Блокнот Интернет Серфера

«Блокнот Интернет Серфера», конечно блог еще новорожденный, но заявить о себе в поисковиках считаю необходимым.

Прошелся по основным – подбавлял ссылку ручками. Посмотрим, кто отреагирует раньше. Не забыл про каталоги.

Регистрировал сайт здесь:

Google

Yandex.Ru

Rambler.Ru

MSN.LiveSearch

Яндекс.Блоги

Рамблер.ТОП100

Топ.Mail.Ru

Aport.Ru

Только вот mail.ru меня немного растроил, этот каталог отказался регистрировать сайт без объяснения причин. Ладно, мы не гордые, зайдем позже.

Продолжаю тюнинг блога. По адресу http://maxsite.org/addzakl был обнаружен занимательный плагин, позволяющий добавлять ссылки на страницы блога в сервис социальных закладок.

Хотя я сам эти сервисы не использую, но не исключаю, что кто-то активно их юзает. Если нужны еще кнопки, сервисов которых нет в перечне плагина - присылайте свои ссылки, попробую добавить.

Спросите, зачем я вобще их добавил сейчас, и как собираюсь использовать? Отвечу - есть планы отправлять ссылки на свои статьи в эти сервисы. Ведь что же это за автор, если его никто не читает?! :о)

И еще, на указанной выше странице, советуют добавить в style.css своего шаблона класс addzakl, строчкой:

div.addzakl {text-align: center; margin: 10px 0;}

Я так понимаю, чтобы по центру колонки было. Дело вкуса, мне понравилось как есть.

P.S. Дополнение от 18.12.2009.
Плагин отключен, поскольку толку от него никакого.
Да и от социальных закладок, для этого блога, по большому счету, тоже.

Я уже писал раньше, про установку прав на .htaccess, но червячок паранойи продолжает грызть мой несчастный мозг, только установив движок, я уже начитался про то какой он дырявый. Многие адепты движков Drupal и Joomla считают WordPress огромной дырой в безопасности сайта. Возможно. Только если у вас появилась дыра в зубе - вы же не спешите его выдергивать и ставить протез, если порезали палец или ногу – вы не отрезаете себе эти конечности, чтобы избавиться от порезов. Надеюсь, вы понимаете, к чему я веду? Да к тому, что нужно защищать свой сайт и по мере возможностей устранять уязвимости. Нужно работать в сети, соблюдая профилактические меры. А взломать можно все, любой движок, любой код и любой сайт, если задаться такой целью и упорно к ней двигаться.

Итак – проводим профилактику уязвимостей сайта.

Если переделать слова песни, то «Я спросил у Гугля, я спросил у Яндекса, я спросил у Рамблера, где мое решение?»

Что мне они ответили?

1. Anti-XSS attack — предупреждение и защита от XSS-атак блога.

Плагин закрывающий XSS уязвимость

Краткое  описание. При записи данных в wp-admin, проверяется реферер. Если это _GET (то есть в виде url) и реферер не совпадает с адресом вашего сайта, то выполнение скрипта останавливается и выводится ссылка на подтверждение действия.

Если данные передаются в скрытом виде (_POST) и реферер не совпадает с вашим сайтом, то выполнение скрипта прекращается

Форум где обсуждается эта уязвимость здесь. http://forum.maxsite.org/viewtopic.php?id=2936

Скачать последнюю оригинальную версию можно здесь  http://blog.portal.kharkov.ua/2008/06/02/anti-xss-attack/

Примечание: Включите у себя в браузере передачу referer, чтобы самому не попасть под действие плагина.

2. Генерация IP-зависимых cookies

Вкратце – плагин делает бесполезным украденные куки(cookies) админа сайта. То есть привязывает их к IP владельца, что значительно снижает возможность взлома.

Примечание : При смене IP нужно разлогиниваться. Противопоказания к плагину round-robin proxy и динамические IP при плохой связи..

Страница с описанием: http://blog.portal.kharkov.ua/2008/05/21/iodized_salt/

Скачать:  http://www.portal.kharkov.ua/soft/iodized_salt.zip

3. Belavir – отслеживание изменений в php файлах движка WordPress

После установки и активации смотрим в «Панели управления» («Доска объявлений»), какие файлы вордпресса изменились. Если вы сами вносили изменения в файлы — тогда просто нажмите кнопку «Сбросить/обновить хэш файлов».Если в какой-то файл внедрен посторонний код (вирус и т.п.) и принять соответствующие меры.

P.S. плагин создает файл my-md5.txt в wp-content/uploads (имя файла можно, я бы даже сказал, что НУЖНО, изменить в самом плагине).

Скачать: Скачайте файл и переименуйте его в belavir.php
http://www.portal.kharkov.ua/soft/belavir.sphp

!!! Примечание: у меня плагин belavir.php так и не заработал, подвесив админку, подозреваю, что что-то с доступами намудрил или сам плагин не совместим с версией 2.6., пожалуй стоит поискать что-нибудь аналогичное, поскольку вещица полезная.

Пока, воспользовался советом из панели управления WordPress, как разблокировать панель после активации плагина: «Если с плагином что-то пойдет не так, и вы не сможете использовать WordPress, удалите или переименуйте файл в директории /wp-content/plugins, и плагин будет автоматически отключен.»

Установка любого из плагинов:

1. закачать плагин в папку wp-content/plugins/ на своем сайте
2. активировать.
3. все.

Общая профилактика:

• Работая в WordPress – нужно работать только в нем, не нужно бродить по ненадежным сайтам. Это вредно.
• Прежде чем закрыть браузер – нужно разлогиниться.

Пролог

Вот уже больше года, как сделал себе и домочадцам подарок - смотрю спутниковое телевидение. В наших краях телевизионных каналов всего 3 штуки в метровом диапазоне и только месяц назад добавилось 2 дециметровых, поэтому, желание поставить себе спутниковую тарелку созрело само собой. Передает телеканалы ко мне в дом, через ресивер, компания «Триколор» (tricolor.tv). 

Так вот, в июне 2007 года зарегистрировал свой приемник, а через месяц, активировал карту оплаты, у них на сайте, чтобы смотреть платные каналы пакета «Оптимум».

Прошел год, срок подписки истекает, как рачительный хозяин запасся заранее, в ближайшем областном центре, карточкой оплаты на следующий год.

Рассказ

Когда наступил час «Ч», платные каналы показывать перестали, пришло время активировать карту. Не тут-то было. За время прошедшее после покупки карточки, до ее активации, оказалось, что мне продали карту «Старт» вместо карты «Оптимум» и по новым правилам активировать старт можно только на новые приемники, продлевать подписку с ее помощью нельзя.

Расстроенный, забрался на форум сайта (forum.tricolor.tv), где много узнал интересного о чутком сервисе этой компании, которая зарегистрировала уже более 2 млн. абонентов, но так и не нашла денег купить приличные сервера, чтобы оперативно обрабатывать их регистрационные данные. Компанию, которая не забывает указывать на картах оплаты «срок годности», но почему-то забывает писать, что карта предназначена ТОЛЬКО для первичной активации. Компании, которая не удосужилась предупредить в форме регистрации на сайте ДО ТОГО, как я сорвал целлофановую упаковку с карты и стер защитный слой с секретного кода, что для продления подписки необходима карта «Оптимум», а для первичной регистрации карта «Старт».

Способ исправить ситуацию я кажется, нашел, их похоже, целых два. Возврат карты продавцу уже исключен, так как карточка вскрыта.

Итак, активировать карту «Старт» вместо карты «Оптимум» можно:

 Способ №1: Позвонить по платному телефону 8-809-333-10-20 ежедневно с 10:00 до 22:00. Стоимость звонка 18 рублей в минуту. !!!!!!!!!!!!

Тогда, если ресивер зарегистрирован не позже 31.10.2007, если дозвонишься сразу, если без запинки продиктуешь все необходимые данные такие как 12-значный DRE ID приемника, 20-значный номер карты, Ф.И.О., телефон и другие данные указанные при регистрации приемника, если оператор на том конце все поймет с первого раза, карту возможно активируют.

Способ №2: (неофициальный) послать письмо со сканом карточки на support@tricolor.tv и с указанными выше данными и ждать. Возможно, очень долго ждать!

Способ №1 оставил на потом, пока выбрал Способ №2,

 Эпилог

А из-за чего все началось-то? Из-за того, что комплекты «Триколор», которые комплектовались картами «Старт» не всегда продавались вместе с этими картами. То есть ушлые дилеры просто изымали «халявные» карточки из комплекта и втюхивали их сверху доверчивым клиентам как бонус за 600-700 рублей. Короче, решила компания прикрыть эту лавочку. Вот таким хитрым способом. Только как быть с тем, что мою карту продавец при мне отрезал от ленты таких же карт, а не вытаскивали втихую из чужой коробки?!!! Почему теперь у меня неудобства, а не у тех дилеров, на которых пришла жалоба?

Эх… Опять, хотели как лучше, а получилось как всегда…

Сегодня пол дня промучился с различными темами для своего проекта.

Была перерыта куча сайтов. Бесплатных, хороших, но англоязычных тем превеликое множество. Жуть как не хотелось заморачиваться с переводом и ковыряться в коде, поэтому выбор пал на заранее руссифицированные темы.

 Поисковик по запросу “темы WordPress на русском” выдал больше 5000 ссылок, как положено начинающему пользователю прошелся только по первой десятке :о) , Посмотрел-пощупал, выбор пал на сайт http://mywordpress.ru/. Движок сделан конечно же на wordpress, удобный поиск по тегам + возможность предпросмотра темы (на остальных сайтах, почему-то все больше попадались скриншотики, явно стянутые с буржуйских вариантов)

Остановился на теме X3me. Ну все чудесно, все понравилось, но немного не устроила картинка-логотип сайта. Зарылся в фотошопе, через 1.5 часа неумелыми и корявыми ручками сочинил себе новый логотип, больше соответствующий теме и названию блога. Cсылку на авторов конечно оставил, постарались ребята из Majordomo, за что им преогромное спасибо. Один минус - у шаблона нет виджетов. Пока обхожусь, уж очень он мне нравится. Кому важно выжать из движка WordPress все, не делайте как я - берите шаблон с виджетами, все таки - это удобная штука. Оригинал этого шаблона и множество других можно откопать на http://themes.mywordpress.ru/

Такой уж я начинающий пользователь, редко читаю инструкции, в погоне за интуитивно понятным интерфейсом. Но в связи с тем, что я и в управлении сайтами как-то не очень, поэтому полез за пошаговыми инструкциями по установке WordPress в поисковик.

По адресу http://www.seonews.ru/masterclass/87/ была обнаружена подходящая статья - на радостях пустился выполнять указания оной, но как говорится… опс… в первой же части вижу совет по установке на файл .htaccess прав 666, ну извините, не нравится мне что-то эта комбинация цифр), поэтому прав файлик получил меньше чем советует автор.  Лучше уж я его руками поправлю, когда прийдет время.

На шаге 2, автор советует установить плагин rus-to-lat правильный совет - одобряю, но по поводу записи в Options(Параметры) -> Permalink(Постоянные ссылки) поле Custom structure (Произвольно) только значения /%postname%/  см.   не согласен, зачем мудрить когда можно нажать Месяц и название и будем иметь структуру ссылок гораздо удобнее, чем планирует автор статьи то есть /%year%/%monthnum%/%postname%/. Править файл .htaccess конечно же прийдется, если не дали ему прав. Если лень править ручками, то как вариант, можно дать права, а потом отобрать.

Немного не ясно с советом создавать папку uploads, а потом заводить там папку год, месяц.

Хотя… Может быть в версии за октябрь 2007 года все это и нужно было делать, возможно. обязательно проверю как с этим обстоят дела сейчас и напишу.

Да, чуть не забыл, ставил я WordPress 2.5.1, но пока заказывал, пока оплачивал хостинг и домен, скоропостижно появилась версия 2.6.  Скачал, конечно.  Как было написано в readme.html - удалил старые, сохранив измененные. Только кто же знал, что WordPress чего-то же меняет у себя при установке, поэтому я тупо сохраняю… Догадайтесь что? Файл wp-config.php - то есть тот файл, что я правил перед тем как установить WordPress 2.5.1, после чего с чистой совестью удаляю все старые файлы и записываю на их место новые.  Запускаю браузере /wp-admin/upgrade.php - вылазит сообщение о ошибке. В итоге, я получаю совершенно не работоспособную систему.

Не повторяйте моих ошибок. Делайте полный backup файлов и базы перед установкой обновлений, тогда вы всегда можете хотябы все вернуть на свое место.