L’home dibuixat

Publicada la versió 2.9.2 del WordPress. Malgrat que només inclou un canvi, relacionat amb l'accés al contingut de la paperera (un usuari podia veure allò enviat a la paperera pels altres usuaris), que no m'afecta en absolut, he fet l'actualització sense cap problema aparent.

Vistes a 5 handy WordPress security plug-ins i a 5 handy WordPress security plug-ins, part 2. Són:

1. Secure WordPress
2. OpenID
3. WP Security Scan
4. Chap Secure Login
5. Admin SSL
6. SecurePress Website Security Analyzer
7. Semisecure Login Reimagined
8. GD Press Tools
9. WordPress Exploit Scanner
10. User Locker

Jo no n'he utilitzat cap d'aquestes.

En Xavi Ivars anuncia que ha desenvolupat un plugin per a WordPress que permet incorporar el traductor online Apertium.

Acabo d'actualitzar al WordPress 2.9.1; per ara, cap problema.

[techdirt] GSM Encryption Cracked… GSMA's First Response? That's Illegal!

Actualitzat a WordPress 2.9. Per a provar una de les noves funcions, la integració de vídeos:

Segueixo preferint inserir-les amb l'extensió FLV Embed:

Get the latest Flash Player to see this player.

Aquesta nit he activat una extensió per al WordPress d'acceleració i memòria cau, tant del contingut com de l'accés a la base de dades. És la W3 Total Cache.

No se si es que estic mig adormit i ja estic somniant, però els resultats semblen impressionants.

Noteu que el bloc va més ràpid? Veieu alguna cosa que no funciona correctament?

Publicada la versió 2.8.6 del WordPress (també disponible en català). És una actualització de seguretat, que soluciona dues vulnerabilitats que únicament afecten als usuaris amb capacitat d'escriure entrades al bloc. La primera és una vulnerabilitat de Cross-Site Scripting mentre que la segona està relacionada amb la pujada de fitxers.

Jo ja l'he aplicada i de moment, cap incidència.

Estic veient que, des de fa uns dies, les entrades d'aquest bloc surten duplicades a Bloglines. És a dir, cada vegada que Bloglines baixa la font RSS enlloc de detectar les entrades ja existents, les considera totes com a noves i les afegeix a les ja existents.

No sóc l'únic bloc al que li està passant això –també ho estic notant a d'altres llocs on estic subscrit–, però no tinc ni idea de quina és l'origen del problema. Certament fa que la lectura del bloc via Bloglines sigui molt pesada.

De moment, l'únic que he pogut veure és que només passa als que estan subscrits a l'adreça directa de la font RSS del bloc (http://caballe.cat/wp/feed/). Els que estan subscrits a la font RSS via FeedProxy (http://feedproxy.google.com/CaballeCat) no tenen aquest problema.

En un principi he pensat que el problema podia estar relacionat amb la migració a WordPress 2.8.5, però ho puc descartar ja que no succeeix amb la font RSS del Diari d'un Llibre Vell.

Actualització: Identificat el problema.

Fa uns dies em vaig adonar que rebia determinades visites adreçades a les URL "lletges" que genera WordPress (per exemple http://caballe.cat/wp/?p=6215 enlloc de http://caballe.cat/wp/google-shell/). Havia detectat que aquestes URL "lletges" es trobaven dins del RSS, generades per la presència d'aquesta instrucció al fitxer wp-includes/feed-rss2.php:

<guid isPermaLink="false"><?php the_guid(); ?></guid>

Fa uns dies vaig eliminar aquesta línia i, d'entrada, no vaig veure cap efecte negatiu. El XML de la font RSS semblava correcte i el Planeta Softcatalà el processava correctament.

Quan el mai9 em va avisar del problema, d'entrada no vaig recordar aquest canvi. Per això no ho vaig associar directament. Ahir a la tarda vaig restaurar la versió original del fitxer i per això s'ha solucionat el problema.

Em penso, de totes formes que potser enlloc d'esborrar-la l'hauria d'haver canviat per:

<guid isPermaLink="false"><?php the_permalink_rss() ?></guid>

d'aquesta forma, els lectors de fonts RSS podrien mantenir l'associació de posts amb la seva URL correcta. Ho provaré amb una web de prova…

Publicada la versió 2.8.5 del WordPress. És una actualització de seguretat que, d'una banda, soluciona la vulnerabilitat amb el retroenllaç (comentada fa un parell de dies) i per l'altra, realitza una sèrie de canvis al codi font per garantir la seguretat. L'actualització és recomanada per a tots les usuaris.

Jo ja l'he feta, sense cap problema detectat ara per ara.

WordPress també recomana que, quan es tingui una sospita de si un lloc pot haver estar compromès, s'utilitzi el WordPress Exploit Scanner per a fer una avaluació i detectar qualsevol situació sospitosa.

Aquest cap de setmana he estat experimentant amb una extensió per WordPress per enviar les entrades per correu electrònic.

És l'opció del sobre que hi ha sota el títol de l'entrada:

Qualsevol comentari serà benvingut.

Via Nauscopio, una vulnerabilitat que permet atacs de denegació de servei a totes les versions de WordPress, inclosa la 2.8.4. Personalment no l'he verificada, però per la descripció de la vulnerabilitat, sembla possible.

Com a workaround, cal editar el fitxer wp-trackback.php i canviar la línia:

$charset = $_POST['charset'];

per

$charset = str_replace(",","",$_POST['charset']);
if(is_array($charset)) { exit; }

Actualització: solucionada al WordPress 2.8.5.

WPSyslog2 és un mòdul per a WordPress que processa els esdeveniments del sistema (noves entrades, nous perfils, nous usuaris, intents erronis de connexió, connexions, desconnexions…), enviant-los a un servidor syslog. També manté un registre de les últimes vulnerabilitats identificades al WordPress i en cas de detectar-ne que s'està utilitzant alguna, genera una alerta.

El més important, però, és que permet la centralització i consolidació dels missatges del WordPress en un servidor Syslog el qual pot ser, perfectament, un equip diferent al que s'utilitza com a servidor web o servidor de base de dades.

Un exemple:

Pantalla d'exemple de WPSyslog

[Palm Pre Hacks] How to Install/Run A Wordpress Blog on a Palm Pre! explica com instal·lar WordPress al telèfon mòbil… no es tracta d'actualitzar el bloc des del Palm Pre, que també és pot fer, sinó que el bloc s'executi al telèfon mòbil

Explicació de com fer que WordPress pugui fer l'actualització automàtica sense necessitat d'un accés per ftp: Auto Update Wordpress Without FTP.

Pel que s'explica, WordPress només demana la informació d'accés per ftp quan l'usuari que executa el servidor web no és el propietari dels directoris i fitxers. Si ho són, es pot realitzar la funció d'actualització de forma directa.

Estaria bé si algú ho pot confirmar; en el meu cas, faig l'actualització manualment ja que aplico algunes petites modificacions al codi font del WordPress.