דף הבית » חדשות ועדכונים

וורדפרס 3.5.2

22 ביוני 2013 | מאת רמי | 12 תגובות | תגיות: ,

שוחררה גרסה 3.5.2 של וורדפרס, גרסת תחזוקה ואבטחה המטפלת ב-12 באגים. גרסה זו מטפלת בפרצת אבטחה המאפשרת לזייף בקשות צד-שרת (SSRF), וורדפרס 3.52 שוללת הרשאות ממשתמשים בתפקיד "תורם", מעדכנת את הספריות החיצוניות SWFUpload ו-TinyMCE בהן התגלו פרצות הזרקת קוד זדוני (XSS), מתקנת מספר פרצות בספריית המדיה החדשה ומטפלת באגים נוספים. גרסה 3.5.2 מטפלת בסוגיות אבטחה קריטיות לכן כל הגרסאות הישנות חייבות לשדרג לגרסה זו.

וורדפרס 3.5.2

וורדפרס 3.5.2

פרצות שטופלו

בגרסה 3.5.2, בדומה לגרסה 3.5.1, טופלה פרצת אבטחה המאפשרת לזייף בקשות צד-שרת (SSRF) ולאפשר לתוקף לקבל גישה לאתר. כמו כן טופלו מספר פרצות הזרקת קוד זדוני (XSS) שהיו קיימות בוורדפרס ובספריות החיצוניות שלה כמו SWFUpload ו-TinyMCE. יש לציין שוורדפרס זנחה את ספריית SWFUpload ואימצה במקומה את Plupload מבית היוצר של Moxiecode המפתחת גם את TinyMCE.

בעיה נוספת זכתה לטיפול קשורה לפוסטים המוגנים בסיסמה. מתקפות מניעת שירות (DDOS) שהופעלו על פוסטים המוגנים בסיסמה טופלו גם הם.

בגרסה זו טופלה גם בעיה הקשורה במערכת ההרשאות של וורדפרס. משתמשים המוגדרים כ"תורמים" (contributors) יכלו לפרסם בצורה לא תקינה פוסטים ולשייך פוסטים למשמשים אחרים. כאמור, הפרצה נסגרה.

ונסגרה פרצה הקשורה למערכת הקבצים שאפשרה לראות את הנתיב המלא של הקובץ כאשר נכשל תהליך העלאת הקבצים.

וורדפרס 3.5.2 בעברית

שחררתי את הגרסה העברית של וורדפרס 3.5.2. בצעו גיבוי למסד הנתונים ולקבצים לפני השדרוג.

מאת רמי

אחראי על אתר וורדפרס בעברית ועל תרגום ושחרור גרסאות וורדפרס בעברית. מפתח ליבה, בכל גרסה החל מגרסה 2.8, מפתח מוביל בגרסה 4.4 ובגרסה 4.6. מספק שירותי פיתוח אתרים, פיתוח תוספי וורדפרס לסטרטאפים ופיתוח כלים למפתחי וורדפרס - GenerateWP.com.

12 תגובות »

  • אודי בורג כותב :

    רמי,
    לצורך השדרוג זקוק להמלצה לתוסף גיבוי לוורדפרס שבאמת עובד ומגבה את ה-DB והקבצים לספרייה אחרת בשרת המארח שלי שהוא שרת וירטואלי.

    תודה.

    אודי

  • רמי כותב :

    אודי, הדרך הבטוחה היא לגבות קבצים בעזרת FTP ולגבות מסד נתונים דרך phpMyAdmin. זו הדרך הישנה והטובה.

    ניתן להשתמש בתוספי וורדפרס לקיצור משך זמן הגיבוי. הייתי ממליץ לך לבחון את backWPup, שמבצע גיבוי לקבצים ולמסדי הנתונים, ואפילו מאפשר לשמור את הדיגוי בענן ו/או לשלוח במייל. הוא לא היחיד, יש הרבה פתרונות דומים (רבים מהם ללא תשלום).

  • אורי כותב :

    היי רמי רציתי לשאולאם בשדרוג החדש יש משפטים חדשים או שהכל נשאר רק תוקנו קבצים מבחינת אבטחה

  • רמי כותב :

    אורי, בדרך כלל בגרסות משנה לא מבצעים שינויים במחרוזות.

  • דידי כותב :

    רמי
    לאחר שדרוג של מספר אתרי וורדפרס לא נתקלתי בשום בעיה והכול עבר חלק. תודה לך על השחרור המהיר של הגרסה העברית.

  • רמי כותב :

    דידי, שמח לשמוע שהכל הסתדר. גם אני לא חוויתי בעיות. עד כה לא שמעתי על בעיות מיוחדות עם 3.5.2.

  • פיימן כותב :

    היי רמי
    תודה על העדכונים.
    שידרגתי קרוב ל 50 אתרים ולא נתקלתי בבעיות מיוחדות.

  • עדי כותב :

    יש שמועות שהפאנל ניהול עובר שדרוג ב-CSS והחזות שלו תהיה יותר נעימה לעין.
    נכון?

  • רמי כותב :

    יש שמועות, אבל זה מחוץ למסגרת העבודה. הפיתוח מבוצע כתוסף נפרד בשם MP6. למיטב הבנתי, זה יכנס בגרסה 3.7.

  • אודי בורג כותב :

    רמי שלום,

    בעורך הפוסטים ישנן שתי לשוניות, העורך הויזואלי ועורך הטקסט.
    האם ידוע לך מדוע כשכותבים פוסט בעורך היזואלי ירידת שורה יוצרת שורת רווח ואילו בעורך הטקסט השורות יורדות אחת אחרי השנייה ללא רווח?
    יש פתרון שגם בעורך הויזואלי השורות יירדו ללא שורת רווח?

    תודה.

    אודי

  • רמי כותב :

    אודי,
    בעורך הטקסט מדובר בעורך רגיל, כך שורה בפני עצמה. לעומת זאת בעורך הויזואלי מדובר השורות הן פסקאות, לחיצה על Enter יוצרת פסקה חדשה, ולחליצה על Shift+Enter יוצרת שורה חדשה בתוך פסקה קיימת (בדיוק כמו בוורד ושאר התוכנות).

    יש לזה משמעות מבחינת זרימת הטקסט ומבחינת SEO (לצורך חישוב צפיפות מילות מפתח בפסקה וכו').

    ממליץ לך לנסות להבין את ההבדל ולהתרגל לעבוד בצורה נכונה. אבל אם זה מפריע לך ויזואלית, הייתי ממליץ לך לשנות את הרווח בין השורות כאשר מתחילה פסקה חדשה בעזרת CSS המשפיע רק על העורך הויזואלי. למידע נוסף ראה פונקציה add_editor_style.

  • אודי בורג כותב :

    תודה רבה רמי!

הוסף תגובה !

נא לא לשאול שאלות שלא קשורות לפוסט, זהו לא פורום תמיכה. לבעיות אישיות ונושאים מורכבים אפשר ליצור איתי קשר.

תגיות HTML מורשות לשימוש:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>