безопасность”, так как большинство из последних проблем с безопасностью в WordPress были связаны с протоколом XML-RPC.

Дэниэл рассмотрел этот момент в своём блоге в несколько озлобленном тоне, потому что у него есть личный интерес в продвижении десктопного клиента для блогов. Он является разработчиком очень приятного клиента MarsEdit под Мак, который, кстати, я и использую, при написании этого поста. Он начал борьбу, подключив к ней сторонников из числа разработчиков WordPress, и в результате добился компромиса. Новая установка WordPress 2.6 будет содержать опцию для включения XML-RPC, а обновляемые блоги (когда установка идёт “поверх”) сохранят свои старые настройки, т.е. XML-RPC будет включен.

Это очень важный сдвиг в мышлении блогеров относительно методов письма. Большинство из нас просто хотят писать. Нам не хочется беспокоиться о технических аспектах поддержания работоспособности блога. Это та философия, которой придерживается команда b5media, где я работаю уже очень давно над тем, чтобы построить сеть блоггеров, которые бы могли просто писать, не озобачивая себя логикой поддержки, апгрейдов, монетизации и т.п. К сожалению, пока что большинство блоггеров не технари, а вот их злостные противники очень даже технически образованы и ищут пути для атаки блогов и других вебсайтов. XML-RPC и APP предоставляют место приложения их усилий и несмотря на свою защищённость, в последнее время они оказались местом полным эксплойтов. Отключение функционала, который не всегда используется конечными пользователями, играет большую роль в повышении защищенности блога.

Блоггеры могут включить или выключить функционал через страницу Settings > Writing в админ-панели и большинство десктопных редакторов всё ещё поддерживают лишь XML-RPC протокол, так что, если вы точно не используете Atom Publishing Protocol, то возможно будет лучше оставить включенным только XML-RPC.

Контроль версий постов.

Разработчики знакомые с Subversion или SVN понимают концепцию контроля версий. Сравнивайте один файл или ревизию с другим файлом или ревизией и отслеживайте разницу между ними. При помощи GUI приложений разработчики могут наблюдать подсвеченый код: красный против зеленого (удаленное против добавленного).

Эта концепция теперь применима и к постам, так что вы можете отслеживать разницу между постами, так же как и всегда вернуться к более ранней версии. И полностью влюбился в это нововведение и вы можете посмотреть на пример “сравнения ревизий” встроенный прямо в WordPress.

Безопасность SQL- $wpdb->prepare()

Возвращаясь к WordPress 2.3, где функция prepare() впервые была озвучена, но практически не примененялась… до сих пор. Метод в тот момент был введен как экспериментальный и не был готов для реального применения. Мы стали замечать, что в WordPress 2.5 местами уже стали мелькать вызовы этой функции, а в WordPress 2.6 её уже используют повсеместно.

Смысл работы prepare(), если позволите мне на минутку поумничать, заключается в предварительной чистке SQL-кода, таким образом, чтобы предотвратить SQL инъекции. Так что, разработчики плагинов, должны плясать от счастья от введения этого метода (часть $wpdb класса). Но не только они должны быть счастливы, но с позиции конечного пользователя можно судить, что и вы будете использовать её постоянно.

По-моему, это должно быть частью подрелиза, а не как основная фишка основного релиза движка.

Shift-клик для выбора нескольких чекбоксов в админ-панели.

Внутренняя часть WordPress продолжает эволюционировать после релиза радикально переделанной админки в WP 2.5, а вместе с ней улучшается и юзабилити.

Одно из лучших юзабилити нововведений в WordPress 2.6 - способность выбирать сразу несколько пунктов меню (в виде чекбоксов) при нажатом Shift’е. Скажем, к примеру, вы хотите почистить список категорий, который несколько перегружен (как было в моём случае), просто перейдите на страницу управления категориями, выделите первую категорию, которую собираетесь удалить (посты после этого перейдут в категорию по умолчанию) и Shift-клик на пункт ниже в списке. Магическим образом все пункты между этими двумя будут выделены.

Подобный подход, естественно, работает с любыми списками в админ-панели.

Больше настроек аватаров.

В связи с преобретением Automattic’ом (фирма разработчик WordPress) фирмы Gravatar в прошлом году, встроенная поддержка Gravatar‘ов появилась в WordPress 2.5. WordPress 2.6 предоставит блоггерам ещё больше настроек, разрешив выбирать аватар “по умолчанию”. Сразу после установки этим аватаром будет “Mystery Man”, серый аватар с белым силуэтом на нём. Так же аватарой по умолчанию может быть “пустота” (ну с этим понятно), лого Gravatar, Identicons, Wavatars или MonsterID.

Аватары на выбор: лого Gravatar, Identicons, Wavatars, MonsterID.

Все они уже некоторое время применялись на WordPress.Com и теперь доступны всем нам. Если интересует больше информации, Мэтт написал пост для WP.com комьюнити, с которым вам следует ознакомиться. Есть, конечно и отличия: пользователям WordPress.com доступны “аватары из доски объявлений” (как я понимаю выбор аватар прямо в dashboard’е), чего нет в версии WP для конечного пользователя (в англ. варианте WPFROU - WordPress for the Rest of Us).

Шаблоны страниц через XML-RPC.

В дополнение к XML-RPC/APP мере безопасности, о которой сказано выше, новая ключевая функциональность стала доступна для софта, работающего через API(и так же, если подумать, демонстрирует мощь содержащуюся в XML-RPC и почему вы возможно захотите его отключить, если не пользуетесь им). XML-RPC интерфейс теперь позволяет управлять шаблонами страниц напрямую из desctop-редакторов. Если я не ошибаюсь, то пока что нет редакторов, которые бы это поддерживали.

Между тем, всё больше и больше возможностей удалённо отправлять в блог посты с таких сервисов как YouTube, Utterz и т.п. Ни один из этих сервисов пока что не применяет эту возможность, однако, я хочу отметить, что раз они могут постить удалённо что угодно, то это даёт возможность и внешнему мир сможет это делать.

Так же вполне вероятно, что вскоре оффлайн редакторы для WordPress будут снабжены копией админ-панели, и теперь мы ещё на один шаг ближе в этом направлении.

Press This

Press this! (тут как я понимаю игра слов - press - нажимать и постить/печатать/пресса) - нововведение с уже хорошо известной концепцией. Букмарклеты. На самом деле, в WordPress уже реализованна возможность создание букмарклета для быстрого вызова меню нового поста, прямо из тулбара браузера, но функциональность была ограничена.

Возможности Press this! рулит, в основном, потому что позволяет пользователю, находясь на любом сайте, кликнуть по букмарклету и вызвать миниатюрную версию админки WordPress с возможностью вставить текст, фото со страницы, цитаты или видео.

Встроенный предпросмотр тем.

Предпросмотр тем был серьёзной проблемой для дизайнеров тем. Как проверить тему и править её, чтобы это не отразилось на остальном сайте? Некоторые пользовались воспетым в веках плагином Theme Preview от Ryan’а. Другие настраивали бета версию сайта, которая была отрезана от остального мира. Множество разных подходов и каждый по своему хорош.

Между тем, для разработчиков тем и блоггеров, желающих посмотреть, как же тема будет смотреться на сайте, с существующим контентом, теперь есть фича предпросмотра тем. Когда вы находитесь на своей странице Design (Внешний вид), кликните на одном из скриншлтов темы и ваш сайт загрузится в окне аля LightBox, где можно будет просмотреть всё в живую. Мне кажется, что разработчиков сильно вдохновила реализация Quick Look в MacOS X Leopard.

Помните когда Technosailor выглядил вот так?

Переделка управлением плагинов

Наконец-то интерфейс управления плагинами удостоился капитальной переработки и получил новые функции. Активированные и отключенные плагины теперь отображаются отдельно и, с новой возможностью выбирать несколько элементов при помощи Shift-клик, управлять ими стало действительно просто. Заметьте, что активные плагины можно выключать, а отключенные активировать сразу группами. А отключенные плагины можно не только включить группой, но даже удалить! Подчистите список устаревших плагинов одни кликом. Но… всегда остаётся одно но… не забудьте сделать резервную копию

---

Осилили? Ну что ж, тогда сами для себя решайте стоит ради этого переходить на новую версию или может повременить?

В следующем посте я выложу ряд ссылок, с которыми стоило бы ознакомиться, если вы сомневаетесь в целесообразности обновления до 2.6, а так же просто полезную информацию.

Звиняйте, пишу редко, ибо с головой ушёл в офф-лайн: йога, диплом, работа.

Даже, грешным делом, новый WordPress так себе и не поставил для теста, но за новостями слежу, а так как на меня порой даже ссылаются, как на источник информации по уязвимостям в WordPress, то надо поддерживать сие положение дел.

И так, начнём с простого вопроса - многие ли из вас, читатели, знают, что такое SECRET_KEY в новой версии движка?

Небольшой экскурс в кодекс или читайте мою интерпретацию)

В общем, многие знают, ну или подозревают, что до того, как попасть в базу данных пароль, вводимый пользователем, подвергается md5-преобразованию. Это делается для того, чтобы даже если злоумышленник получит список паролей, реальных паролей на руках у него не было. Проблема в том, что обычно пользователи указывают простые пароли вроде qwerty и прочих pass12345 у которых ВСЕГДА один и тот же md5-хэш. И введя в тот же гугл полученную из БД строку “зашифрованного” пароля, мы получим на выходе оригинал пароля. Так же существуют онлайн сервисы и оффлайн утилиты, которые просто генерят словари всех возможных слов с их md5-строками (получается некий брут-форс).

Что предприняли ушлые разработчики вордпресс в новом релизе?
Стоит отметить, что идея стара как мир, но ввели сей алгоритм в движок только сейчас.

Они решили добавить некий случайный элемент в генерацию хэша, который бы не позволил “угадывать” пароль по его md5, не зная этого элемента. Как вы поняли речь тут и идёт о SECRET_KEY, только проблема, на текущий момент такова, что о его существовании знают почти что только избранные (теперь и вы себя к ним можете причислить)).

WordPress 2.5 не предлагает сменить этот ключ при установке и использует всё время прописанный в wp-config.php по-умолчанию:
define(’SECRET_KEY’, ‘put your unique phrase here’);
Так как 90% пользователей вордпресс создают wp-config.php через меню браузера, прописывая нужные параметры при установке, то получаем у 90% блогов один и тот же “случайный элемент”.

Тов. J. Carlos Nieto, поднатужившись, написал огромное изыскание, где можно даже найти код программы для перебора паролей и местами это вообще похоже на hack-manual ]:->

Так что, уважаемые читатели, мораль сей басни такова:
“Если вы устанавливаете новую версию или апгрейдите старую до WordPress 2.5, то потрудитесь залезть в wp-config.php и исправить ‘put your unique phrase here’ на что угодно (вам даже не обязательно запоминать эту фразу), например, ‘Спасибо тебе Тарас за наше безопасное детство блоггерство’ “

Пока я нахожусь в состоянии самоуничижения из-за лени и авитаминоза (сейчас вот начал витамины с женьшенем поглощать), то не сильно балую вас постами, хотя идей полная голова, а вот сил излить их в блог - нет.

Тем временем уже отгремели два релиз кандидата WordPress 2.5 и даже “зафиналили” этот чудо блог движок.
Скачать его можно:
а) оригинальную версию с офф. сайта
б) русскую официальную
в) версию от Кактуса, т.н. Lecactus Edition

Сразу скажу, что сам ещё не смотрел и руками не трогал, но почитать успел изрядно про новую версию. Ссылки на русскоязычные статьи по этой теме дам в конце, а пока что предлагаю ознакомиться с интересной заметкой Аарона Бразелла (вы уже могли читать у меня его пост “10 вещей, которые вам стоит знать о WordPress 2.3″), которая продолжает традиции постов “10 вещей, которые вам стоит знать о WordPress …(поставить новую версию))”.

---

10 вещей, которые вам стоит знать о WordPress 2.5

WordPress собираются выпустить версию 2.5 (статья опубликована 18 марта, во время выхода первого релиз кандидата). Если вы пользуетесь услугами WordPress.com или заглядывали на демо сайт, то вы уже, наверное, знаете, что с этим релизом грядут большие изменения.

Кто-то спросит, “А куда подевался WordPress 2.4?” Ответом на вопрос будет - его просто пропустили. Да, всё верно, 120-дневный цикл релизов был нарушен, и теперь мы получим на выходе два релиза в одном. Повторюсь, количество изменений обширно и бесчисленно. Это громадный релиз.

Ну что же, посмотрим что там самого важного?

Новый интерфейс админ панели

Безусловно, самые большие изменения в этом релизе коснулись переосмысления того, как пользователь WordPress решает свои административные задачи. Студия Happy Cog была нанята для проведения юзабилити тестов и исследований - с акцентом на исследовании юзабилити. Некоторые из нововведений админ панели настолько значительны, что я выделил их отдельными пунктами, потому что они достойны собственного описания и, вновь повторюсь, эти изменения огромны.

Вы сразу же обратите внимание, что админ панель WordPress теперь выполнена в светло-голубых, светло серых и оранжевых тонах. Мне нравится это цветовое решение, но многим, судя по отзывам, не очень. Если вы разработчик или разбираетесь в создании плагинов для WordPress, то вы можете подключить своё собственное css при помощи фильтров wp_admin_css и wp_admin_css_uri, а так же в новый WordPress уже встроены “Классическая” тёмно синяя тема оформление и “Fresh” стиль, который активирован по умолчанию.

function my_admin_css( $cssfilename ) {
// Используйте имя css-файла, лежащего в папке wp-admin
// БЕЗ указания расширения. В return укажите имя темы
return 'my-new-wp-admin';
}
apply_filters('wp_admin_css', 'my_admin_css');

Я же остановился на оформлении по умолчанию. Не так уж оно и плохо.

Расположение элементов меню

Одно из первых, бросающихся в глаза, изменений коснулось навигации по админке. Почему то в памяти всплыл Movable Type. Я понятия не имею, позаимствовали ли идею оттуда или просто глубокие исследования пользователей, проведенные Happy Cog, сказались на результате, но в любом случае… что-то точно сказалось.

В первую очередь, пользователь работает с админ панелью в одной из четырёх областей - написание постов, управление постами, управление комментариями и изменения в элементах оформления. Вы заметите, что эти пункты вынесены в основную навигацию в левой части экрана. (Обратите внимание, что пункт меню “Presentation”/”Внешний вид” был переименован в “Design” - что тоже является юзабилити решением. И это важно.) Мэтт писал об этом более подробно.

Остальные элементы прежнего основного меню - Плагины, Настройки и Пользователи - теперь отнесены к вторичной навигации в правой части экрана.

Под-навигация - немного странная. Так как первичные и новые вторичные элементы навигации являются частью одной и той же панели меню, все “подменю” появляются под первичной навигацией. Всё нормально, когда дело касается пунктов из первичной навигации, но для элементов вторичной навигации смотрится довольно неудобно, учитывая его расположение в противоположной части экрана. Я знаю, что эту проблему сейчас рассматривают, но что получится в результате - мне не известно.

И ещё, как небольшое дополнение, я думаю, авторам плагинов стоит переосмыслить свой выбор того, где размещать подстраницы настроек своих плагинов. Действительно ли их можно причислить к странице “Настройки”? Действительно ли они относятся к странице “Управление”? По моему мнению, настройки плагинов стоит вносить как подстраницы в меню “Плагины”.

Управление виджетами

Другим МАССИВНЫМ сдвигом в философии стала страница Виджетов. Прежде вы могли перетащить (drag-n-drop) виджет в нужное место. Вы всё ещё можете перетаскивать виджеты в пределах сайдбара, тем не менее, этот релиз WordPress меньше привязан к различным java-script “украшательствам”. Каждый виджет представлен в левом столбце, вы кликаете на ссылку “Add” и он переносится в сайдбар. Вместо того, чтобы просматривать все сайдбары сразу, пользователь выбирает сайдбар из выпадающего меню, если хочет перейти к настройке другого сайдбара.

По мне, так это только добавит ещё один пункт к общему списку переучиваний при работе с блогом, так что, в общем, мне не очень это понравилось, но похоже, что так оно надёжнее работает.

Усовершенствованная “Доска объявлений”

Второй вещью, которую вы, скорее всего, заметите сразу после входа в админку (первой была цветовая схема), будет новый интерфейс “Доски объявлений”. Теперь она полностью модульная и хотя всё ещё нет “простого” способа добавить свой собственный модуль, всё же авторы плагинов могут создавать виджеты для “Доски объявлений”. С такой позиции архитектура выглядит примитивно, но это позволит авторам плагинов добавлять функционал более простым способом и не чувствовать себя “хакерами”.

Сводка по всем данным вашего WordPress располагается в виджете с заголовком “Right Now”, информирующим вас о количестве постов, комментариев, черновиков, тэгах и категориях. Другие полезные виджеты можно настроить при помощи своих собственных RSS-лент.

Улучшения в визуальном редакторе

Визуальный редактор, давшнишяя заноза в заднице многих пользователей, был обновлен до поддержки TinyMCE 3. В него включили даже режим “Во весь экран” (Full Screen), для тех, кто не любит отвлекаться во время написания поста. Я не могу много поведать об остальных особенностях этого обновления, так как не пользуюсь визуальным редактором в WordPress, но мне рассказывали о громадных различиях по сравнению с предыдущей версией. Команда разработчиков TinyMCE совместно работали с командой WordPress над текущим релизом.

Flash загрузка мультимедиа

Для тех из вас, кто в постах использует много изображений, стандартный загрузчик был полностью переделан. То есть, вы можете загрузить или вставить сразу несколько изображений за раз, при помощи основанного на Flash загрузчика. Для тех же, у кого не установлен Flash, сохранена возможность воспользоваться старым загрузчиком, т.ч. не стоит волноваться. Так же появилась новая ссылка “Add Media” в заголовке окна написания поста, которая и вызывает загрузчик. Для тех из вас, кто желает подискутировать, над философским решением включить элемент с закрытыми исходными кодами (Flash) в open-source проект и выпуск WordPress под GPL, - вперёд и с песней.

Автообновление плагинов

Ещё одна амбициозная фича, добавленная в WordPress, - новый механизм автообновлений. По умолчанию, он попытается обновить плагины, уже помещенные в репозиторий плагинов WordPress, перезаписав новые файлы поверх существующих. Как бы то ни было, при этом появляется дыра в безопасности, так как получается, что ваши плагины доступны для записи непонятно кому. Альтернативным вариантом можно считать обновление плагинов через FTP/FTP+SSL. Но стоит помнить, что ваши учётные данные и пароль от FTP будут сохранены в базе данных, а также важно не забывать, что FTP - не безопасный протокол. FTP/SSL намного безопаснее, но и у него есть огрехи. Но благодаря существованию хуков для работы с файловой системой, я пишу плагин для работы через Безопасный FTP (FTP через SSH). Пока что он ещё не готов, но надеюсь, что совсем скоро я его выпущу и сообщу вам.

Настраиваемый размер миниатюр

С тех пор как впервые встроили загрузчик изображений, кажется где-то в WordPress 2.0, многие люди жаловались на невозможность модифицировать размер миниатюр. Если не ошибаюсь, то старые настройки были что-то вроде 100×100. В WordPress 2.5, миниатюризация стала намного более удобной. Вы не только можете установить глобальный размер миниатюр, но и также размер для “средних”, аля Flickr, и добавилась опция для обрезания слишком больших изображений, вместо того, чтобы просто изменять размер. Думаю, что многим из вас эта функция понравится.

Управление тэгами

С введением в WordPress 2.3 тэгов, группа разработчиков не сильно торопилась добавлять какие-то элементы интерфейса для управления ими. Минималистическое поле ввода на странице создания поста позволяло просто вводить список тэгов через запятую без дополнительных возможностей манипуляций с ними. К счастью, в 2.5, было добавлено несколько элементов интерфейса, хотя функционал остался тот же. Работает, как и тэги во Flickr, где добавлять тэги можно, перечисляя их через запятую или при помощи мантры “введи, кликни, добавь”.

Индикатор надёжности пароля

Последняя крупная вещь (и поверьте мне, есть ещё тонна более мелких и неясных вещей) в списке вещей, которые вам стоит знать о WordPress 2.5, это индикатор надёжности пароля. Пароль должен быть минимум три символа или появится сообщение “Слишком короткий”, и должен состоять из двух или трёх видов знаков- буквы, цифры или символы - или будет обозначен “Слишком слабым”. Безопасность паролей - большая проблема для всех в IT сфере, но безопасность блога может быть улучшена самими блоггерами, подбором “сильных” паролей.

Бонусный пункт: Разумная работа с “Полной датой записи”

Благодаря Mark Jaquith (Пояснение: Марк - один из моих служащих в b5media, но также разработчик ядра WordPress), функционал “полной даты записи” (Timestamp) был полностью пересмотрен. По умолчанию новый пост вообще не отображает модуль “Полной даты записи”. Вместо этого он немедленно публикуется, или вы можете кликнуть по соответствующей ссылке, если действительно планируете изменить дату публикации. Когда редактируете пост с уже существующей датой (т.е. опубликованный), то вы так же не увидите раздела “Изменить дату”, который многие годы вызывал недоумение у пользователей. Если вы редактируете существующую дату, то подразумевается, что вы планируете изменить дату! Другими словами, WP больше не будет оскорблять интелект пользователей (не то чтобы он делал это прежде, но защита блоггера от самого себя немного раздражала).

Если вы планируете потестить, вы всегда можете взять последнюю доступную версию кода с http://svn.automattic.com/wordpress/trunk. Стандартное руководство по работе с не-стабильной версией: Поддержка отсутствует, у вас другой подход, используйте на свой страх и риск, не кормите тигров. Но если вы желаете помочь процессу разработки, то тестируйте И сообщайте о найденных багах. Ещё предстоит много-много чего оттестировать до появления релиза. Наслаждайтесь

---

От себя добавлю, что так как обзор делался на основе первого релиз кандидата, то и функции тут указаны не все, например забыта поддержка граватар и галерей, поэтому постараюсь сделать более глубокий обзор нововведений (скорее всего он будет интересен “ковыряющим” движок), а пока что можете полистать “чужие” заметки по теме:
“Как активировать глючащие плагины в WordPress 2.5″
“Wordpress 2.5 против Wordpress 2.3.x - сравнительный обзор”
Качественно переведенный WordPress 2.5 Lecactus Edition - советую!
Показательный опыт обновления до 2.5 - не всё так безоблачно.

Сам я скорее всего пока повременю с обновлением и посмотрю на работу на тестовом блоге, к тому же думаю 2.5.1 не заставит себя долго ждать.