Nguyên nhân

Khi WordPress được yêu cầu reset lại mật khẩu của tài khoản quản trị thì sẽ có một email được gửi tới mô tả yêu cầu và liên kết xác nhận.

Someone has asked to reset the password for the following site and username.

http://DOMAIN_NAME.TLD/wordpress/

To reset your password visit the following address, otherwise just ignore this email and nothing will happen.

http://DOMAIN_NAME.TLD/wordpress/wp-login.php?action=rp&key=o7naCKN3OoeU2KJMMsag

Vấn đề chính là ở tham số $key trong mã nguồn.
wp-login.php, dòng 186:

function reset_password($key) {
global $wpdb;
$key = preg_replace(’/[^a-z0-9]/i’, ”, $key);
if ( empty( $key ) ) return new WP_Error(’invalid_key’, __(’Invalid key’));
$user = $wpdb->get_row($wpdb->prepare(”SELECT * FROM $wpdb->users WHERE user_activation_key = %s”, $key));
if ( empty( $user ) )
return new WP_Error(’invalid_key’, __(’Invalid key’)); …[snip]….
line 276:
$action = isset($_REQUEST['action']) ? $_REQUEST['action'] : ‘login’; $errors = new WP_Error();
if ( isset($_GET['key']) )
$action = ‘resetpass’;
// validate action so as to default to the login screen if ( !in_array($action, array(’logout’, ‘lostpassword’, ‘retrievepassword’, ‘resetpass’, ‘rp’, ‘register’, ‘login’)) && false === has_filter(’login_form_’ . $action) )
$action = ‘login’;

tại dòng 370:

break;
case ‘resetpass’ :
case ‘rp’ :
$errors = reset_password($_GET['key']);
if ( ! is_wp_error($errors) ) {
wp_redirect(’wp-login.php?checkemail=newpass’);
exit();
}
wp_redirect(’wp-login.php?action=lostpassword&error=invalidkey’); exit();
break;

Nguyên nhân lỗi này là trong các trang web trên cơ sở chức năng thiết lập lại mật khẩu.Thông thường khi thiết lập lại mật khẩu được yêu cầu, người sử dụng sẽ được gửi một liên kết để đăng ký địa chỉ thư điện tử của họ.. Sau khi nhấp vào liên kết là, WordPress sẽ thay mật khẩu cũ bằng mật khẩu mới được tạo ra và được gửi qua email.
Các chức năng thiết lập lại mật khẩu trong wp-login.php có thể được lạm dụng để bỏ qua bước đầu tiên và sau đó đặt lại mật khẩu: admin bằng cách gửi một mảng vào $key biến. Điều này có thể được thực hiện từ xa thông qua bất kỳ trình duyệt web và không có xác nhận của các thiết lập lại mật khẩu sẽ được gửi đến các admin.đầu tiên được báo cáo rằng những lỗi có thể được sử dụng để “compromise” các tài khoản quản trị. Các nhà phát triển đã được thông báo về vấn đề này và đã sửa chữa các vấn đề trong việc phát triển một phiên bản phần mềm viết blog, trong đó họ không bị ngăn chặn arrays qua trong $key biến.

Phương thức tấn công

Lỗi này ảnh hưởng toàn bộ các phiên bản WordPress/Wordpress MU thấp hơn 2.8.4. Việc khai thác có thể được thực hiện bằng cách nhập vào trình duyệt đường dẫn trên trình duyệt tại một blog WordPress phiên bản thấp hơn 2.8.4:

http://www.domain.com/wp-login.php?action=rp&key[]= 

Giải pháp khắc phục

Phương pháp đơn giản nhất là nâng cấp lên phiên bản 2.8.4,

http://wordpress.org/development/2009/08/2-8-4-security-release/

Nếu trường hợp bạn bị chiếm quyền quản trị thì nên “Thiết lập lại mật khẩu khẩn cấp” theo hướng dẫn trên:

http://codex.wordpress.org/Resetting_Your_Password#Using_the_Emergency_Password_Reset_Script

sau đó Resetting lại Password:

http://codex.wordpress.org/Resetting_Your_Password

Hãy nâng cấp ngay hôm nay nhé!

Related posts:

1. Tắt tính năng quản lý phiên bản của bài viết trên WordPress
2. Phiên bản WordPress 2.7
3. Bảo mật WordPress Admin Panel

Thiết kế các phản hồi bài viết tương thích với WordPress 2.7.x

Phiên bản WordPress 2.7.x bao gồm khác nhiều thay đổi, một trong số đó có ảnh hưởng rất lớn đối với việc thiết kế giao diện. Trong phiên bản này, các phản hồi bài viết (comments) hay còn gọi là lời bình, ý kiến (với nhiều cách dịch khác nhau) được phân trang, theo dõi theo luồng, sắp các phản hồi liên quan đến nhau… trước đây người dùng cần cài đặt một vài thành phần bổ xung (plugins) tương ứng để có các tính năng này và nay WordPress v2.7.x đã hỗ trợ, tuy nhiên bạn cần phải thay đổi mã trong các chủ đề (themes) của bạn để tận dụng tốt các ưu điểm trên đồng thời gỡ có thể bỏ các plugins có cùng tính năng giúp giảm tải, tăng tốc độ nạp website.

Lưu ý:

• Hầu hết các tính năng mới này có thể kích hoạt hoặc tắt qua trang cấu hình của WordPress: Settings->Discussion mặc định là tắt.
• Các chủ đề (themes) cũ vẫn hoạt động tốt ở phiên bản WordPress 2.7.x mà không cần thay đổi gì nhưng không có được các tính năng đã nói trên.
• Đây là các tính năng có sẵn của WordPress v2.7.x, hãy tận dụng nó thay vì sử dụng các thành phần bổ xung có cùng tính năng, tất nhiên bạn vẫn sử dụng chúng nếu bạn muốn mà không ảnh hưởng gì cả.

Làm sao tạo comments.php tương thích với phiên bản 2.7.x và thấp hơn

Trước tiên bạn cần biết một đoạn mã cho phép sử dụng lại thiết kế cũ của các phiên bản trước, điều này có nghĩa là chủ đề bạn có thể hoạt động tốt trên tất cả các phiên bản của WordPress. Vấn đề này chỉ đơn giản là thêm một điều kiện trước khi gọi hàm wp_list_comments mà thôi:

if (function_exists('wp_list_comments')) :
// comments.php mới
else :
// comments.php cũ
endif;

“comments.php cũ” chính là mã php trước đây bạn dùng trong việc thiết kế chủ đề, ở phiên bản mới này chúng chỉ được sử dụng một phần rất nhỏ, và đơn giản hơn. Có một vài phương pháp thực hiện điều này, dưới đây là phương pháp tôi sử dụng tại Website này, nó đơn giản, dễ can thiệp được đặt trong functions.php:

add_filter('comments_template', 'legacy_comments');
function legacy_comments($file) {
	if ( !function_exists('wp_list_comments') )
		$file = TEMPLATEPATH . '/legacy.comments.php';
	return $file;
}

Như các bạn thấy, hàm trên sẽ kiểm tra index.php nếu không có hàm wp_list_comments được gọi ra (phiên bản thấp hơn v2.7) thì sẽ sử dụng mã có trong legacy.comments.php cũng có nghĩa là chủ đề này vẫn hiển thị đúng như bạn muốn.

Kiểm tra quyền xem nội dung (kiểm tra bảo vệ bằng mật khẩu)

Đoạn mã dưới đây ở phần đầu của comments.php. Nó sẽ kiểm tra việc bảo vệ nội dung bài viết, tôi sẽ không đi sâu vào cách hoạt động của nó, đơn giản là nó được trích từ chủ đề mặc định của WordPress.

if (!empty($_SERVER['SCRIPT_FILENAME']) && 'comments.php' == basename($_SERVER['SCRIPT_FILENAME']))
	die ('Please do not load this page directly. Thanks!');
if ( post_password_required() ) {
	echo 'This post is password protected. Enter the password to view comments.';
	return;
}

Thiết kế theo phong cách riêng

Ưu điểm của cách viết mã hiển thị phản hồi mới trong các chủ đề:

• Tất cả các phản hồi được hiển thị trong danh sách (UL hoặc OL tùy bạn – danh sách không hoặc có thứ tự), mỗi phải hồi được chứa trong thẻ LI.
• Các phản hồi, trackback, pingback được định nghĩa bởi các tham số và có thể dễ dàng tùy biến qua CSS.
• Nếu người viết phản hồi là một thành viên hay có các thông tin xã hội,Wordpress sẽ hiển thị nó. Các phản hồi của tác giả bài viết có thể thiết kế riêng nổi bật hơn các phản hồi khác.
• Hiệu ứng hiển thị phản hồi chẵn, lẻ, di chuột được đĩnh nghĩa sẵn, dễ dàng tùy biến theo phong cách riêng.
• Thiết kế của các phản hồi có thể định nghĩa lại hoàn toàn mới theo ý bạn. (thiết kế mặc định của WordPress là thiết kế mang tính phổ biến, nếu không thích bạn có thể thiết kế lại)

Tôi sẽ chỉ nói thêm về cách tạo một thiết kế khác với thiết kế mặc định của WordPress, các phần khác bạn tự tìm hiểu bởi đấy là phong cách thiết kế của bạn.
Đoạn mã sau dùng để hiển thị phản hồi bài viết cho các phiên bản trước 2.7.x:

if ($comments) :
<?php $comment_count = get_comment_count($post->ID); echo $comment_count['approved']; ?> Comments
<ul class="commentlist">
<?php foreach( $comments as $comment ) :
// stuff to display the comment in an LI here
endforeach;
?></ul>
<?php else :
if ('open' == $post-comment_status) :
	// If comments are open, but there are no comments.
else :
	// comments are closed
endif;
endif;

Việc trình bày phản hồi được làm một cách thủ công bằng cách lắp ghép nhiều thành phần vào với nhau, điều này khiến comments.php có rất nhiều mã và dễ gây nhầm lẫn, hơn nữa người thiết kế phải tự bố trí các thành phần này cũng như tự đặt ra các tham số CSS riêng. Ở phiên bản 2.7, đoạn mã trên được viết một cách đơn giản hơn:

<?php if ( have_comments() ) : ?>
<h4 id="comments"><?php comments_number('Không có phản hồi nào', 'Một phản hồi', 'Có % phản hồi' );?></h4>
 <ul class="commentlist">
<?php wp_list_comments(); ?>
</ul>
 <div class="navigation">
<div class="alignleft"><?php previous_comments_link() ?></div>
<div class="alignright"><?php next_comments_link() ?></div>
</div>
<?php else : // this is displayed if there are no comments so far ?>
	<?php if ('open' == $post->comment_status) :
		// If comments are open, but there are no comments.
	else : // comments are closed
	endif;
endif;
?>

như vậy có thể thấy ở phiên bản này việc viết mã đơn giản hơn, với thiết kế có sẵn của WordPress bạn chỉ cần tập trung vào việc tùy biến các tham số cho CSS mà thôi, hơn nữa việc thiết kế chủ đề mới trở nên dễ dàng hơn thậm chí đơn giản chỉ là thay thế bằng một đặc tả CSS mới mà thôi, mọi thứ để đã theo chuẩn.
Có 3 điểm cần chú ý:

• Hàm have_comments() thay thế cho việc kiểm tra $comments trên toàn bộ chủ đề.
• Hàm wp_list_comments() xuất ra mã hiển thị (HTML) các phản hồi, nó cho phép sử dụng các tính năng mới.
• Hàm previous_comments_link() và next_comments_link() cho phép di chuyển các trang phản hồi (tính năng phân trang).

Thiết kế các trình bày phản hồi mang tính cá nhân

Tất nhiên không phải ai cũng thích thiết kế mặc định của WordPress cũng cấp và dĩ nhiên WordPress cũng hỗ trợ bạn cách tạo ra một thiết kế cá nhân của bạn mà nó vẫn hoạt động tốt với WordPress.
Thật đơn giản, chỉ cần thêm tham số của hàm wp_list_comments() để gọi thiết kế của bạn được định nghĩa sẵn trong functions.php như sau:

<ul class="commentlist">
<?php wp_list_comments('type=comment&callback=thiết_kế_cá_nhân'); ?>
</ul>

trong đó thiết_kế_cá_nhân chính là thiết kế riêng của bạn, nó được khai báo trong functions.php:

function thiết_kế_cá_nhân($comment, $args, $depth) {
   $GLOBALS['comment'] = $comment; ?>
//Thiết kế cá nhân
   <li <?php comment_class(); ?> id="li-comment-<?php comment_ID() ?>">
     <div id="comment-<?php comment_ID(); ?>">
      <div class="comment-author vcard">
         <?php echo get_avatar($comment,$size='48',$default='<path_to_url>' ); ?>
         <?php printf(__('<cite class="fn">%s</cite> <span class="says">says:</span>'), get_comment_author_link()) ?>
      </div>
      <?php if ($comment->comment_approved == '0') : ?>
         <em><?php _e('Your comment is awaiting moderation.') ?></em>
         <br />
      <?php endif; ?>
      <div class="comment-meta commentmetadata"><a href="<?php echo htmlspecialchars( get_comment_link( $comment->comment_ID ) ) ?>"><?php printf(__('%1$s at %2$s'), get_comment_date(),  get_comment_time()) ?></a><?php edit_comment_link(__('(Edit)'),'  ','') ?></div>
      <?php comment_text() ?>
      <div class="reply">
         <?php comment_reply_link(array_merge( $args, array('depth' => $depth, 'max_depth' => $args['max_depth']))) ?>
      </div>
     </div>
<?php
        }

Chú ý: Trong đoạn mã trên phải thiếu một thẻ kết thúc </li>, WordPress sẽ tự thêm vào khi nó liệt kê các phản hồi.
JavaScript và phân luồng phản hồi theo chủ đề
Tính năng phân luồng các phản hồi cho phép các thảo luận được tập trung hơn, người đọc có thể trả lời trực tiếp vào vấn đề người khác đã nêu, tính năng này cần sự hỗ trợ bởi javascript. Trước tiên bạn cần thêm đoạn mã sau vào header.php trước khi gọi hàm wp_head():

if ( is_singular() ) wp_enqueue_script( 'comment-reply' );

Đoạn mã trên cho phép người đọc có thể trả lời trực tiếp cho một phản hồi để có thể theo dõi nội dung đang thảo luận một cách tập trung hơn. WordPress không tự làm điều này, nguyên nhân là để sử dụng đoạn mã này yêu cầu những quy ước đặt tên và những tham số nhất định trong mẫu nhập nội dung phản hồi, vì vậy bạn sẽ phải tự thêm vào. Tham số cần thêm trong mẫu nhập nội dung phản hồi:

 <?php comment_id_fields(); ?>

tương ứng với 2 ô nhập liệu ẩn khi hiển thị: comment_post_ID và comment_parent; bạn cần xóa bỏ comment_post_ID nếu trong mẫu nhập liệu đã có tham số này, ngoài ra ô nhập liệu phải có id=”comment”. Điều này là bắt buộc, nếu bạn đã sử dụng id=”comment” cho một đối tượng nào đó thì bạn cần thay đổi để chúng hoạt động đúng.
Cuối cùng, toàn bộ phần hiển thị phản hồi PHẢI nằm trong thẻ DIV với thuộc tính id=”respond” để liên kết từ trang chính có thể chỉ thẳng tới phần trả lời ngay cả khi nó không có một phản hồi nào (người đọc sẽ được chuyển tới mẫu (form) nhập liệu phản hồi). Trong một vài chủ đề của phiên bản trước, phần này được đánh dấu bằng một thẻ liên kếta:

<a id="respond"></a>

Cách dùng này sẽ khiến người đọc không thể di chuyển nhanh đến phần viết phản hồi được.
Tiếp theo bạn cần thay thế tiêu đề của mẫu viết, thông thường là “Gửi một phản hồi” với đoạn mã sau:

 <h3><?php comment_form_title(); ?></h3>

comment_form_title() giúp bạn dễ dàng thay đôi tiêu đề của phần viết phản hồi tương ứng khi người đọc viết phản hồi mới hoặc trả lời trực tiếp một phản hồi của người khác. Đương nhiên bạn có thể thay thế phần tiêu đề nếu bạn muốn bằng cách dùng tham số của hàm này, ví dụ:

 <?php comment_form_title( 'Gửi một phản hồi', 'Trả lời %s' ); ?>

Biến %s sẽ được thay thế bằng tên của người được trả lời.
Như vậy chúng ta đã giải quyết xong vấn đề xuất hiện mẫu viết phản hồi khi người đọc trả lời một ai đó hoặc viết phản hồi mới cũng như thay đổi tên của mẫu viết đó tương ứng, tiếp theo trong tình huống người đọc không muốn trả lời ai đó, hộ bấm hủy bỏ thì liên kết này cần trả lại thời điểm trước khi xuất hiện mẫu viết trên, bạn cần làm như sau:

<div id="cancel-comment-reply"><small><?php cancel_comment_reply_link() ?></small></div>

Nó hoạt động với công nghệ AJAX, ngoài ra nó cũng là điều kiện cần để một số tính năng mới có thể có tác dụng.

Lời kết

Đến đây bạn cũng đã biết cách thiết kế lại phần phản hồi của chủ đề cho WordPress tương thích với phiên bản 2.7 hoặc hơn. Việc trình bày các từ khóa, hàm, biến, tham số, thuật ngữ của việc lập trình trong Tiếng Việt thường không được chính xác do cách hiểu, cách tiếp xúc, cách sử dụng của mỗi người một khác. Bạn có thể đọc bài viết Migrating Plugins and Themes to 2.7/Enhanced Comment Display của chính những người tạo ra WordPress hướng dẫn.

Related posts:

1. Tắt tính năng quản lý phiên bản của bài viết trên WordPress
2. Phiên bản WordPress 2.7
3. Nâng cấp ngay phiên bản WordPress v2.8.4 để tránh bị hack!

Lưu ý: WordPress.com Stats không được sử dụng thường xuyên, dữ liệu mà nó có về Website này chỉ bắt đầu từ tháng 10 năm 2007 và chỉ đạt khoảng 63% so với thực tế

Related posts:

1. Giảm bớt một dịch vụ thống kê Website
2. Trục trặc về truy cập thông tin đối với các news reader!
3. Tối ưu url và nội dung

Hôm nay mới nói tới việc WordPress 2.7 thì có lẽ là hơi chậm, dù vậy tớ vẫn nhắc đến nó bởi phiên bản này có một số thay đổi lớn đáng để bạn nâng cấp ngay lập tức, tất nhiên việc cập nhập các phiên bản mới nhất của WordPress cũng giúp bạn tăng cường khả năng bảo mật của blog.
Một số tính năng mới đáng chú ý:

• Thiết kế lại giao diện của trang quản lý hệ thống, cho phép kéo thả các nội dung, truy cập nhanh các thành phần của hệ thống như setting, plugins, page… mà không cần phải qua nhiều bước, đưa các tính năng quan trọng và hay dùng vào vị trí thuận tiện, dễ sắp xếp.
• Cho phép tìm kiếm và cài đặt các thành phần mở rộng (plugins) trực tiếp mà không cần phải lấy và duyệt từ WordPress.org cũng như tự đưa lên Website của bạn. {Tính năng này tớ không sử dụng được vì lỗi unzip của server, đang tìm hiểu}
• Phân trang các phản hồi, sắp xếp theo mục, cho phép trả lời các phản hồi trực tiếp từ trang quản lý hệ thống.
• Hỗ trợ bài viết có tính chất thông báo, treo trên trang nhất (sticky).
• …

Hiện tại tớ thấy một vấn đề duy nhất là hoạt động trong Quản lý hệ thống (Dashboard) hơi chậm do WordPress quá lạm dụng jQuery.

Nâng cấp ngay lên phiên bản WordPress v2.7

Related posts:

1. Nâng cấp ngay phiên bản WordPress v2.8.4 để tránh bị hack!
2. Tắt tính năng quản lý phiên bản của bài viết trên WordPress
3. Bảo mật WordPress Admin Panel

define(’WP_POST_REVISIONS’, false);

hoặc đơn giản hơn bạn cần tải plugin Post Revision và kích hoạt là được, từ giờ về sau WordPress sẽ không lưu lại các thay đổi của bạn nữa
Còn một vấn đề nho nhỏ nữa là nếu bạn đã sử dụng WordPress 2.6 từ khá lâu rồi mà đến hôm nay bạn mới đọc được bài viết này thì để xóa toàn bộ các Revision có trong DB cần thực thi một query đơn giản sau:

DELETE a,b,c
FROM wp_posts a
LEFT JOIN wp_term_relationships b ON (a.ID = b.object_id)
LEFT JOIN wp_postmeta c ON (a.ID = c.post_id)
WHERE a.post_type = 'revision'

bạn chỉ cần chạy một lần duy nhất mà thôi, thật đơn giản phải không! Nào hãy bắt tay vào làm sạch WordPress của bạn đi thôi!
Update 14.11.2008: Cập nhật query để xóa các thông tin về revision trong wp_term_relationships và wp_postmeta.

Related posts:

1. Nâng cấp ngay phiên bản WordPress v2.8.4 để tránh bị hack!
2. Phiên bản WordPress 2.7
3. Thiết kế các phản hồi bài viết tương thích với WordPress 2.7.x

Akismet :Khi có phản hồi mới, các theo dõi, lưu dấu chuyển tới blog của bạn thì nó sẽ được đưa tới máy chủ dịch vụ của Askimet trước tiên, tại đây nó được phân loại, nhận dạng bằng cơ sở dữ liệu riêng sau đó mới chuyển các nội dung an toàn trở lại blog. Askimet là phần mở rộng ưu việt, bạn không cần thường xuyên nâng cấp nó vì nó luôn được cung cấp với phiên bản WordPress mới nhất cũng có nghĩa là phiên bản mới nhất nhưng cũng không có nghĩa là phiên bản cũ không bằng phiên bản mới,

Trong bảng điều khiển quản trị WordPress đôi khi có những bạn thấy số phản hồi rác bị Askimet bắt được tăng lên theo những lần kiểm tra, dù vậy khi chuyển tới mục Askimet Spam thì lại không thấy hiển thị các phản hồi rác để duyệt, nhiều người dùng thắc mắc vì Askimet không thể biết hết các ngôn ngữ thì làm sao có thể phân loại phản hồi rác một cách chính xác? Sự thực là Askimet sẽ tự động xóa các phản hồi rác khi nó có các thông tin trùng với danh sách đen trên cơ sở dữ liệu như là email, url, ip… chính vì vậy bạn có thể yên tâm là nó rất, rất hiếm khi có thể xóa nhầm phản hồi đúng của bạn
Đó là lý do tại sao số phản hồi rác bị Askimet loại bỏ vẫn liên tục tăng lên mà không hiển thị nội dung cho người dùng duyệt qua.

Related posts:

1. Hình chuyển động mà không phải hình động

Đặt nó vào thư mục /wp-admin trên máy chủ (TUYỆT ĐỐI KHÔNG SỬA HOẶC THÊM VÀO .htaccess Ở THƯ MỤC GỐC CỦA BLOG)

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Example Access Control"
AuthType Basic
<limit GET>
order deny,allow
deny from all
allow from xx.xx.xx.xx
allow from xx.xx.xxx.xx
</limit>

Không phải ai cũng liên tục di chuyển từ nước này sang nước khác hàng ngày, cách này có thể hạn chế phần nào những hành động có mục đích không tốt đối với blog của bạn

Related posts:

1. Nâng cấp ngay phiên bản WordPress v2.8.4 để tránh bị hack!
2. Phiên bản WordPress 2.7
3. Thiết kế các phản hồi bài viết tương thích với WordPress 2.7.x