Блокнот Интернет Серфера

Онлайн-шоу мутации интернет серфера в блоговода и сайтовладельца. Мутирую путем проб и ошибок. Наблюдайте, чтобы не повторять их.
 
 

Плагин для социальных закладок

Понедельник, 21.07.2008 | Рубрики: WordPress, Интернет

Продолжаю тюнинг блога. По адресу http://maxsite.org/addzakl был обнаружен занимательный плагин, позволяющий добавлять ссылки на страницы блога в сервис социальных закладок.

Хотя я сам эти сервисы не использую, но не исключаю, что кто-то активно их юзает. Если нужны еще кнопки, сервисов которых нет в перечне плагина - присылайте свои ссылки, попробую добавить.

Спросите, зачем я вобще их добавил сейчас, и как собираюсь использовать? Отвечу - есть планы отправлять ссылки на свои статьи в эти сервисы. Ведь что же это за автор, если его никто не читает?! :о)

И еще, на указанной выше странице, советуют добавить в style.css своего шаблона класс addzakl, строчкой:

div.addzakl {text-align: center; margin: 10px 0;}

Я так понимаю, чтобы по центру колонки было. Дело вкуса, мне понравилось как есть.

P.S. Дополнение от 18.12.2009.
Плагин отключен, поскольку толку от него никакого.
Да и от социальных закладок, для этого блога, по большому счету, тоже.

Безопасность - превыше всего

Пятница, 18.07.2008 | Рубрики: безопасность

Я уже писал раньше, про установку прав на .htaccess, но червячок паранойи продолжает грызть мой несчастный мозг, только установив движок, я уже начитался про то какой он дырявый. Многие адепты движков Drupal и Joomla считают WordPress огромной дырой в безопасности сайта. Возможно. Только если у вас появилась дыра в зубе - вы же не спешите его выдергивать и ставить протез, если порезали палец или ногу – вы не отрезаете себе эти конечности, чтобы избавиться от порезов. Надеюсь, вы понимаете, к чему я веду? Да к тому, что нужно защищать свой сайт и по мере возможностей устранять уязвимости. Нужно работать в сети, соблюдая профилактические меры. А взломать можно все, любой движок, любой код и любой сайт, если задаться такой целью и упорно к ней двигаться.

 

Итак – проводим профилактику уязвимостей сайта.

Если переделать слова песни, то «Я спросил у Гугля, я спросил у Яндекса, я спросил у Рамблера, где мое решение?»

Что мне они ответили?

 

1. Anti-XSS attack — предупреждение и защита от XSS-атак блога.

Плагин закрывающий XSS уязвимость

Краткое  описание. При записи данных в wp-admin, проверяется реферер. Если это _GET (то есть в виде url) и реферер не совпадает с адресом вашего сайта, то выполнение скрипта останавливается и выводится ссылка на подтверждение действия.

Если данные передаются в скрытом виде (_POST) и реферер не совпадает с вашим сайтом, то выполнение скрипта прекращается

Форум где обсуждается эта уязвимость здесь. http://forum.maxsite.org/viewtopic.php?id=2936

Скачать последнюю оригинальную версию можно здесь  http://blog.portal.kharkov.ua/2008/06/02/anti-xss-attack/

Примечание: Включите у себя в браузере передачу referer, чтобы самому не попасть под действие плагина.

2. Генерация IP-зависимых cookies

 

Вкратце – плагин делает бесполезным украденные куки(cookies) админа сайта. То есть привязывает их к IP владельца, что значительно снижает возможность взлома.

Примечание : При смене IP нужно разлогиниваться. Противопоказания к плагину round-robin proxy и динамические IP при плохой связи..

Страница с описанием: http://blog.portal.kharkov.ua/2008/05/21/iodized_salt/

 

Скачать:  http://www.portal.kharkov.ua/soft/iodized_salt.zip

 

 

3. Belavir – отслеживание изменений в php файлах движка WordPress

После установки и активации смотрим в «Панели управления» («Доска объявлений»), какие файлы вордпресса изменились. Если вы сами вносили изменения в файлы — тогда просто нажмите кнопку «Сбросить/обновить хэш файлов».Если в какой-то файл внедрен посторонний код (вирус и т.п.) и принять соответствующие меры.

P.S. плагин создает файл my-md5.txt в wp-content/uploads (имя файла можно, я бы даже сказал, что НУЖНО, изменить в самом плагине).

Скачать: Скачайте файл и переименуйте его в belavir.php
http://www.portal.kharkov.ua/soft/belavir.sphp

!!! Примечание: у меня плагин belavir.php так и не заработал, подвесив админку, подозреваю, что что-то с доступами намудрил или сам плагин не совместим с версией 2.6., пожалуй стоит поискать что-нибудь аналогичное, поскольку вещица полезная.

Пока, воспользовался советом из панели управления WordPress, как разблокировать панель после активации плагина: «Если с плагином что-то пойдет не так, и вы не сможете использовать WordPress, удалите или переименуйте файл в директории /wp-content/plugins, и плагин будет автоматически отключен.»

Установка любого из плагинов:

  1. закачать плагин в папку wp-content/plugins/ на своем сайте
  2. активировать.
  3. все.

Общая профилактика:

  • Работая в WordPress – нужно работать только в нем, не нужно бродить по ненадежным сайтам. Это вредно.
  • Прежде чем закрыть браузер – нужно разлогиниться.

Неприятности с Триколором

Пятница, 18.07.2008 | Рубрики: Свое

Пролог

Вот уже больше года, как сделал себе и домочадцам подарок - смотрю спутниковое телевидение. В наших краях телевизионных каналов всего 3 штуки в метровом диапазоне и только месяц назад добавилось 2 дециметровых, поэтому, желание поставить себе спутниковую тарелку созрело само собой. Передает телеканалы ко мне в дом, через ресивер, компания «Триколор» (tricolor.tv). 

Так вот, в июне 2007 года зарегистрировал свой приемник, а через месяц, активировал карту оплаты, у них на сайте, чтобы смотреть платные каналы пакета «Оптимум».

Прошел год, срок подписки истекает, как рачительный хозяин запасся заранее, в ближайшем областном центре, карточкой оплаты на следующий год.

 

Рассказ

Когда наступил час «Ч», платные каналы показывать перестали, пришло время активировать карту. Не тут-то было. За время прошедшее после покупки карточки, до ее активации, оказалось, что мне продали карту «Старт» вместо карты «Оптимум» и по новым правилам активировать старт можно только на новые приемники, продлевать подписку с ее помощью нельзя.

Расстроенный, забрался на форум сайта (forum.tricolor.tv), где много узнал интересного о чутком сервисе этой компании, которая зарегистрировала уже более 2 млн. абонентов, но так и не нашла денег купить приличные сервера, чтобы оперативно обрабатывать их регистрационные данные. Компанию, которая не забывает указывать на картах оплаты «срок годности», но почему-то забывает писать, что карта предназначена ТОЛЬКО для первичной активации. Компании, которая не удосужилась предупредить в форме регистрации на сайте ДО ТОГО, как я сорвал целлофановую упаковку с карты и стер защитный слой с секретного кода, что для продления подписки необходима карта «Оптимум», а для первичной регистрации карта «Старт».

 

Способ исправить ситуацию я кажется, нашел, их похоже, целых два. Возврат карты продавцу уже исключен, так как карточка вскрыта.

 

Итак, активировать карту «Старт» вместо карты «Оптимум» можно:

 Способ №1: Позвонить по платному телефону 8-809-333-10-20 ежедневно с 10:00 до 22:00. Стоимость звонка 18 рублей в минуту. !!!!!!!!!!!!

Тогда, если ресивер зарегистрирован не позже 31.10.2007, если дозвонишься сразу, если без запинки продиктуешь все необходимые данные такие как 12-значный DRE ID приемника, 20-значный номер карты, Ф.И.О., телефон и другие данные указанные при регистрации приемника, если оператор на том конце все поймет с первого раза, карту возможно активируют.

 

Способ №2: (неофициальный) послать письмо со сканом карточки на support@tricolor.tv и с указанными выше данными и ждать. Возможно, очень долго ждать!

Способ №1 оставил на потом, пока выбрал Способ №2,

 Эпилог

А из-за чего все началось-то? Из-за того, что комплекты «Триколор», которые комплектовались картами «Старт» не всегда продавались вместе с этими картами. То есть ушлые дилеры просто изымали «халявные» карточки из комплекта и втюхивали их сверху доверчивым клиентам как бонус за 600-700 рублей. Короче, решила компания прикрыть эту лавочку. Вот таким хитрым способом. Только как быть с тем, что мою карту продавец при мне отрезал от ленты таких же карт, а не вытаскивали втихую из чужой коробки?!!! Почему теперь у меня неудобства, а не у тех дилеров, на которых пришла жалоба?

Эх… Опять, хотели как лучше, а получилось как всегда…

 

 

 

 

Новый шаблон для блога.

Четверг, 17.07.2008 | Рубрики: WordPress

Сегодня пол дня промучился с различными темами для своего проекта.

Была перерыта куча сайтов. Бесплатных, хороших, но англоязычных тем превеликое множество. Жуть как не хотелось заморачиваться с переводом и ковыряться в коде, поэтому выбор пал на заранее руссифицированные темы.

 Поисковик по запросу “темы WordPress на русском” выдал больше 5000 ссылок, как положено начинающему пользователю прошелся только по первой десятке :о) , Посмотрел-пощупал, выбор пал на сайт http://mywordpress.ru/. Движок сделан конечно же на wordpress, удобный поиск по тегам + возможность предпросмотра темы (на остальных сайтах, почему-то все больше попадались скриншотики, явно стянутые с буржуйских вариантов)

Остановился на теме X3me. Ну все чудесно, все понравилось, но немного не устроила картинка-логотип сайта. Зарылся в фотошопе, через 1.5 часа неумелыми и корявыми ручками сочинил себе новый логотип, больше соответствующий теме и названию блога. Cсылку на авторов конечно оставил, постарались ребята из Majordomo, за что им преогромное спасибо. Один минус - у шаблона нет виджетов. Пока обхожусь, уж очень он мне нравится. Кому важно выжать из движка WordPress все, не делайте как я - берите шаблон с виджетами, все таки - это удобная штука. Оригинал этого шаблона и множество других можно откопать на http://themes.mywordpress.ru/

Особенности национальной установки WordPress

Четверг, 17.07.2008 | Рубрики: WordPress

Такой уж я начинающий пользователь, редко читаю инструкции, в погоне за интуитивно понятным интерфейсом. Но в связи с тем, что я и в управлении сайтами как-то не очень, поэтому полез за пошаговыми инструкциями по установке WordPress в поисковик.

По адресу http://www.seonews.ru/masterclass/87/ была обнаружена подходящая статья - на радостях пустился выполнять указания оной, но как говорится… опс… в первой же части вижу совет по установке на файл .htaccess прав 666, ну извините, не нравится мне что-то эта комбинация цифр), поэтому прав файлик получил меньше чем советует автор.  Лучше уж я его руками поправлю, когда прийдет время.

На шаге 2, автор советует установить плагин rus-to-lat правильный совет - одобряю, но по поводу записи в Options(Параметры) -> Permalink(Постоянные ссылки) поле Custom structure (Произвольно) только значения /%postname%/  см.   не согласен, зачем мудрить когда можно нажать Месяц и название и будем иметь структуру ссылок гораздо удобнее, чем планирует автор статьи то есть /%year%/%monthnum%/%postname%/. Править файл .htaccess конечно же прийдется, если не дали ему прав. Если лень править ручками, то как вариант, можно дать права, а потом отобрать.

Немного не ясно с советом создавать папку uploads, а потом заводить там папку год, месяц.

Хотя… Может быть в версии за октябрь 2007 года все это и нужно было делать, возможно. обязательно проверю как с этим обстоят дела сейчас и напишу.

Да, чуть не забыл, ставил я WordPress 2.5.1, но пока заказывал, пока оплачивал хостинг и домен, скоропостижно появилась версия 2.6.  Скачал, конечно.  Как было написано в readme.html - удалил старые, сохранив измененные. Только кто же знал, что WordPress чего-то же меняет у себя при установке, поэтому я тупо сохраняю… Догадайтесь что? Файл wp-config.php - то есть тот файл, что я правил перед тем как установить WordPress 2.5.1, после чего с чистой совестью удаляю все старые файлы и записываю на их место новые.  Запускаю браузере /wp-admin/upgrade.php - вылазит сообщение о ошибке. В итоге, я получаю совершенно не работоспособную систему.

Не повторяйте моих ошибок. Делайте полный backup файлов и базы перед установкой обновлений, тогда вы всегда можете хотябы все вернуть на свое место.