Narga

Phiên bản Wordpress thấp hơn 2.8.4 tiềm ẩn một lỗi bảo mật rất nghiêm trọng có thể bị chiếm quyền quản trị của Website sử dụng Wordpress. Bằng cách tận dụng một lỗi lập trình trong file wp-login.php khiến cho việc reset mật khẩu của tài khoản quản trị và gửi thông tin tới email của kẻ xâm nhập.

Nguyên nhân

Khi Wordpress được yêu cầu reset lại mật khẩu của tài khoản quản trị thì sẽ có một email được gửi tới mô tả yêu cầu và liên kết xác nhận.

Someone has asked to reset the password for the following site and username.

http://DOMAIN_NAME.TLD/wordpress/

To reset your password visit the following address, otherwise just ignore this email and nothing will happen.

http://DOMAIN_NAME.TLD/wordpress/wp-login.php?action=rp&key=o7naCKN3OoeU2KJMMsag

Read more…

Phiên bản WordPress 2.7.x bao gồm khác nhiều thay đổi, một trong số đó có ảnh hưởng rất lớn đối với việc thiết kế giao diện. Trong phiên bản này, các phản hồi bài viết (comments) hay còn gọi là lời bình, ý kiến (với nhiều cách dịch khác nhau) được phân trang, theo dõi theo luồng, sắp các phản hồi liên quan đến nhau… trước đây người dùng cần cài đặt một vài thành phần bổ xung (plugins) tương ứng để có các tính năng này và nay Wordpress v2.7.x đã hỗ trợ, tuy nhiên bạn cần phải thay đổi mã trong các chủ đề (themes) của bạn để tận dụng tốt các ưu điểm trên đồng thời gỡ có thể bỏ các plugins có cùng tính năng giúp giảm tải, tăng tốc độ nạp website.
Read more…

Như mọi người thấy, trên website này có mục “Các bài viết nổi bật” nó thống kê sự nổi trội của nội dung bài viết đó so với toàn bộ các bài viết khác, về cơ bản nó chính là một dạng thống kê đơn giản hơn so với thống kê Website thông thường. Tác dụng của nó giúp cho độc giả mới lần đầu xem Website có thể dễ dàng biết đến các bài viết được quan tâm nhiều nhất, thấy được chủ đề nội dung của Website, nhưng hệ quả là phải tích hợp thêm một hệ thống theo dõi, xếp loại, thống kê nữa dẫn đến tốc độ Website giảm sút, hiệu suất hoạt động giảm xuống, tốn tài nguyên máy chủ nghĩa là rất nhiều vấn đề phiền toái; thế tại sao không gộp chúng vào làm một nhỉ? Câu trả lời chính là bài viết bạn đang đọc đây :D
Read more…

Hôm nay mới nói tới việc Wordpress 2.7 thì có lẽ là hơi chậm, dù vậy tớ vẫn nhắc đến nó bởi phiên bản này có một số thay đổi lớn đáng để bạn nâng cấp ngay lập tức, tất nhiên việc cập nhập các phiên bản mới nhất của Wordpress cũng giúp bạn tăng cường khả năng bảo mật của blog.
Một số tính năng mới đáng chú ý:

• Thiết kế lại giao diện của trang quản lý hệ thống, cho phép kéo thả các nội dung, truy cập nhanh các thành phần của hệ thống như setting, plugins, page… mà không cần phải qua nhiều bước, đưa các tính năng quan trọng và hay dùng vào vị trí thuận tiện, dễ sắp xếp.
• Cho phép tìm kiếm và cài đặt các thành phần mở rộng (plugins) trực tiếp mà không cần phải lấy và duyệt từ Wordpress.org cũng như tự đưa lên Website của bạn. {Tính năng này tớ không sử dụng được vì lỗi unzip của server, đang tìm hiểu}
• Phân trang các phản hồi, sắp xếp theo mục, cho phép trả lời các phản hồi trực tiếp từ trang quản lý hệ thống.
• Hỗ trợ bài viết có tính chất thông báo, treo trên trang nhất (sticky).
• …

Hiện tại tớ thấy một vấn đề duy nhất là hoạt động trong Quản lý hệ thống (Dashboard) hơi chậm do Wordpress quá lạm dụng jQuery.

Nâng cấp ngay lên phiên bản Wordpress v2.7

Từ phiên bản 2.6 trở đi có một tính năng mới trong Wordpress cho phép người viết kiểm soát những thay đổi của việc biên soạn nội dung, tính năng này theo tớ thấy khá hữu ích đối với làm việc nhóm, nhiều người cùng biên soạn nội dung tuy nhiên đối với người dùng cá nhân hay đơn thuần chỉ là viết blog thì tính năng này hầu như không cần thiết nếu không muốn nói là khá khó chịu vì một bài viết của bạn sẽ được lưu rất rất nhiều lần trong CSDL tùy thuộc vào số lần thay đổi chỉnh sửa của bạn lên bài viết này vì vậy khiến CSDL của bạn phình to nhanh chóng, hậu quả là Website hoạt động ì ạch, backup + restore database khó khăn, query mất nhiều thời gian và Server Resource ~X(
Read more…

Phiên bản Wordpress 2.0.6 về trước có một lỗi bảo mật khá nghiêm trọng khiến cho kẻ đột nhật có thể dễ dàng đoạt quyền quản trị của Wordpress Admin Panel, phiên bản 2.0.7 đã sửa lỗi này nhưng
chúng ta có thể xiết chặt thêm mức an toàn cho nó bằng cách rất đơn giản là giới hạn IP truy truy cập vào thư mục /wp-admin. Sử dụng .htaccess để thực hiện điều này khiến tất cả các IP từ nước khác sẽ bị chặn bời thông điệp Forbidden error. :D

Đặt nó vào thư mục /wp-admin trên máy chủ (TUYỆT ĐỐI KHÔNG SỬA HOẶC THÊM VÀO .htaccess Ở THƯ MỤC GỐC CỦA BLOG)
Read more…