| Понедельник, 21.07.2008 | Рубрики: WordPress, Интернет Продолжаю тюнинг блога. По адресу http://maxsite.org/addzakl был обнаружен занимательный плагин, позволяющий добавлять ссылки на страницы блога в сервис социальных закладок.
Хотя я сам эти сервисы не использую, но не исключаю, что кто-то активно их юзает. Если нужны еще кнопки, сервисов которых нет в перечне плагина - присылайте свои ссылки, попробую добавить.
Спросите, зачем я вобще их добавил сейчас, и как собираюсь использовать? Отвечу - есть планы отправлять ссылки на свои статьи в эти сервисы. Ведь что же это за автор, если его никто не читает?! :о)
И еще, на указанной выше странице, советуют добавить в style.css своего шаблона класс addzakl, строчкой:
div.addzakl {text-align: center; margin: 10px 0;}
Я так понимаю, чтобы по центру колонки было. Дело вкуса, мне понравилось как есть.
P.S. Дополнение от 18.12.2009.
Плагин отключен, поскольку толку от него никакого.
Да и от социальных закладок, для этого блога, по большому счету, тоже.
Нет комментариев » Пятница, 18.07.2008 | Рубрики: безопасность Я уже писал раньше, про установку прав на .htaccess, но червячок паранойи продолжает грызть мой несчастный мозг, только установив движок, я уже начитался про то какой он дырявый. Многие адепты движков Drupal и Joomla считают WordPress огромной дырой в безопасности сайта. Возможно. Только если у вас появилась дыра в зубе - вы же не спешите его выдергивать и ставить протез, если порезали палец или ногу – вы не отрезаете себе эти конечности, чтобы избавиться от порезов. Надеюсь, вы понимаете, к чему я веду? Да к тому, что нужно защищать свой сайт и по мере возможностей устранять уязвимости. Нужно работать в сети, соблюдая профилактические меры. А взломать можно все, любой движок, любой код и любой сайт, если задаться такой целью и упорно к ней двигаться.
Итак – проводим профилактику уязвимостей сайта.
Если переделать слова песни, то «Я спросил у Гугля, я спросил у Яндекса, я спросил у Рамблера, где мое решение?»
Что мне они ответили?
1. Anti-XSS attack — предупреждение и защита от XSS-атак блога.
Плагин закрывающий XSS уязвимость
Краткое описание. При записи данных в wp-admin , проверяется реферер. Если это _GET (то есть в виде url) и реферер не совпадает с адресом вашего сайта, то выполнение скрипта останавливается и выводится ссылка на подтверждение действия.
Если данные передаются в скрытом виде (_POST ) и реферер не совпадает с вашим сайтом, то выполнение скрипта прекращается
Форум где обсуждается эта уязвимость здесь. http://forum.maxsite.org/viewtopic.php?id=2936
Скачать последнюю оригинальную версию можно здесь http://blog.portal.kharkov.ua/2008/06/02/anti-xss-attack/
Примечание: Включите у себя в браузере передачу referer, чтобы самому не попасть под действие плагина.
2. Генерация IP-зависимых cookies
Вкратце – плагин делает бесполезным украденные куки(cookies) админа сайта. То есть привязывает их к IP владельца, что значительно снижает возможность взлома.
Примечание : При смене IP нужно разлогиниваться. Противопоказания к плагину round-robin proxy и динамические IP при плохой связи..
Страница с описанием: http://blog.portal.kharkov.ua/2008/05/21/iodized_salt/
Скачать: http://www.portal.kharkov.ua/soft/iodized_salt.zip
3. Belavir – отслеживание изменений в php файлах движка WordPress
После установки и активации смотрим в «Панели управления» («Доска объявлений»), какие файлы вордпресса изменились. Если вы сами вносили изменения в файлы — тогда просто нажмите кнопку «Сбросить/обновить хэш файлов».Если в какой-то файл внедрен посторонний код (вирус и т.п.) и принять соответствующие меры.
P.S. плагин создает файл my-md5.txt в wp-content/uploads (имя файла можно, я бы даже сказал, что НУЖНО, изменить в самом плагине).
!!! Примечание: у меня плагин belavir.php так и не заработал, подвесив админку, подозреваю, что что-то с доступами намудрил или сам плагин не совместим с версией 2.6., пожалуй стоит поискать что-нибудь аналогичное, поскольку вещица полезная.
Пока, воспользовался советом из панели управления WordPress , как разблокировать панель после активации плагина: « Если с плагином что-то пойдет не так, и вы не сможете использовать WordPress, удалите или переименуйте файл в директории /wp-content/plugins, и плагин будет автоматически отключен.»
Установка любого из плагинов:
- закачать плагин в папку
wp-content/plugins/ на своем сайте
- активировать.
- все.
Общая профилактика:
- Работая в WordPress – нужно работать только в нем, не нужно бродить по ненадежным сайтам. Это вредно.
- Прежде чем закрыть браузер – нужно разлогиниться.
1 комментарий » Пятница, 18.07.2008 | Рубрики: Свое
Пролог
Вот уже больше года, как сделал себе и домочадцам подарок - смотрю спутниковое телевидение. В наших краях телевизионных каналов всего 3 штуки в метровом диапазоне и только месяц назад добавилось 2 дециметровых, поэтому, желание поставить себе спутниковую тарелку созрело само собой. Передает телеканалы ко мне в дом, через ресивер, компания «Триколор» (tricolor.tv).
Так вот, в июне 2007 года зарегистрировал свой приемник, а через месяц, активировал карту оплаты, у них на сайте, чтобы смотреть платные каналы пакета «Оптимум».
Прошел год, срок подписки истекает, как рачительный хозяин запасся заранее, в ближайшем областном центре, карточкой оплаты на следующий год.
Рассказ
Когда наступил час «Ч», платные каналы показывать перестали, пришло время активировать карту. Не тут-то было. За время прошедшее после покупки карточки, до ее активации, оказалось, что мне продали карту «Старт» вместо карты «Оптимум» и по новым правилам активировать старт можно только на новые приемники, продлевать подписку с ее помощью нельзя.
Расстроенный, забрался на форум сайта (forum.tricolor.tv), где много узнал интересного о чутком сервисе этой компании, которая зарегистрировала уже более 2 млн. абонентов, но так и не нашла денег купить приличные сервера, чтобы оперативно обрабатывать их регистрационные данные. Компанию, которая не забывает указывать на картах оплаты «срок годности», но почему-то забывает писать, что карта предназначена ТОЛЬКО для первичной активации. Компании, которая не удосужилась предупредить в форме регистрации на сайте ДО ТОГО, как я сорвал целлофановую упаковку с карты и стер защитный слой с секретного кода, что для продления подписки необходима карта «Оптимум», а для первичной регистрации карта «Старт».
Способ исправить ситуацию я кажется, нашел, их похоже, целых два. Возврат карты продавцу уже исключен, так как карточка вскрыта.
Итак, активировать карту «Старт» вместо карты «Оптимум» можно:
Способ №1: Позвонить по платному телефону 8-809-333-10-20 ежедневно с 10:00 до 22:00. Стоимость звонка 18 рублей в минуту. !!!!!!!!!!!!
Тогда, если ресивер зарегистрирован не позже 31.10.2007, если дозвонишься сразу, если без запинки продиктуешь все необходимые данные такие как 12-значный DRE ID приемника, 20-значный номер карты, Ф.И.О., телефон и другие данные указанные при регистрации приемника, если оператор на том конце все поймет с первого раза, карту возможно активируют.
Способ №2: (неофициальный) послать письмо со сканом карточки на support@tricolor.tv и с указанными выше данными и ждать. Возможно, очень долго ждать!
Способ №1 оставил на потом, пока выбрал Способ №2,
Эпилог
А из-за чего все началось-то? Из-за того, что комплекты «Триколор», которые комплектовались картами «Старт» не всегда продавались вместе с этими картами. То есть ушлые дилеры просто изымали «халявные» карточки из комплекта и втюхивали их сверху доверчивым клиентам как бонус за 600-700 рублей. Короче, решила компания прикрыть эту лавочку. Вот таким хитрым способом. Только как быть с тем, что мою карту продавец при мне отрезал от ленты таких же карт, а не вытаскивали втихую из чужой коробки?!!! Почему теперь у меня неудобства, а не у тех дилеров, на которых пришла жалоба?
Эх… Опять, хотели как лучше, а получилось как всегда…
Комментариев: 57 » Четверг, 17.07.2008 | Рубрики: WordPress Сегодня пол дня промучился с различными темами для своего проекта.
Была перерыта куча сайтов. Бесплатных, хороших, но англоязычных тем превеликое множество. Жуть как не хотелось заморачиваться с переводом и ковыряться в коде, поэтому выбор пал на заранее руссифицированные темы.
Поисковик по запросу “темы WordPress на русском” выдал больше 5000 ссылок, как положено начинающему пользователю прошелся только по первой десятке :о) , Посмотрел-пощупал, выбор пал на сайт http://mywordpress.ru/. Движок сделан конечно же на wordpress, удобный поиск по тегам + возможность предпросмотра темы (на остальных сайтах, почему-то все больше попадались скриншотики, явно стянутые с буржуйских вариантов)
Остановился на теме X3me. Ну все чудесно, все понравилось, но немного не устроила картинка-логотип сайта. Зарылся в фотошопе, через 1.5 часа неумелыми и корявыми ручками сочинил себе новый логотип, больше соответствующий теме и названию блога. Cсылку на авторов конечно оставил, постарались ребята из Majordomo, за что им преогромное спасибо. Один минус - у шаблона нет виджетов. Пока обхожусь, уж очень он мне нравится. Кому важно выжать из движка WordPress все, не делайте как я - берите шаблон с виджетами, все таки - это удобная штука. Оригинал этого шаблона и множество других можно откопать на http://themes.mywordpress.ru/
1 комментарий » Четверг, 17.07.2008 | Рубрики: WordPress Такой уж я начинающий пользователь, редко читаю инструкции, в погоне за интуитивно понятным интерфейсом. Но в связи с тем, что я и в управлении сайтами как-то не очень, поэтому полез за пошаговыми инструкциями по установке WordPress в поисковик.
По адресу http://www.seonews.ru/masterclass/87/ была обнаружена подходящая статья - на радостях пустился выполнять указания оной, но как говорится… опс… в первой же части вижу совет по установке на файл .htaccess прав 666, ну извините, не нравится мне что-то эта комбинация цифр), поэтому прав файлик получил меньше чем советует автор. Лучше уж я его руками поправлю, когда прийдет время.
На шаге 2, автор советует установить плагин rus-to-lat правильный совет - одобряю, но по поводу записи в Options(Параметры) -> Permalink(Постоянные ссылки) поле Custom structure (Произвольно) только значения /%postname%/ см. не согласен, зачем мудрить когда можно нажать Месяц и название и будем иметь структуру ссылок гораздо удобнее, чем планирует автор статьи то есть /%year%/%monthnum%/%postname%/. Править файл .htaccess конечно же прийдется, если не дали ему прав. Если лень править ручками, то как вариант, можно дать права, а потом отобрать.
Немного не ясно с советом создавать папку uploads, а потом заводить там папку год, месяц.
Хотя… Может быть в версии за октябрь 2007 года все это и нужно было делать, возможно. обязательно проверю как с этим обстоят дела сейчас и напишу.
Да, чуть не забыл, ставил я WordPress 2.5.1, но пока заказывал, пока оплачивал хостинг и домен, скоропостижно появилась версия 2.6. Скачал, конечно. Как было написано в readme.html - удалил старые, сохранив измененные. Только кто же знал, что WordPress чего-то же меняет у себя при установке, поэтому я тупо сохраняю… Догадайтесь что? Файл wp-config.php - то есть тот файл, что я правил перед тем как установить WordPress 2.5.1, после чего с чистой совестью удаляю все старые файлы и записываю на их место новые. Запускаю браузере /wp-admin/upgrade.php - вылазит сообщение о ошибке. В итоге, я получаю совершенно не работоспособную систему.
Не повторяйте моих ошибок. Делайте полный backup файлов и базы перед установкой обновлений, тогда вы всегда можете хотябы все вернуть на свое место.
Комментариев: 2 » | |