Kategorie
Bez kategorii WordPress

jeszcze o bezpieczeństwie wordpressa

Przedwczoraj we wpisie przedstaw się, zostaniesz zhakowany pisałem o bezpieczeństwie wordpressa i o potrzebie usunięcia sygnatury z wersją.

Część udało się zrealizować samą skórką. Niestety nie jest to wszystko co trzeba zrobić.

Identyfikacja następuje jeszcze w wielu miejscach i te niestety wymagają zmian w kodzie, co dotyczy plików:

  • wp-includes/feed*.php – zawierają generator.
  • wp-includes/general-template.php – buduje linka do arkusza css z panelu administratora, a ekran wykorzystywany jest dla odnośnika rejestracji nowego użytkownika.

Jak na razie jest to wszystko co znalazłem.

Oczywiście należy pamiętać, że takie ukrywanie wersji działa tylko na najbardziej prymitywne roboty, ponieważ te zaawansowane odpytają po prostu serwis po standardowych funkcjach i z kompletu odpowiedzi uzyskają przybliżoną lub dokładną wersję. Ale … nie chodzi o to żeby uciec przed lwem, wystarczy że będziemy szybsi niż ten kogo lew dorwie.

Kategorie
Bez kategorii WordPress

przedstaw się, zostaniesz zhakowany

Mało śmieszna sytuacja z dzisiejszego dnia.

W nocy został wydany wordpress 2.3.3, w którym poprawiono poważny błąd bezpieczeństwa, który z grubsza polega na tym, że posiadając dowolnego użytkownika w serwisie, można zmienić posty, nawet jeżeli nie ma się do tego uprawnień.

Po przeczytaniu natychmiast wystawiłem zadanie do działu obsługi, żeby powiadomili klienta i rozpoczęli procedurę uaktualniania kilku serwisów opartych właśnie o wordpressa. Za około 30 minut klient sam podesłał zadanie, że w jednym z wpisów pojawiły się dziwaczne odnośniki (viagra, powiększanie, podróże), czyli generalnie automatycznie dodawany spam pozycjonerski.

Tym którym zależy na takiej promocji serwisów swoich klientów korzystają z prostych automatów wykorzystujących właśnie to, że opensource’owy soft zazwyczaj sam przedstawia się, czym jest, co znacznie ułatwia „pracę” tych, którzy to wykorzystują. Rozwinięcie tematu znajdziecie tutaj: WordPress – bezpieczeństwo, tutaj skupię się tylko na usunięciu wpisu o wersji.

Prawie w każdym themie jest linijka która podaje z jakiej wersji wordpressa korzystamy. Wpis zrobiony jest w części „head” za pomocą tagu meta z następującymi wartościami:
<meta name="generator" content="WordPress <?php bloginfo('version'); ?>" />
<!-- leave this for stats please -->

Widać, że wersja jest uzupełniana automatycznie.

Sugestia jest następująca: mimo prośby producenta, by zostawić wpis do tworzenia statystyk należy się tej linijki albo pozbyć, albo wpisać na sztywno jakąś poprzednią istniejącą wersję z sugestią na coś naprawdę archiwalnego. Z punktu widzenia blogera niczego to nie zmienia, a nieco poprawia nasza sytuację w czasie między wypuszczeniem aktualizacji, a wykonaniem jej w naszym serwisie. Bo aktualizację należy wykonać bezwzględnie, bo automaty często pomijają sprawdzanie wersji i po prostu próbują wstrzyknąć nam niechciane treści.

Kategorie
Bez kategorii WordPress

błąd przy zmianie skóry

Jak wspominałem, pierwszym etapem podziału bloga była zmiana skóry.

Niestety padł w związku z tym pierwszy błąd. Google Analytics było podpięte bezpośrednio w szablonie, co oznacza, że w nowym go nie było, a ja po prostu zapomniałem.

Przypomniał mi o tym płaski wykres.

Zainstalowałem więc plugin:

I teraz … mogę sobie mieszać skórkami do woli.

Dodatkowa zaleta: nie zlicza autorów bloga.

Kategorie
WordPress

jeszcze raz o optymalizacji

Zgodnie z zapowiedzią jest odpowiedź: 6x TAK! Co zyskasz na odchudzeniu bloga?

Zacznę łagodnie, bo sobek{kropka}pl napisał przynajmniej z sensem, choć szukał oszczędności nie tam gdzie trzeba. Przynajmniej moim zdaniem.

Kategorie
WordPress

przyspieszanie wordpressa

Ostatnio wpadły mi w łapki dwa wpisy dotyczące przyspieszenia w ten czy inny sposób wordpress’a:

sobek.pl: Test – czy twój ulubiony blog to błyskawica?

polskiblogger.pl: Jak przyspieszyć WordPress 3 razy?

sobek.pl skupia się na fizycznej wielkości strony wraz ze wszystkim co tam się jeszcze ładuje (skrypty, style, obrazki), czyli na czasie ładowania się strony, dociągania elementów co finalnie owocuje czasem wyświetlenia po stronie użytkownika. Analizuje również kilka blogów. Dokładna analiza oraz krótkie podsumowanie pozwala ocenić w jakiej „kategorii wagowej” znajduje się nasz serwis i jak wygląda przeciętna wśród badanych blogów tego samego typu. Krótko opisuje też używane narzędzie: Web Page Analyzer.

polskiblogger.pl na warsztat podniósł kwestię czasu generowania samego HTML’a po stronie serwerowej. Skupił się na tym w jaki sposób jest budowany szablon strony. Krótko opisał które z dynamicznych elementów mogą zostać zamienione na statyczne odpowiedniki. Procesy optymalizacji (względem szybkości generowania) zostały sprowadzone do ograniczenia funkcjonalności. Trafnie. Bo większości z tych funkcjonalności blogi nie potrzebują, albo potrzebują … rzadko.

Podsumowanie

Wszystko trafne, prawdziwe i … bezużyteczne. Dla większości użytkowników nie ma to większego znaczenia. Szczególnie druga optymalizacja, która przy standardowym ruchu na przeciętnym blogu jest bez znaczenia. Tam gdzie te wszystkie rzeczy dadzą realnego kopa, zazwyczaj są pieniądze i wiedza jak to wszystko załatwić. Oczywiście są wyjątki, którym to wszystko się przyda.

Reszta sprowadza się do zwykłej zasady nie przesadzania, która dotyczy wszystkiego. Nie tylko blogów.

Antyoptymalizacja

W używanym przeze mnie szablonie po kliknięciu w kategorię, tag, czy stronę w TITLE ustawiany był tytuł bloga. Bezsensu. Poniższy kod buduje lepszy TITLE.

<title><?php
if ( is_single() ) {
wp_title('');
echo ' :: ';
}
elseif ( is_category() ) {
echo single_cat_title();
echo ' :: kategoria :: ';
}
elseif ( is_tag() ) {
echo single_tag_title();
echo ' :: tag :: ';
}
elseif ( is_page('') ) {
the_title();
echo ' :: strona :: ';
}
bloginfo('name');
?></title>

Kategorie
Bez kategorii WordPress

Linki przychodzące

Po wykonaniu akcji zatytułowanej upgrade 2.3 w panelu administratora na głównej zakładce (Nowości/Dashboard) zniknęły mi linki przychodzące. Szybko okazało się, że w nowej wersji silnika, zmieniono źródło linków przychodzących na google. Lubię google, korzystam z niego codziennie, ale technorati podoba mi się w tym przypadku bardziej, a poza wszystkim po prostu się przyzwyczaiłem.

Pierwsza myśl: przenieść ze starego… czasu nie znalazłem, ale … znalazłem wtyczkę: TIL Technorati Incoming Links i wszystko zaczeło wyglądać tak jak powinno.

Kategorie
Bez kategorii WordPress

Upgrade do 2.3

Była próba. Zakończona porażką. Jutro następna próba.

Kategorie
WordPress

walka z api blipa

Od paru dni skrobię sobie wtyczkę do wordpress’a do kompleksowej obsługi blipa. Coś nie trybi, nie trybi nie trybi. Sprawdzam. Niby wszystko jest w jak najlepszym porządku, tylko błędy jakieś dziwne. Potem dopiero „wymyśliłem”, żeby sprawdzić stronę. Faktycznie. Nie działa.

Kategorie
Bez kategorii WordPress

Polskie tematy do wordpress’a

Agron postawił sobie … bloga. No i walnął w ten sam mur w który wali prawie każdy z korzystających z wordpress’a. Mur polskich skórek. Czy też raczej tego, że gdzieś tam kiedyś na początku nie był to soft projektowany do innych języków. Tylko en_EN. Widać po prawie wszystkim w tematach, czy pluginach. W tych ostatnich, jeżeli autor nie włada angielskim z urodzenia, to pojawia się możliwość korzystania z innych języków niż jeden prawdziwy. W jednym z pluginów z którego korzystam (Simple Tagging) ma zaimplementowaną „umiejętność” korzystania z różnych języków. Polskiego tam oczywiście nie było.

Wracając do tematu. Brak polskich skórek jest po prostu spowodowany błędem popełnionym gdzieś na początku w fazie projektowania, czy (zgaduję) pisania tego oprogramowania. To w szablonach leżą teksty, formaty dat i konwersje znaków. Czy słusznie? Nie wiem. Przyjąłem to w jakiś taki naturalny sposób nie próbując dociekać. Ma to zarówno swoje zalety jak i wady. Mnie odpowiada, ale… tak jak pisał Agron, trzeba było zmieniać w plikach. Trzeba nadal, zawsze wtedy jak chcę dodać jakiś plugin. W efekcie otrzymałem mocno zmodyfikowany produkt. A to z kolei daje produkt trudny do uaktualnienia.

Kategorie
Bez kategorii WordPress

upgrade wordpressa

Wzdrygam się zawsze przed dokonywaniem uaktualnienia softu. Bo po co coś aktualizować skoro, teoretycznie, działa dobrze. Spójrzmy na fakty. Mój blog jest jakimś niszowym serwisem o bardzo małej oglądalności. 395 wizyt przez ostatnie 4 tygodnie mówi samo za siebie. Pocieszające jest to, że unikatowych oglądających jest 268, co po odliczeniu moich własnych „unique” daje jakieś 260. No tak, dywagacja się zrobiła.

Wracając do tematu: blog jest mały, niepopularny, więc po co aktualizować oprogramowanie na którym chodzi? Niczego nowego, co byłoby mi potrzebne, przecież nie dodadzą. Ataków nie ma, bo po co kopać takie maleństwo, zysk żaden. Backupy robią się regularnie crona, co do wielkości może wydawać się paranoją. Ale być może warto.

Tak na prawdę to chyba dla sportu.