自從 2007 年把 weblog 換成 WordPress 2.2 之後,一直沒去管 WordPress 升級的問題。心想這 blog 裡的所有資料都是透明公開的,沒有甚麼機密資料;主機是承租國外的空間,系統被攻陷是主機商的問題;檔案、資料每天都有異地備份,被入侵惡搞頂多就把資料倒回去。也就沒在追 WordPress 版本,反正能用就好!
今天一時心血來潮,就把 WordPress 更新到 2.9.1,整個升級過程花不到半小時,十分地順利。
升級步驟:
Step 1. 將 WordPress 目錄下的所有檔案 tar 起來,並將資料庫裡的所有資料匯出(直接用 phpMyAdmin 匯出)。
Step 2. 將原本的網站目錄更名,再建立一個網站目錄。
Step 3. 下載最新的 WordPress 壓縮檔,解開後將檔案放到網站目錄中。
Step 4. 修改 wp-config.php,設定資料庫參數。
Step 5. 登入管理介面,WordPress 會自動將資料表轉換到新版的架構。
Step 6. 安裝新版的 plugin,升級完成。
最近一直收到舊的網誌寄來的垃圾回文,應該是阻擋垃圾回文的機制被破解了。想想從 Nucleus CMS 換成 WordPress 也已經兩年多,舊網誌也該是功成身退的時候了。
於是先將資料備份起來,再把網站關閉,將連線轉到目前的網誌(Nucleus 的管理介面有此功能)。管理者的密碼也改成英數夾雜的亂數,降低被破解的機率。
另外為了保險起見,將回文的功能從程式碼中直接取消掉。
方法是在 libs/COMMENTS.php 的第 133 行,加上 return true;,直接取消寫入資料庫的動作:
function addComment($timestamp, $comment) { global $CONF, $member, $manager; #2009.11.04. return true; $blogid = getBlogIDFromItemID($this->itemid);
WordPress 的 WYSIWYG 是用 TinyMCE 這套,但是預設的按鈕很少,只有粗體、斜體、刪除線等等幾種,字體顏色、字體大小、背景色等等都沒有。
但 WordPress 在這藏了 一個小技巧,在文章編輯畫面中,如果是 Firefox 只要同時按下 Alt + Shift + v 這三個鍵,就會跑出第二行按鈕。如果是 IE,按下 Alt + v 也會有同樣的效果。
不過這第二行也沒有背景色或字體大小可以選,而且字體顏色還要按組合鍵才會出現實在太麻煩了。
由於之前玩過 TinyMCE,所以知道 TinyMCE 這些按鈕的設定方式。因此直接到程式碼中找設定,果然在 wp-includes/js/tinymce/tiny_mce_config.php 裡找到這些按鈕的設定(檔名一看就知道這是 TinyMCE 的設定檔)。
繼續閱讀 »
在查 Path Disclosure 相關資料時,無意間發現有網友指出 WordPress 的 themes 存在著 Path Disclosure 的漏洞,原文請見:
http://cnc.sablog.net/blog/show-243-1.html
該文是 2007.03.25. 發佈的,當時 WordPress 的版本是 2.1.2,
而今我以 2.2 版測試,還是存在同樣的問題,因此先以原文提出的方式修正。
但是將所有 wp-content/themes/default/ 目錄下的所有 php 檔,
都加上原文提供的修正碼之後,編輯文章按下儲存之後,
畫面卻出現 Access Denied 的錯誤訊息!
明顯是剛剛修改的某個檔案有問題,仔細一個一個查,
發現問題是出在 functions.php 這個程式。
因此對於functions.php,在檔案最上方加上以下程式碼修正之:
<?php error_reporting(0);?>
由於 error_reporting(0) 會抑制錯誤訊息的輸出,
而我又不確定將 error_reporting 關掉是否會對後面的程式造成影響,
因此其餘檔案就照原文提供的方式修正。
WordPress 用了幾個月,還滿順手的,沒遇到什麼大問題。
就趁今天把 http://weblog.gilbert.tw/ 換成 WordPress 版,
原本的 Nucleus 先移到 http://www.gilbert.tw/OldBlog/,
等文章都移到 WordPress 之後再封存起來。
預設版型的首頁圖檔與我想要的風格不搭,請朋友 purinlla 幫忙設計一下。
沒想到一會兒功夫就設計好了,真是厲害啊~~
再次感謝 purinlla 的鼎力相助,謝謝!
突然發現 Blog 裡有一堆廣告評論,緊急將 captcha (Wikipedia: Captcha)安裝起來,以免被廣告評論塞爆~
原本的文章編輯介面很陽春,剛好前陣子在玩 TinyMCE,試著套用看看。雖然有些功能還有問題,但是整體來說還可以用。
套用的方式是將 Tinymce 的主要程式目錄(tiny_mce)搬到管理介面的 javascript 目錄下,接著修改管理介面的 libs/include/ 下的檔案 admin-add.template 及 admin-edit.template,參考 TinyMCE 的安裝說明,把 javascript 加入上述兩個檔案中即可。
改好之後就能用 TinyMCE 大部分的功能進行文章的編輯。
原本的 utf-8 ChineseBig5 看起來不像是台灣人翻譯的,看起來總覺得怪怪的。
順手改一下部分中文翻譯,看起總算是好多了。
Nucleus CMS 官方網站釋出 v3.23 版,修正部分安全性的問題。
照著官方網站上的<a href="http://nucleuscms.org/upgrade.php">說明</a>,將 v3.22 升級到 v3.23。
(下載 zip 檔,將兩個 php 檔覆蓋原有的檔案即可)