WordPress 2.6.5 发布了
刚刚登陆WordPress 后台的时候,系统提示:WordPress 2.6.5 is available! Please update now,我赶紧到WordPress 官方博客查看具体消息,以下引用官方原文:
WordPress 2.6.5 is immediately available and fixes one security problem and three bugs. We recommend everyone upgrade to this release.
The security issue is an XSS exploit discovered by Jeremias Reith that fortunately only affects IP-based virtual servers running on Apache 2.x. If you are interested only in the security fix, copy wp-includes/feed.php and wp-includes/version.php from the 2.6.5 release package.
2.6.5 contains three other small fixes in addition to the XSS fix. The first prevents accidentally saving post meta information to a revision. The second prevents XML-RPC from fetching incorrect post types. The third adds some user ID sanitization during bulk delete requests. For a list of changed files, consult the full changeset between 2.6.3 and 2.6.5.
大致的意思就是说WordPress 2.6.3 版本存在一个重要的XSS 安全问题,建议2.6.3 版本用户升级至2.6.6 以修复该安全问题和其他三个相关Bug,具体更新方法:
下载wordpress 2.6.5 找到wp-includes/feed.php 和 wp-includes/version.php 这两个文件,上传直接替换即可。
Sino Blog 已经更新至2.6.5,等待WordPress 2.7 正式发布。
作者:蓝兔
原文链接:WordPress 2.6.5 发布了
Sino Blog 版权所有,转载时必须以链接形式注明作者和原始出处及本声明。
等wordpress 2.7出来后再升级了
Good. I finished my upgrades the day before.
问一个关于评论之星的问题: 你的这个 WP 插件的工作原理你可有了解?
它是不是以留下的网址来甄别相同评论者而不是以评论者名字?
如果评论者没留下链接它该怎么办, 滤去该评论者? 我见到你的评论之星上榜者都是有链接的.
还有它是怎么取得评论者链接的? 如果有人冒上榜者之名写自己的链接这个插件是否有防范机制?
尽管我刚才也给我的Z-Blog插件设计了防冒名机制, 但我也想知道这个 WP 插件是怎么做的.
我没装有 WP, 找相关资料, 调试插件都很麻烦, 所以来咨询一下你, 谢谢~
haphic:
评论之星插件名称是Show Top Commentators,我简称STC,对于这个插件,以下是我的理解:
1. STC不是以留下的网址来甄别相同评论者;
2. 即使评论者发表评论的时候,如果不留下网址链接的话也可以上榜的,这个我测试过;
3. STC应该是建立在WordPress 本身反垃圾功能基础上遍历数据库的;
4. WordPress 要求每一个评论者发表评论的时候都必须留下Email 地址,Email 地址是不会被公开的,每一条来自于不同Email 的评论都必须经过后台审核,被审核通过的Email 下次发表评论的时候不需要再审核;
5. 如果我“蓝兔”要冒名顶替“haphic”留言,但是我不知道haphic已经被审核通过的Email地址,所以即使我以haphic发表评论的话,也要经过管理后台审核的。
STC 插件地址在这里:http://www.pfadvice.com/wordpress-plugins/show-top-commentators/
希望我的回复对你有启发,呵呵~~
对哦, WP 强制填定 Email, 而且不公开, 这个在验证评论时可有很大的作用啊. Z-Blog 就不行了. 看来也只有遍历所有链接这个法子了. 谢谢小S的回复.
这个思路也可以用到Z-Blog 反Spam 上嘛~~
我现在都懒得升级。