WordPress *

5-минутная инсталляция WordPress это здорово – так легко создать свой блог! Однако, после установки WordPress, вам необходимо будет сделать еще несколько шагов, чтобы добиться от вашего блога как можно лучшего результата.

Нижеследующая информация может быть использована как памятка или шпаргалка при установке движка.

Административная зона любого веб-приложения давно стала излюбленной мишенью для хакеров и её безопасность чрезвычайно заботит разработчиков. Это касается и WordPress — при сустановке нового блога система создает аккаунт администратора с уникальным случайно сгенерированным в реальном времени паролем, чем блокирует всеобщий доступ к настройкам системы, контролируя его c помощью страницы авторизации.

Эта статья сфокусирована на вопросах усиления безопасности WordPress — как административной панели, так и настроек блога, подразумевая все содержимое папки «wp-admin», которое отображается только после авторизации. Мы сознательно выделили фразу "после авторизации" — вы должны четко осознавать, что только один простой запрос отделяет «злого хакера» и админку всего вашего блога или сайта! А последняя защищена настолько сильно, насколько мощный пароль вы выбрали.



Чтобы в разы усложнить задачу взломщиков, мы предлагаем набор операций, которые вы можете выполнить вручную. Эти решения не гарантируют 100% защиту, но с их помощью вы заметно улучшите безопасность вашего блога.

Совсем недавно я принялся разработкой плагинов для WordPress. Три дня назад выпустил мой самый новый — Twitter Friendly Links называется. В общем это нечто вроде TinyURL (tr.im, и т.д.) только в рамках собственного домена (блога). На примере:

kovshenin.com/wordpress/plugins/twitter-friendly-links

превращается в

kovshenin.com/712

Очень полезно там, где стоит ограничение на кол-во символов, например Twitter. Собсно оттуда и вытекает название. Страница плагина на WordPress.org: Twitter Friendly Links

Полное описание и дискуссия на моём сайте (увы на английском): Twitter Friendly Links

P.S. Хочу каментов. Thanks.

Внимание!
Перед изменением файла .htaccess не забудьте сделать его резервную копию.

1 — Перенаправляем WordPress RSS поток на feedburner с использованием .htaccess
Почему некоторые вебмастера не используют feedburner? Ведь это такой замечательный инструмент для контроля за подписками на RSS. Проблема в том, что приходится руками исправлять файлы шаблонов. Этот прием поможет сохранить Ваше время.
И не забудьте исправить в строке 6 на Ваш код

<IfModule mod_rewrite.c>
 RewriteEngine on
 RewriteCond %{HTTP_USER_AGENT} !FeedBurner    [NC]
 RewriteCond %{HTTP_USER_AGENT} !FeedValidator [NC]
 RewriteRule ^feed/?([_0-9a-z-]+)?/?$ httр://feeds2.feedburner.com/wordpress[R=302,NC,L]
</IfModule>

В продолжение моего wordpress-творчества представляю новую тему — Constructor.

Совсем недавно, Google добавил поддержку плагинов к своей службе Google Friend Connect. На данный момент доступно три плагина:

• Комментирование в блогах WordPress
• Авторизация в системах Drupal
• Авторизация в системах phpBB

Поскольку время dial-up соеденений постепенно уходит в историю, то всё популярней становятся дизайны сайтов использующих большие картинки в качестве фонового изображения. Примеров тому множество, включая мой блог ;)

Хочу рассказать о интересном плагине для Wordpress — «Improved Related posts». Плагин позволяет добавить в конце публикации перечень постов, которые наиболее похожи по тематике на ваш. Таким образом появляется возможность удержать случайно зашедшего по ссылке, присланной товарищем, пользователя, если он найдет в перечне то, что его сможет заинтересовать.
Знаю, что таких плагинов достаточное количество, чем же отличается именно этот? Не торопитесь ничего скачивать по приведенной ссылке. В конце статьи есть ссылка на локализованный плагин, в котором я улучшил интерфейс настроек.

Основное отличие в том, что он при обработке содержимого ваших постов использует перечень так называемых «stop words».

Небольшой мануал, рассчитанный на начальный уровень работы с WordPress
Мало кто использует в своих темах файл home.php и зря. Этот файл даёт нам право сконструировать главную страницу отличной по внешнему виду от остальных, например, вывести по несколько записей из каждой существующей категории в том виде, в котором нам нужно.

Update:>>> Извините, пришлось добавить после начала дискуссии в комментариях. Не все дочитывают статью до конца, поэтому сразу скажу, что описываемый способ для тех, кто имеет лишь поверхностное, общее представление о том, что такое CSS и HTML. <<<

Столкнулся с этим вопросом в первые дни использования Wordpress, как движка для моего блога. Все темы, которые мне приглянулись, требовали небольшой добработки, а править стили оформления, когда страница формируется динамически, достаточно неудобно.

Не могу сказать, что являлся в то время знатоком HTML или CSS, потому требовался совершенно не требующий мозгов способ. И он нашелся.

Увлекшись написанием плагинов для Wordpress'а составил правила хорошего тона…

После обновления jQuery плагина (a)Slideshow до версии 0.5.1, решил вспомнить былое и написать плагин для Wordpress'a — да еще и с widget'ом.

Недавно обнаружил два новых трюка спамеров. Как и подобает настоящим паразитам, они мутируют понемногу, приспосабливаются.

Трюк первый — цитирование поста

Одна из задач спамеров — уменьшить вероятность удаления их комментария. Для этого они постоянно изобретают все новые способы. О некоторых из них я уже писал (например, «критика» блоггера со втягиванием его в «дискуссию»). Но они требуют участия человека. Как замаскировать автоматический спам, помимо употребления стандартных, «подходящих ко всему» фраз?

Как выяснилось, некоторые спамботы уже научились пробивать защиту на Javascript, а «капчи» ломают уже довольно давно.

В связи с этим назрел вопрос создания более сложной для роботов, но относительно простой для людей защиты.

Думаю сделать следующее:

Просматривая образцы присылаемого блоггерами спама, наткнулся на вот такие сайты:

• wptheme.ru
• wptheme.us
• wpbox.ru

Доменные имена показались мне подозрительно созвучными с сокращением от Wordpress. Перешел я по ссылкам, и вижу: и правда, вроде как «белые» сайты по этой тематике.

Но не все так просто. На сайтах предлагают скачать русифицированные темы для Wordpress. Скачал я несколько таких тем и залез в код. В файле footer.php, отвечающем за формирование «подвала» страниц, я обнаружил вот такой зашифрованный фрагмент:

В продолжение темы об обиженных спамерах. Одного уже заDDoSили, прочих проспамили по всяким там гостевухам.

«Яндекс» ответил, что против нас мер принято не будет. «Гугл» пока не ответил.

Кстати, держатели баз, наоборот, просили им давать доступ, даже если вынудят скрыть красный список вовсе.

Ну и вот тут немного по теме: www.umaxforum.com/showthread.php?t=30675&page=6
У парней нет чувства юмора ну вообще :-)

Вот такой комментарий пришел недавно в блог Parasite Eliminator:

Привет, Новиков.
Ничего не имею против твоей приблуды - каждый дро как он хо.
Но меня напрягло слишком частое упоминание в твоих речах всяких нехороших эпитетов в адрес бойцов линковочного фронта. Да и сам стиль твоей писанины говорит о неприкрытом презрении к людям. И еще эта странная фраза: “вскрытые сетки будут переданы в яндекс и гугл”…
Новиков, тебе что важнее - защититься самому или навредить другим?
Похоже, что навредить.
Посему заявляю, что все домены, указанные в твоем “красном списке”, будут круглосуточно спамиться по НАШИМ стоп-листам гостевых и форумов. И дело не во внесении твоих друзей в твой же “черный список”. Люди будут терять и хостинг, и домены, потому что наши стоп-листы в 100 раз абузней, чем твоя картонная дурилка. У нас в одной только зоне .gov несколько К гостевых прочеканы и уже ждут спамерских преведов со ссылками из твоего красного списка.
ВСЕ кто будет открыто с тобой сотрудничать - попадет под раздачу. 2 суток на размышления чтобы очистить красный список, оставшихся ожидает Чорный Четверг 13 ноября.
Захотел по-плохому - значит будет по-плохому, забились.

Иду Резать Актив :)

А дальше будет просто — контачим с поисковиками, они нас не пессимизируют никак, а дальше просто ищутся левые каменты по всему индексу со ссылками на нас — и на эти сайты накладываются фильтры. В итоге «несколько K почеканых гостевух», которые использовались идиотами для проспама, тупо ни на что уже не годятся :-)

Собственно, думаете, я вручную отбивал 1733 письма, полученных за несколько часов после релиза? :-) Все намного проще. Зато образовалась база из более, чем полутора тысяч уязвимых форумов, досок и гостевух, ссылки с которых надо бы под фильтр ;-)

Update

Итак, свершилось то, чего так долго ждали некоторые посвященные блоггеры. Я открыл для всех желающих Parasite Eliminator – сервис и плагин для Wordpress, благодаря которым в моих блогах нет ручного спама.

10 ноября 2008 года – это черный день российских блогоспамеров (у зарубежных будет другой черный день, я еще не знаю, когда сделаю международную версию плагина).

Как оно работает

Запись просто для тех, кто сподобился поставить Wordpress на платформе Windows (ну, например, у себя на рабочей машине или на хостинге с Windows).

Там существует проблема с OpenID (вернее, с плагином openid), решение которой еле нашёл, очень мало рецептов в сети (наверняка потому, что подавляющее большинство хостингов Wordpress на *nix).

В общем, при установке out-of-the-box провайдер openid не работает. Нужно открыть файл \wp-content\plugins\openid\Auth\OpenID\CryptUtil.php. В самом начале там есть такое:

if (!defined('Auth_OpenID_RAND_SOURCE')) {
/**
* The filename for a source of random bytes. Define this yourself
* if you have a different source of randomness.
*/
define('Auth_OpenID_RAND_SOURCE', '/dev/urandom');
}


Естественно, никакого /dev/urandom в Windows нет. Нужно заменить '/dev/urandom' на null (без кавычек). Вуаля — теперь всё работает ;)

Единственное замечание — после апдейта версии плугина, возможно, нужно будет делать это заново.

Не судите строго, хотел поделиться собственным опытом решения одной проблемы.

(в тематический блог постить пока не могу, к сожалению)

upd ну за что вот минусуете и топик, и карму? :( нету ничего про iphone? :( ну извините…
upd2 перенёс в тематический блог, спасибо за карму

Привет.
Думаю, среди читателей хабра найдется немало тех, кто имеет stand-alone blog на движке wordpress.

Так вот, для вас, дорогие мои, у меня есть две новости, как водится, плохая и хорошая.
Плохая состоит в том, что wordpress — довольно-таки тормознутая штука.
Виноваты в этом в основном криворукие производители тем и, особенно, криворукие производители плагинов. Особенно кривой плагин, на мой вкус, wp-ajax-edit-comments, который является образцом быдлокодинга.

Хорошая — в том, что это можно поправить.