From：vul.kr

It had been published that wordpress 2.8 All version are suffering from Xss,attackers can use this to do fishing,they make a wordpress login page as it is your own.If you don’t take care,your password will be sent to the attacker’s website.With your password,they can edit pages and upload webshell.It is harmful.

How is the attacker do this?
they insert website url like this(in the comments write place):

http://www.st0p.org’onmousemove=’location.href=String.fromCharCode(104,116,116,112,58,47,47,119,119,119,46,118,117,108,46,107,114,47,63,112,61,53,54,57);

If someone(or administrator) moved his mouse on the author’s website.It will jump to another URL,which is a fishing page.

How can we patch it?Edit wp-comments-post.php go line 40 and then add:

1
2
3

$comment_author_url = str_replace(chr(39),”,$comment_author_url);
$comment_author_url = str_replace(chr(59),”,$comment_author_url);
$comment_author_url = str_replace(chr(44),”,$comment_author_url);

以前老BLOG用过此插件,不过新开这个BLOG的时候没注意,最近发代码的时候WordPress总是在前面访问的时候把英文的标点符号从半角转为全角.这样看代码和复制代码的时候就带来了困难了..

有了 Quotmarks Replacer就可以解决问题了.

插件下载地址:http://sparanoid.com/wordpress/quotmarks-replacer-120-beta-released/

当你发图的时候,第一次只发一张图,然后不提交文章,接着发第二张图的话就会出现问题了...

发过第一张图后,在点Add a Image按钮就会直接把第一次发的图重新插入一次...并不提示添加图的那个界面.郁闷.不知道别人有没有这个问题...但如果一次只传一张,然后发布,重新修改的话,添加图片又可以加了,不过也是只能添加一次...第二次就不行了~!

今天登陆BLOG,发现WordPress提示升级为2.7,然后就直接升级了...嘎,可爱的FLASH多文件上传又能用了..不过感觉新后台速度有点慢哦...

整个后台界面完全变化了,看起来还不错哦...还加了不少新功能,如下:

Comments API – 对我来说，这是最让人兴奋的功能， 它将允许开发者创建离线的留言管理应用，也就是说我们能够以此开发出一些桌面版的客户端，可以对留言进行编辑、审核、回复、删除等操作。

Keyboard shortcuts for comment moderation – 此功能将帮助用户迅速处理留言，用户可以自定义快捷方式。比如，按 Ctrl + S 删除垃评论，按下 Ctrl  + A 审核留言等。

Theme Update API – WordPress 2.5 以后的版本已经在插件管理上变得很容易，你可以自动收到插件更新提示并自动更新到最新版本。 新版的 WordPress 将会弥补主题和插件上的差距，届时我们将会看到主题更新甚至一键升级。

One Click Plugin Installs – 一键安装插件将使插件安装变的更加容易。这个功能通过 One Click Plugin 这个插件完成，而这个插件正是去年插件大赛的冠军。

WordPress core updates – 这是很多用户期待已久的应用，通过更新内核你可以轻松的升级 WordPress 到最新版本，这和 WordPress Automatic Upgrade 这个插件完成一样的功能。

Default Sitemaps – WordPress 2.7 将内置网站地图生成器， 可以为你的博客自动生成 Google XML sitemaps 。 Google Sitemaps Generator 目前是实现这一功能的最好选择，不过到时候这个优秀的插件可能就要退休了。

Admin Panel Comment Replies - 这个插件将帮助你在控制台完成留言回复。当然现在已经有很多这方面的插件，例如 WP AJax Edit Comments ， Better Comments Manager 和 Absolute Comments 。

Comment Threading – 这个功能使用户直接回复留言者的留言， WordPress 现在已经有能力在不修改数据库的前提下实现留言回复。这个功能也可以通过 Brian’s Threaded Comments 插件完成。

Subscribe to Comments –  WordPress 团队的开发计划中还包括了一个允许订阅评论的开发计划，但是是否实现已久还在讨论中，所以可能不会出现在 WordPress 2.7 中。 当然 Subscribe to Comments 也可以完成这项任务。

Widgets for Dashboard and Write Box – 这项应用允许用户自由安排在控制面板和编辑器中的 widgets 以便提升效率。

Batch Editing of Posts – 用户可以对他们的文章进行群编辑。不过这方面的应用现在还没有一个比较详细的介绍。

发现自己的WordPress后台的Flash上传功能失效了,郁闷,查了一下才发现....

这两天在后台上传图片时一直无法使用WordPress的Flash上传工具（SWFUploader），点击了Upload之后没有任何反应，只好暂时使用Browser Uploader。因为这个问题正好发生在重装了系统之后，所以怀疑是新安装的Flash Player 10的问题，搜索了一下之后发现果然如此。

这是一个很古老的问题了，具体的原因是：Flash Player 10出于安全性的考量对调出文件浏览对话框的条件进行了升级，只有用户进行了直接性的交互操作才能激活文件浏览对话框，比如鼠标点击Flash上传按钮，这是为了防止恶意代码打开文件浏览窗口，可能会导致用户在无意中上传某些敏感信息给第三方服务器。

而WordPress的上传工具SWFUploader采取的是Flash+JavaScript组合，它的上传按钮只是一个HTML式的按钮，点击上传按钮后会激活一段JavaScript代码让Flash打开文件浏览窗口，在Flash看来这是一个间接操作，因此导致错误。

除了WordPress之外，这个问题还影响到Flick、Zooomr等图片/视频分享网站的上传操作。

目前SWFUPloader的2.2.0版本已经解决了这个问题，似乎采取的是直接使用Flash按钮的模式，避开了Flash Player的安全问题。不过WordPress里的SWFUPloader还没有升级到这个版本。WordPress 2.8的功能介绍中表示将会创建一个基于Flash 10的上传工具，估计等到2.8才会彻底解决这个问题。

现在解决这个问题要么从SWFUPloader下手，要么从Flash下手，所有有两种解决方案：

1.下载一个SWFUPloader补丁，解压后覆盖原文件即可。

搞定后按钮变得很丑陋，不过只要功能OK，后台变丑也无所谓啦。如果实在看着不爽也可以自己修改一下images文件夹里面的那个png图片。

2.卸载Flash Player 10，安装Flash Player 9。

首先需要下载一个官方的卸载工具，然后下载Flash Player 9后安装即可。

转自:http://www.digglife.cn/articles/flash-player-10-swfupload-error.html

wp-url-rewriting.dll

下载地址：http://code.google.com/p/wp-url-rewriting-on-iis/downloads/list

这是位好心的牛人专门为工作于iiS中的WP写的ISAPI rewrite组件，用它您根本就不用写rewrite规则，您只需要将其加载到您的ISAPI中，然后进wp后台定义自己的permalinks即可。假如你用的是虚拟主机的话，您可以联系您的空间商让其为您添加上这个组件。从此您的WP也可以完美rewrite了。

注意：本文还没有完呢！

当我们定义好permalinks后，可能您会发现，我们点击中文标量的文章链接时说找不到网址。

例：http://www.lixiaopeng.org/tag/%e7%99%be%e5%ba%a6/

这是因为：WP的编码为utf-8，而这篇文章的URL中Slug(上链接红色部分)编码为gbk。然后WP取得文章Slug后，通过它来查找文章就会找不到！因为编码不同呀。

更改方法：
注意单引号替换成正确的.WORDPRESS在我发的时候自动替换成了全角.

wp-include/classes.php中(44-50行)

if ( isset($_SERVER['PATH_INFO']) )
$pathinfo = $_SERVER['PATH_INFO'];
else
$pathinfo = '';
$pathinfo_array = explode('?', $pathinfo);
$pathinfo = str_replace("%", "%25″, $pathinfo_array[0]);
$req_uri = $_SERVER['REQUEST_URI'];

替换为下(转换$_SERVER['PATH_INFO']和$_SERVER['REQUEST_URI']的编码)：

if ( isset($_SERVER['PATH_INFO']) )
$pathinfo = mb_convert_encoding($_SERVER['PATH_INFO'], 'utf-8′, 'GBK');
else
$pathinfo = ";
$pathinfo_array = explode('?', $pathinfo);
$pathinfo = str_replace("%", "%25″, $pathinfo_array[0]);
$req_uri = mb_convert_encoding($_SERVER['REQUEST_URI'], 'utf-8′, 'GBK');

这个操作的意思就是：将Slug的编码由GBK转换为utf-8(您也可以用iconv，或是其它的函数来代替mb_convert_encoding)。

按照官方的说明，WordPress 2.7正式版在月底发布，就快了。而同时，WordPress 2.6.5也于今天发布. 这个版本修正了一个安全问题和三个bug。

安全问题是一个XSS漏洞，不过这个漏洞只会影响到基于IP的虚拟主机上面运行的Apache 2.x，如果你只是想安装安全补丁，上传wordpress 2.6.5中的wp-includes/feed.php 和 wp-includes/version.php 覆盖即可。

除了XSS漏洞，还包括三个很小的BLUG. 值得注意的是这次的发布跳过了2.6.4版本，而从2.6.3直接到 2.6.5。

1. 防止日志元信息意外地写入到修订版本之中
2. 防止 XML-RPC 获取错误的日志类型
3. 在批量删除前对用户 ID 进行检查过滤