Narga

Phiên bản Wordpress thấp hơn 2.8.4 tiềm ẩn một lỗi bảo mật rất nghiêm trọng có thể bị chiếm quyền quản trị của Website sử dụng Wordpress. Bằng cách tận dụng một lỗi lập trình trong file wp-login.php khiến cho việc reset mật khẩu của tài khoản quản trị và gửi thông tin tới email của kẻ xâm nhập.

Nguyên nhân

Khi Wordpress được yêu cầu reset lại mật khẩu của tài khoản quản trị thì sẽ có một email được gửi tới mô tả yêu cầu và liên kết xác nhận.

Someone has asked to reset the password for the following site and username.

http://DOMAIN_NAME.TLD/wordpress/

To reset your password visit the following address, otherwise just ignore this email and nothing will happen.

http://DOMAIN_NAME.TLD/wordpress/wp-login.php?action=rp&key=o7naCKN3OoeU2KJMMsag

Read more…

Phiên bản WordPress 2.7.x bao gồm khác nhiều thay đổi, một trong số đó có ảnh hưởng rất lớn đối với việc thiết kế giao diện. Trong phiên bản này, các phản hồi bài viết (comments) hay còn gọi là lời bình, ý kiến (với nhiều cách dịch khác nhau) được phân trang, theo dõi theo luồng, sắp các phản hồi liên quan đến nhau… trước đây người dùng cần cài đặt một vài thành phần bổ xung (plugins) tương ứng để có các tính năng này và nay Wordpress v2.7.x đã hỗ trợ, tuy nhiên bạn cần phải thay đổi mã trong các chủ đề (themes) của bạn để tận dụng tốt các ưu điểm trên đồng thời gỡ có thể bỏ các plugins có cùng tính năng giúp giảm tải, tăng tốc độ nạp website.
Read more…

Như mọi người thấy, trên website này có mục “Các bài viết nổi bật” nó thống kê sự nổi trội của nội dung bài viết đó so với toàn bộ các bài viết khác, về cơ bản nó chính là một dạng thống kê đơn giản hơn so với thống kê Website thông thường. Tác dụng của nó giúp cho độc giả mới lần đầu xem Website có thể dễ dàng biết đến các bài viết được quan tâm nhiều nhất, thấy được chủ đề nội dung của Website, nhưng hệ quả là phải tích hợp thêm một hệ thống theo dõi, xếp loại, thống kê nữa dẫn đến tốc độ Website giảm sút, hiệu suất hoạt động giảm xuống, tốn tài nguyên máy chủ nghĩa là rất nhiều vấn đề phiền toái; thế tại sao không gộp chúng vào làm một nhỉ? Câu trả lời chính là bài viết bạn đang đọc đây :D
Read more…

Hôm nay mới nói tới việc Wordpress 2.7 thì có lẽ là hơi chậm, dù vậy tớ vẫn nhắc đến nó bởi phiên bản này có một số thay đổi lớn đáng để bạn nâng cấp ngay lập tức, tất nhiên việc cập nhập các phiên bản mới nhất của Wordpress cũng giúp bạn tăng cường khả năng bảo mật của blog.
Một số tính năng mới đáng chú ý:

• Thiết kế lại giao diện của trang quản lý hệ thống, cho phép kéo thả các nội dung, truy cập nhanh các thành phần của hệ thống như setting, plugins, page… mà không cần phải qua nhiều bước, đưa các tính năng quan trọng và hay dùng vào vị trí thuận tiện, dễ sắp xếp.
• Cho phép tìm kiếm và cài đặt các thành phần mở rộng (plugins) trực tiếp mà không cần phải lấy và duyệt từ Wordpress.org cũng như tự đưa lên Website của bạn. {Tính năng này tớ không sử dụng được vì lỗi unzip của server, đang tìm hiểu}
• Phân trang các phản hồi, sắp xếp theo mục, cho phép trả lời các phản hồi trực tiếp từ trang quản lý hệ thống.
• Hỗ trợ bài viết có tính chất thông báo, treo trên trang nhất (sticky).
• …

Hiện tại tớ thấy một vấn đề duy nhất là hoạt động trong Quản lý hệ thống (Dashboard) hơi chậm do Wordpress quá lạm dụng jQuery.

Nâng cấp ngay lên phiên bản Wordpress v2.7

Từ phiên bản 2.6 trở đi có một tính năng mới trong Wordpress cho phép người viết kiểm soát những thay đổi của việc biên soạn nội dung, tính năng này theo tớ thấy khá hữu ích đối với làm việc nhóm, nhiều người cùng biên soạn nội dung tuy nhiên đối với người dùng cá nhân hay đơn thuần chỉ là viết blog thì tính năng này hầu như không cần thiết nếu không muốn nói là khá khó chịu vì một bài viết của bạn sẽ được lưu rất rất nhiều lần trong CSDL tùy thuộc vào số lần thay đổi chỉnh sửa của bạn lên bài viết này vì vậy khiến CSDL của bạn phình to nhanh chóng, hậu quả là Website hoạt động ì ạch, backup + restore database khó khăn, query mất nhiều thời gian và Server Resource ~X(
Read more…

Akismet :Khi có phản hồi mới, các theo dõi, lưu dấu chuyển tới blog của bạn thì nó sẽ được đưa tới máy chủ dịch vụ của Askimet trước tiên, tại đây nó được phân loại, nhận dạng bằng cơ sở dữ liệu riêng sau đó mới chuyển các nội dung an toàn trở lại blog. Askimet là phần mở rộng ưu việt, bạn không cần thường xuyên nâng cấp nó vì nó luôn được cung cấp với phiên bản Wordpress mới nhất cũng có nghĩa là phiên bản mới nhất nhưng cũng không có nghĩa là phiên bản cũ không bằng phiên bản mới,

Trong bảng điều khiển quản trị Wordpress đôi khi có những bạn thấy số phản hồi rác bị Askimet bắt được tăng lên theo những lần kiểm tra, dù vậy khi chuyển tới mục Askimet Spam thì lại không thấy hiển thị các phản hồi rác để duyệt, nhiều người dùng thắc mắc vì Askimet không thể biết hết các ngôn ngữ thì làm sao có thể phân loại phản hồi rác một cách chính xác? Sự thực là Askimet sẽ tự động xóa các phản hồi rác khi nó có các thông tin trùng với danh sách đen trên cơ sở dữ liệu như là email, url, ip… chính vì vậy bạn có thể yên tâm là nó rất, rất hiếm khi có thể xóa nhầm phản hồi đúng của bạn :)
Đó là lý do tại sao số phản hồi rác bị Askimet loại bỏ vẫn liên tục tăng lên mà không hiển thị nội dung cho người dùng duyệt qua.

Trong quá trình thiết kế layout cho một php application có trường hợp cần nạp ngẫu nhiên hình ảnh theo mỗi yêu cầu nạp của trình duyệt, giải pháp đọc nội dung thư mục sau đó lấy các giá trị text của các file có phần mở rộng được khai báo trước rồi trả về trong mã HTML là một trong những cách đơn giản nhất

/**
 * Function choose_images
 * ------------------------------------------------------
 * Random image each time load website
 */
function choose_images() {
	$dirhandle = opendir( dirname(__FILE__) . "/images/");
	while (false !== ($filename = readdir($dirhandle))) {
		if ( substr($filename, -3) == "jpg") {
  		$image_listing[] = $filename;
	  	}
	}
	$image_key = array_rand($image_listing, 1);
	$image_choice = $image_listing[$image_key];
  echo  "/images/" . $image_choice;
}

Read more…

Phiên bản Wordpress 2.0.6 về trước có một lỗi bảo mật khá nghiêm trọng khiến cho kẻ đột nhật có thể dễ dàng đoạt quyền quản trị của Wordpress Admin Panel, phiên bản 2.0.7 đã sửa lỗi này nhưng
chúng ta có thể xiết chặt thêm mức an toàn cho nó bằng cách rất đơn giản là giới hạn IP truy truy cập vào thư mục /wp-admin. Sử dụng .htaccess để thực hiện điều này khiến tất cả các IP từ nước khác sẽ bị chặn bời thông điệp Forbidden error. :D

Đặt nó vào thư mục /wp-admin trên máy chủ (TUYỆT ĐỐI KHÔNG SỬA HOẶC THÊM VÀO .htaccess Ở THƯ MỤC GỐC CỦA BLOG)
Read more…