WordPress 2.5.1 – tego instalujcie

Kiedy żartowałem sobie na temat nie instalowania wersji 2.5, nawet nie przypuszczałem, że jestem tak blisko prawdy. Faktycznie, lepiej było się wstrzymać z instalowaniem nowej wersji, która okazała się mocno dziurawa. Może nie tak jak to opisywałem ;) ale jednak.

Wczoraj więc wypuszczono aktualizację 2.5.1, która poprawia ponad 70 błędów, w tym część bardzo istotnych dla bezpieczeństwa bloga. Zaktualizowanych zostało prawie 100 plików, to niemal jedna piąta całości. Jeśli nie chcecie instalować całości, to Ryan na dev blogu WordPressa zaleca podmianę trzech, mających wpływ na bezpieczeństwo: wp-includes/pluggable.php, wp-admin/includes/media.php, i wp-admin/media.php. Zalecana jest jak najszybsza aktualizacja, gdyż jeden błąd jest krytyczny, szczególnie w przypadku umożliwiania każdemu rejestrowania się na blogu.

Wydaje się, że naprawione zostały najpoważniejsze błędy nowej wersji i teraz już warto przechodzić na 2.5.1 (jeśli macie 2.5 to koniecznie, a jeśli poprzednie wersje, to właśnie jest dobry moment by rozważyć aktualizację). Natomiast koniecznie trzeba uaktualnić przynajmniej do wersji 2.3.3, która łata poprzedni krytyczny błąd, narażający bloga na spam. Nawet jeśli masz w nosie spamerów, to Technorati zapowiedział, że nie będzie indeksował wrażliwych na ataki blogów, opartych na wcześniejszych wersjach WordPressa. Więc jeśli zależy Ci na rankingu Technorati (a gdy np. piszesz coś za pośrednictwem Krytyków, to powinno Ci zależeć), to nie masz wyjścia ;)

U mnie 2.5.1 już śmiga i nie widać żeby coś się popsuło. Czego i Wam życzę :)

Błąd przy automatycznej aktualizacji wtyczek WordPressa

by sofocles via flickrJedną z zalet najnowszej wersji WordPressa jest możliwość automatycznej aktualizacji pluginów. Już bodaj od wersji 2.3, jeśli wtyczka była w oficjalnym katalogu, WP informował o istnieniu nowszej wersji, teraz autorzy poszedł krok dalej umożliwiając jej automatyczną aktualizację jednym kliknięciem. Bardzo wygodne i czasooszczędne. I choć na początku nie miałem zaufania do tak daleko posuniętej automatyzacji, to po przeczytaniu entuzjastycznych opinii raz spróbowałem, z taką pewną nieśmiałością, a skoro się udało, to i mnie się spodobało ;) Faktycznie w porównaniu do dotychczasowego postępowania (zobacz czy jest nowa, ściągnij, rozpakuj, wyłącz, wyślij ftp-em, ponownie włącz) ogromna oszczędność czasu.

Lenistwo, choć podobno jest motorem wynalazków, to pewnego dnia zgubi i mnie i cały rodzaj ludzki ;) No i dziś właśnie znalazłem (zresztą nie tylko ja) błąd w WordPress 2.5 dotyczący właśnie automatycznej aktualizacji pluginów. Niestety, nie był to błąd taki jak na zdjęciu ;)

Przeglądając listę wtyczek, zwróciłem uwagę, że jedna z nich: WP-PostViews (a konkretnie jej widget, bo występują na liście oddzielnie) ma dostępną aktualizację. Niewiele myśląc kliknąłem aktualizuj automatycznie, po czym dowiedziałem się, że aktualizacja się nie powiodła, a w dodatku wystąpił jakiś błąd, o dziwo we wtyczce WP-DBManager (tego samego autora, co pewnie ma jakieś znaczenie). Okazało się, że ma znaczenie, bo mimo iż informacja dotyczyła PostViews, to probowała się zaktualizować właśnie DBManager. W rzeczywistości żadna z nich nie ma nowej wersji, ani w codexie WP, ani na stronie autora (którego wtyczki bardzo polecam i kilku z powodzeniem używam).

Nie wiem co spowodowało tą sytuację, czy to błąd aplikacji, czy może jakieś przekłamania w katalogu pluginów, zapewne nie bez znaczenia jest ten sam autor obu zamieszanych w to zdarzenie wtyczek (być może coś grzebał w repozytorium), niemniej WP nie powinien dopuścić do takiej sytuacji.

Zresztą poprawy lub zmiany wymaga chyba sam mechanizm aktualizacji. Po nieudanej aktualizacji wtyczka po prostu zniknęła z listy, usunięte zostały też wszystkie dotyczące jej pliki, co świadczy, że aktualizacja najpierw usuwa katalog lub plik wtyczki, a dopiero potem zapisuje w to miejsce nowe. Przy błędzie nowe wersje po prostu nie są zapisywane. To w sumie dobrze, ale wystarczy wyłączyć, poprzednia prawidłowa wersja nie powinna ginąć! Niemal każdy plugin ma wpływ na wygląd czy zaplecze bloga i nagłe jego usunięcie nie tylko zakłóca działanie bloga, ale czasem może prowadzić do następnych błędów. Dobrze, jeśli mamy pod ręką poprzednią dobrze działająca wersję, wystarczy ja wgrać po staremu, ale co jeśli akurat nie pamiętamy dokładnie nazwy, nie mamy u siebie na dysku, a tu blog leży i kwiczy, a ogromne pieniądze z reklam czy tam innych sponsorowanych wpisów przelatują koło nosa? ;)

Uważajcie więc z automatyczną aktualizacją wtyczek i nie klikajcie bez zastanowienia w link. Może warto wcześniej sprawdzić gdzie on prowadzi i czy na pewno nie spotka tam Was i Waszego bloga nic nieoczekiwanego.

Fot.: error-windows-xp, originally uploaded by sofocles

Nie instalujcie WordPressa 2.5!

Jeśli jeszcze nie zainstalowaliście WordPressa 2.5 to możecie dziękować Bogu. A jeśli nieopatrznie juz to zrobiliście, to usuńcie go jak najszybciej! Może jeszcze nie jest za późno.

wpupdate.png

Od kilku dni wszyscy blogerzy atakowani są natarczywym komunikatem, nakazującym instalację nowej wersji. Jak donosi chiński blog Jedi.org prowadzony przez dysydenta Mace Windu, Matt M. razem z całą firmą Auto.matt, w zamian za ustępstwa rządu chińskiego w sprawie uwolnienia chińskich blogów na platformie WordPress.com, zgodził się umieścić w kodzie najnowszej wersji WordPressa konia trojańskiego, który po zainstalowaniu na blogu infekuje nie tylko samego bloga i jego środowisko, ale również komputer autora, a także wszystkie komputery osób odwiedzających bloga, które pozostawiły jakikolwiek komentarz. Podobno kod tego trojana jest tak skomplikowany, że właśnie jego implementacja spowodowała tak znaczne opóźnienie wydania wersji 2.5 oraz pominięcie wersji 2.4, w której złośliwy kod mógł zostać wykryty.

Jedynym ratunkiem, jak pisze Mace Windu, jest natychmiastowe odinstalowanie WP i przejście w trybie pilnym na wersję najwyżej 0.91, ewentualnie na platformę blox.XXX. Jeśli deinstalacja nastąpi do 48 godzin po zainfekowaniu, ofiarom grozi co najwyżej krótka przerwa i częściowe wyczyszczenie portfeli i automatyczne usunięcie z bloga wszelkich haseł i banerów popierających wolny Tybet. Jeśli od zarażenia upłynęło więcej czasu, jedynym wyjściem jest wpłacenie dobrowolnej darowizny na dowolne konto i dowolny cel, oraz dostarczenie skanu dowodu do chińskiej ambasady w kraju w którym prowadzony był hosting – tylko w tym przypadku blog zostanie odblokowany.

Kod Trojana jest tak silny, że pracujące nad nim od kilku dni specjalne oddziały służb SIS, Lakam i USSS, wsparte siłami CBA musiały oderwać od prac przy hakierowaniu mrocznego linusku samego Ch.Ch zwanego Ch.Ch., który ma wesprzeć siły jasnej strony. Prace nad wynalezieniem skutecznego antidotum trwają. Pozostaje tylko czekać i mieć nadzieję. I jak najszybciej usunąć złowrogą wersję WordPress 2.5

źródło Money.plStrona vvordpress.org została zamknięta przez służby specjalne, a twórcy chwilowo internowani w oblężonej twierdzy. Matt próbował ukryć się w naszym kraju, wspomagany przez niejakiego Fanatyq’a (z Lipiec Reymontowskich), który jak się mówi na mieście, był śpiochem i czekał tylko na sygnał, namawiając niewinnych do używania WordPressa na swoim blogu, zwanym dla niepoznaki polskim bloggerem ;) Jednakże Matt został aresztowany (co widać na zdjęciu obok) a Fanatyq jest nadal poszukiwany.

Cieszę się, że nie udało mi się upgrade’ować bloga do wersji 2.5. Przeczucie jakieś czy co? Albo zadziałały siły wyższe, żeby i Was miał kto ostrzec.

WordPress 2.5 już gotowy, ale sami poszukajcie błędów

Czekacie na WordPress 2.5?

No to się właściwie doczekaliście ;) Opóźniona już o ponad tydzień premiera tego ulubionego przez (prawie) wszystkich silnika blogowego jeszcze się co prawda nie odbyła, ale jak pisze Matt na oficjalnym blogu developerów WordPressa:

Wersja 2.5 jest już właściwie gotowa i stabilna i spokojnie mogłaby być opublikowna dziś, ale chcemy zebrać więcej waszych reakcji i opinii, zanim pokażemy ją całemu światu.

Na razie można sobie zainstalować wersję RC1. Za kilka dni, po zebraniu feedbacku, jeśli nikt nie znajdzie jakichś poważnych bugów, gotowa wersja zostanie opublikowana i być może będzie dokładnie tak jak przy wersji 2.3.1, która od wersji RC różniła się właśnie tylko numerem wersji ;)

Nowa wersja oferuje dużo zmian, głównie w interfejsie (oraz trochę w filozofii) panelu administracyjnego i zarządzaniu całością. Ma również poprawić sie szybkość połączenia z bazą danych. Tudzież sporo innych potrzebnych i mniej nowych rozwiązań. O wszsytkich zmianach w nowej wersji w dzisiejszym wpisie Matta na oficjalnym blogu, a także bardzo obszernie napisał kilka(naście) dni temu Łukasz Sobek z Topblogger.

W publikowaniu wersji Release Candidate nie ma nic złego, przeciwnie, pozwalają wcześniej zapoznać się z prawie gotowymi rozwiązaniami. Jest to powszechna praktyka, również twórcy WordPressa prawie każdą oficjalną wersję poprzedzali wydaniem jednej lub więcej wersji RC. Ale teraz jest trochę inaczej, najpierw pominięto zupełnie wersję 2.4 (zapowiadaną kiedyś na grudzień ub.r.), potem opóźniona premiera 2.5, a wreszcie zamiast pełnej wersji tylko RC, z sugestią, że to właściwie pełna wersja, ale weźcie jeszcze potestujcie ;) Czy to znaczy, że developerzy nie są pewni swojego dzieła? Czy może jednak jeszcze nie wszystko zapięte na ostatni guzik i chcą zyskać te kilka dni, rzucając spragnionym zmian niedokończoną wersję?

Niemniej, mam zamiar dziś wieczorem zapoznać się bliżej z nową wersją i chyba nawet zdecyduję się mna aktualizację. Gdybym nagle zniknął, znaczy, że nie zupełnie byłem gotowy na nową wersję ;)

A swoją drogą ciekawe, jaki jazzman będzie patronem WordPressa 2.5 ;)