這些文章涉及 WordPress 架站知識,適合 WP Implementers (架站者) 觀看。
用慣了 WordPress repository 裡眾多的外掛,裝了卸、卸了再裝,因為 WordPress 社群裡的基本控管做得不錯,讓人忘卻了防駭的警覺心。(不若過去在網路下載 Windows free software 及 PHP free scripts 時,是時時刻刻具備警覺心的。)
這次碰到問題的外掛,並非下載自 WordPress repository,也不是購自 Themeforest / Codecanyon 或其他的 premium plugins 來源,而是下載自某第三方的外掛下載處。因為該外掛功能不少,所以是在啟用一段時間後,才發現在特定類型的文章前頭,會被硬加入一些令人討厭的英文。
嚴格的說起來,這不是會造成系統傷害的駭客碼,而較屬於存心來鬧的惡意碼 (malicious code)。
從發現到解決,記錄其過程,分享予網友。
資安問題是大哉問,國外此方面經驗豐富,我喜歡邊翻譯邊學習。因此,這篇文章是做翻譯:
原文載於 5 Essential Security Tips to Keep Your Blog Safe at All Times,2017-05-02,作者是 Christopher Jan Benitez。
原文多採用 ‘blog’,我也將其翻譯成「部落格」;建議網友閱讀時視其為泛指所有的 (WordPress) 網站。
做網站維護工作,需要安裝 WordPress 舊版本起來?
開發 WP 商品,需要安裝一堆舊版本 WP 來測試相容性?
看到插件 (plugin) 有新版本,傻傻地、急急忙忙地按了升級,然後網站就因為不相容而當機了。回得去嗎?
。。。。。
WordCamp Europe 預計於下個月 (2017 年 6 月 15~17 日) 在法國巴黎召開。其會議的組織者竟然在此刻寫信給法國新任總統馬克宏,難道是要邀他與會嗎?
我不知道馬克宏是否是 WordPress 粉絲團的一員,但我知道這不是去信給他的原因。真正的原因是,許多要參加 WordCamp 的 W 粉被法國拒給簽証,進不了法國大門,急得 WCEU 的組織者只好去信給馬克宏求救。
難道 WordPress 和恐怖份子有什麼牽扯嗎?讓我們繼續看下去。。。。
WordPress 是基於 PHP 程式語言及 MySQL 資料庫所開發出來的架站平台,所以只要主機支援 PHP 及 MySQL,就可以跑 WP。
但是累積了自己使用、並協助一些客戶處理問題的經驗後,發現一些主機方面的機能細節,仍會對日後使用有所影響。
並多去看了一些國外對此問題的文章,稍加彙整。
WordPress Core 的思維是自己是基礎平台,而不是應用軟體。
所以當用戶想要上傳替換一個在媒題庫已存在的檔案時,WP 不知道用戶的意圖是取代或是另存新檔、且不知要如何看待既已用到該媒體的文章,所以一律另存一個檔名於媒體庫先。這會造成後續不少的操作需要「多一道工」。
採用類似 Enable Media Replace 的插件,有助於協助使用者省工。
WordPress 原生的編輯器,雖有 Visual (架在 Tinymce 上) / Text 兩種 modes,卻仍常被人唸用起來會卡卡的。
此部分歸 WordPress Core Editor 團隊管理,因此他們進行了此問券。
原先準備定為 v2.7,且是計畫於三月就上架的,但因為更新步伐較大,因此改稱 v3.0。
此版本代碼 (dubbed) 是 Bionic Butterfly,翻成中文是「仿生蝴蝶」(機器蝴蝶) 的意思。