Сообщество разработчиков WordPress объявило о выпуске новой версии одноименной системы управления сайтами (CMS), получившей индекс 5.0 и распространяемой под лицензией GNU GPL с открытыми исходными кодами.

Новый веб-редактор WordPress 5.0

Ключевым новшеством WordPress 5.0 (кодовое имя Bebo) является новый визуальный интерфейс редактирования Gutenberg, реализующий «блочный» подход к вёрстке публикаций и созданный с прицелом на начинающих пользователей. Для возврата к классическому веб-редактору участники проекта советуют использовать плагин Classic Editor, доступный для бесплатного скачивания в магазине расширений для CMS. В числе прочих доработок платформы фигурирует обновлённая тема оформления Twenty Nineteen. С полным списком реализованных в системе изменений можно ознакомиться по этой ссылке.

WordPress позиционируется разработчиками, как удобная и мощная платформа для создания любых типов ресурсов: от микросайтов и блогов до порталов и крупных социальных проектов. Система допускает установку дополнительных модулей, расширяющих базовые функции CMS, и поддерживает локализацию интерфейса для различных языков, включая русский. Дистрибутив продукта и дополнительные сведения о программном решении представлены на сайте проекта wordpress.org.

Рейтинг CMS по версии iTrack

Согласно последним исследованиям компании iTrack, WordPress является наиболее востребованной платформой в российском сегменте сети (42,8 % от общей доли систем управления сайтами) за которой следует Joomla (15,2 % рынка). Третью позицию по числу инсталляций занимает коммерческое решение «1С-Битрикс» (9,8 %), четвертую — система OpenCart, контролирующая примерно 4 % российского рынка CMS.

Несколько дней назад была зафиксирована автоматизированная массовая атака, направленная на сайты на движке WordPress. Учитывая, что он применяется примерно на 30 % из десяти миллионов крупнейших сайтов, это можно считать серьёзной проблемой. Под угрозой оказались ресурсы со старой версией движка. А для атаки используются различные уязвимости в самом WordPress и плагинах к нему.

xakep.ru

В частности, это файлы JavaScript с расширением .js, php-файлы с темами и плагинами WordPress, а также записи из таблицы wp_posts в базе данных. Во все эти файлы интегрируется вредоносный компонент, который после выполнения запускает загрузку скрипта с ряда сайтов. Для защиты от этого рекомендуется обновление самого движка с плагином до последней версии. Также крайне желательно провести проверку баз данных и критичных файлов системы. 

В результате этого пользователя перенаправляют на сторонние мошеннические ресурсы, где предлагают установить якобы антивирус, позвонить по определённому телефону или указать параметры своей учётной записи. Также используются более изощрённые методы вроде блокировки перемещения курсора, чтобы пользователь не закрыл вкладку.

malwarebytes.com

Отметим, что движок WordPress по-прежнему лидирует на российском рынке. По состоянию на март текущего года, эта CMS была обнаружена почти на половине ресурсов в российском сегменте Интернета. В анализе учитывали более 5,4 миллиона доменов второго уровня. При этом пока не уточняется, какие страны более подвержены уязвимости.

Вместо того, чтобы конкурировать с Google Docs, система управления содержимым сайта WordPress собирается интегрировать популярный текстовый редактор, позволив пользователям публиковать материалы на своих сайтах прямо через него. Благодаря этому должен упроститься процесс ведения совместной работы с другими людьми, поскольку Google Docs уже давно стал стандартным средством редактирования документов в реальном времени.

Более четверти сайтов в Сети работают на WordPress. Другими словами, миллионы людей ежедневно используют интерфейс платформы для публикации статей в своих блогах. Несмотря на то, что интерфейс этот можно настроить полностью под себя, не имея при этом каких-то особых навыков написания кода, люди всё равно обращаются к другим сервисам и приложениям для создания своих публикаций. Одним из таких приложений является Google Docs.

Также важно отметить, что WordPress не позволяет вести совместную работу над документами в режиме реального времени. Если кто-то хочет взглянуть на работу, прежде чем она будет опубликована, то автору сначала необходимо выйти из редактора. В таких случаях Google Docs является куда более мощным инструментом, поскольку через него редактировать текст могут одновременно несколько пользователей.

Благодаря нововведению черновой вариант работы, созданный в Google Docs, теперь можно отправить прямо на сайт на базе WordPress. При этом черновик сохранит весь присутствующий в нём контент — например, изображения. После этого его можно обновлять прямо через Google Docs.

Чтобы воспользоваться новой возможностью, необходимо установить бесплатное расширение, а затем открыть его, используя меню «Дополнения» в Google Docs, и привязать к сайту. 

Команда разработчиков WordPress, популярной системы управления сайтами (Content Management System, CMS), сообщила о выпуске обновления 4.7.2 и устранении трёх критических уязвимостей в коде платформы.

Первый баг позволял злоумышленникам получать доступ к компонентам пользовательского интерфейса CMS и был связан с функцией Press This, используемой для публикации постов. Вторая проблема была связана с классом WP_Query, используемым для получения доступа к переменным и функциям в ядре WordPress. Суть её заключалась в том, что при передаче «небезопасных» данных система становилась уязвимой для внедрения SQL-кода. Последняя брешь позволяла киберпреступникам использовать CMS для проведения атак типа XSS (Cross-Site Scripting — «межсайтовый скриптинг»).

Обновление безопасности системы вышло всего спустя две недели после выпуска патча под номером 4.7.1, исправившего восемь уязвимостей, которые могли позволить злоумышленнику осуществить удалённую атаку, включая баги, связанные с межсайтовым скриптингом, удалённым выполнением кода в PHPMailer и межсайтовой подделкой запросов.

WordPress 4.7.2 можно загрузить вручную или автоматически через панель управления системы. Также обновление автоматически устанавливается на сайты, поддерживающие такую функцию.

Все блоги на платформе WordPress теперь поддерживают полноценную работу с виртуальной реальностью, а точнее — с 360-градусными фотографиями и видеороликами. Просматривать их можно на компьютере, мобильном устройстве или через шлем виртуальной реальности.

Естественно, то, насколько глубоко пользователь может погрузиться в виртуальную реальность, зависит от того, как он заходит на сайт. Например, при просмотре сайта через настольный браузер можно будет менять обзор с помощью мыши — то же самое уже давно можно делать с контентом в YouTube и Facebook. Но если к компьютеру подключен шлем виртуальной реальности, то осматривать разные уголки 360-градусных фото и видео можно движениями головы.

Просмотр VR-контента на мобильных устройствах — это что-то среднее между просмотром на компьютере или через шлем. WordPress может использовать гироскоп телефона или планшета, чтобы фотографии или видеоролики реагировали на движения устройства в пространстве. Если поместить смартфон в нечто вроде картонных очков виртуальной реальности Google Cardboard, то можно получить практически тот же самый опыт использования, что и через полноценный шлем. Впрочем, даже просто удерживая телефон в воздухе и перемещаясь с ним по помещению, можно получить куда больше впечатлений, чем при просмотре 360-градусного контента через браузер с помощью мыши.

Для обеспечения таких возможностей WordPress использует технологию с открытым исходным кодом WebVR, позволяющую браузерам отображать VR-контент. По словам разработчиков, блоги на базе их платформы ежемесячно посещаются 409 миллионами пользователей, поэтому возможность просматривать фото и видео в режиме виртуальной реальности открывается огромной публике.

Платформа WordPress объявила о добавлении поддержки HTTPS-шифрования на все свои сайты. Касается это как личных доменных имён, так и блогов с доменом wordpress.com. Стоит отметить, что многие социальные сервисы вроде Facebook и Twitter поддерживают вышеуказанный протокол уже довольно давно, однако владельцы сайтов под управлением WordPress с личными доменами до недавнего времени обходились без HTTPS.

В 2014 году поддержка протокола шифрования появилась у поддоменов WordPress — однако ими всё и ограничилось. Трудность заключалась в том, что для перехода на HTTPS разработчикам платформы требовались сертификаты для всех доменных имён.

Благодаря проекту Let’s Encrypt переход на HTTPS-шифрование стал значительно проще и легче. Теперь у каждого сайта на базе WordPress есть свой SSL-сертификат. Примечательно, что Google отдаёт преимущество именно сайтам с HTTPS, поэтому сайты на WordPress теперь должны отображаться в результатах поиска выше, чем раньше.

Для перехода на HTTPS администраторам сайтов не нужно совершать никаких лишних телодвижений — весь процесс полностью автоматизирован. 

Пользователи, постоянно читающие новости через Facebook, наверняка не раз сталкивались с так называемыми «мгновенными статьями» (Instant Articles), позволяющими очень быстро загружать материалы на мобильных устройствах. Пока такая возможность доступна лишь ограниченному числу издательств, но с 12 апреля технология станет доступна всем, включая блогеров. Facebook объединилась с корпорацией Automattic, известной благодаря созданию сервиса WordPress, чтобы позволить блогерам по всему миру делиться в социальной сети своими статьями, которые будут загружаться в 10 раз быстрее, чем обычно.

В частности, две компании объединили усилия для создания плагина с рядом встроенных в него инструментов, позволяющих подготовить блог на базе WordPress к глобальному запуску «мгновенных статей». Среди этих инструментов — возможности, позволяющие блогерам публиковать автоматически проигрываемые видеоролики и создавать галереи с функцией увеличения изображений простым нажатием на них пальцем. Все эти инструменты позволят сделать публикации в блогах куда более привлекательными.

Для Facebook это очень важный шаг, особенно если учесть, что на WordPress сейчас работает более четверти сайтов в Интернете. Компания заверила, что её плагин будут поддерживать все стандартные шаблоны, однако также предупредила, что если владелец сайта изменял свои шаблоны, то ему придётся настроить плагин для его оптимальной работоспособности. 

Каждый четвёртый сайт в Интернете используют систему управления контентом WordPress, сообщает компания W3Techs, опираясь на своё последнее исследование. С учётом того, что по состоянию на конец первой недели ноября 2015 года 57,4 % всех ресурсов Всемирной паутины вообще обходятся без CMS, WordPress является безоговорочным лидером среди аналогичных решений с долей в 58,7 %, оставляя далеко позади таких конкурентов, как Joomla (6,6 %), Drupal (5,0 %) и Magento (2,9 %).

Рынок систем управления контентом в ноябре 2015 года

Статистика использования сайтами различных CMS

Впрочем, данный показатель не является самым высоким за всю историю WordPress. Если обратиться к статистике прошлого года, то можно обнаружить, что её доля в последнее время даже немного сократилась, ведь в октябре 2014 года она достигала 61 %, да и затем на протяжении почти целого года держалась на уровне выше 60 %.

Рынок систем управления контентом за последние три года

Заметим также, что для получения информации по использованию той или иной системы управления контентом W3Techs проанализировала не весь Интернет, а 10 миллионов наиболее посещаемых сайтов согласно данным рейтинга Alexa за последние три месяца. При этом в исследовании не принимали участия поддомены и домены, на которые трафик перенаправляется с другого адреса (яркий пример — Sun.com и Oracle.com).

Критические уязвимости, обнаруженные в популярной системе управления сайтами WordPress, поставили под угрозу миллионы сайтов по всему миру, сообщает портал Ars Technica.

Две серьёзные уязвимости, позволяющие злоумышленникам взломать любой сайт под управлением WordPress, были выявлены финской компанией Klikki Oy. Благодаря им хакеры могут получить контроль над административной панелью и даже над веб-сервером, на котором запущен WordPress. 

Hoch Zwei/Corbis

Под угрозой, в первую очередь, оказалась последняя версия системы — WordPress 4.2. Обе уязвимости принадлежат к классу межсайтового скриптинга (XSS) и связаны с ошибками в секции комментариев.

Для того чтобы получить контроль над сайтом, хакерам достаточно скопировать вредоносный код в секцию комментариев любого сайта, использующего WordPress. После этого комментарий должен быть дополнен любыми символами до 66 000 знаков, что сделает его размер равным 64 Кбайт. Такой размер базе данных WordPress обработать не под силу, поэтому комментарий будет опубликован в усечённом виде и будет содержать вредоносный скрипт. Вслед за этим у злоумышленников появится возможность запускать любой код на веб-сервере страницы.

arstechnica.com

Имея возможность запускать вредоносный код на сайте, хакеры за очень короткое время могут получить полный контроль над сайтом.

В течение двух часов после обнаружения уязвимости WordPress выпустила патч с исправлениями для версии 4.2.1. Сайты, использующие более раннюю версию системы, по-прежнему остаются под угрозой.

Одни из самых популярных в наши дни систем управления содержимым сайтов и блогов — WordPress (с версии 3.5 по 3.9) и Drupal (с 6.x по 7.x.) — оказались подвержены очень опасной уязвимости, нарушавшей дальнейшую исправную работу сервера. По данным компании Salesforce.com, деятельность которой построена вокруг решения вопросов кибербезопасности, обнаруженная программная лазейка позволяла осуществить хакерскую атаку на интернет-ресурс и практически моментально заблокировать его работу при помощи лишь одного XML-документа.

В качестве оружия виртуального злоумышленника мог выступить небольшой файл размером с пару сотен килобайт, который в конечном итоге превращался в многогигабайтный документ и загружал всю доступную память сервера. После такого функционирование в привычном режиме становилось затруднительной задачей, а выбранный для атаки сайт на WоrdPress или Drupal практически моментально выводился из строя. 

Представители компании Salesforce, чтобы наглядно проинформировать общественность о существующей опасности для популярных «движков», позволяющих группировать контент и предоставлять инструменты для удобного создания и редактирования содержания страниц сайта, выложили в Сеть видеоподтверждение наличия уязвимости.

Очередное обновление получила популярная система управления содержимым сайта WordPress. Самый свежий пакет обновлений строго рекомендуем для скачивания, так как содержит целый ряд критически важных «заплаток». Новая версия WordPress 3.8.2 устраняет уязвимость, из-за которой злоумышленник мог получить доступ к сайту на базе данной CMS с помощью возможности модификации файла cookies. Уязвимость обнаружил (Джон Кейв) Jon Cave — разработчик из службы безопасности проекта WordPress.

Помимо означенного исправления, новая версия системы содержит 9 критически важных исправлений. Среди них — устранение возможности получения прав на публикацию записи под правами участника. Обновление ядра WordPress должно произойти автоматически, если это предусматривается правами, которые предоставляет хостинг-провайдер. Также до версии 3.8.2 можно обновиться автоматически через консоль управления. Разработчики также напоминают, что тестовая версия WordPress 3.9 уже содержит в себе вышеуказанные обновления.

Компания iTrack опубликовала новый рейтинг систем управления сайтами (Content Management Systems, CMS), составленный на основе анализа более 4,2 млн доменов в российском сегменте сети.

Согласно представленному аналитиками отчету, CMS была обнаружена на 18,6% онлайновых площадках. Самой востребованной платформой в Рунете оказалась Joomla (31,7% от общей доли систем управления сайтами), за которой с незначительным отрывом расположилась WordPress (30,8% рынка). Третью позицию по числу инсталляций заняла платформа DataLife Engine (8,1%), четвертую — коммерческое решение «1С-Битрикс», контролирующее 7,7% отечественного рынка CMS.

Результаты проведенных исследований свидетельствуют о том, что доля платных тиражных CMS составляет примерно 13,4% от общей доли CMS в Рунете. При этом лучший рост за последние три года показали платформы Joomla, Drupal, MODx, «1С-Битрикс» и UMI.CMS.

С развернутым отчетом специалистов iTrack, а также подробной информацией о методике сбора и анализа данных можно ознакомиться по ссылке itrack.ru/research/cmsrate.

Материалы по теме:

• Яндекс перенесет хостинг Narod.ru на платформу uCoz;
• Организовавший атаку на сайт Президента РФ хакер предстанет перед судом;
• Сетевой камуфляж: семь способов сохранить инкогнито в интернете.

Источник:

• itrack.ru

В связи с ростом рынка компьютеров, также увеличивается и количество существующих ботнетов, которые используются хакерами для атак на популярные сайты. По данным The Verge, хакеры использовали ботнет, состоящий из более чем 90 тысяч компьютеров, для подбора пароля для блогов, в основе которых лежит движок WordPress.

Представители провайдера CloudFlare сообщили, что лишь за один час им удалось заблокировать более 60 млн запросов от обнаруженного ботнета.

Для предотвращения возможного взлома методом простого перебора возможных паролей специалисты рекомендуют всем владельцам блогов и сайтов с WordPress сменить собственные пароли на максимально надёжные. Использование таких паролей сможет существенно увеличить время, необходимое для взлома сайта.

Материалы по теме:

• Опасный троянец BackDoor.Bulknet.739 заражает по 100 компьютеров в час;
• Российские хакеры взломали Uplay и украли Far Cry 3: Blood Dragon;
• Хакеры атаковали серверы разработчиков Rock Band;
• Хакеры из Anonymous объявили «войну» Северной Корее;
• Серверы The War Z взломали.

После нескольких месяцев затишья выпущена новая версия бесплатной системы управления контентом (CMS) сайта WordPress. Это – одна из самых популярных CMS, которая используется, в основном, для сайтов-блогов. WordPress работает на PHP и MySQL и распространяется по лицензии GPL. Среди возможностей системы можно отметить регистрацию пользователей, скрытие комментариев от определенных групп посетителей, создание групп пользователей с разными правами, импорт данных из популярных блогов, в том числе из Blogger.

В последней версии представлен новый менеджер управления медиаконтентом, изменена тема, используемая по умолчанию, улучшена поддержка дисплеев Retina и сенсорных устройств в админ-панели.

Скачать русскую версию WordPress можно отсюда.

Материалы по теме:

• DataLife Engine 9.7: новая версия популярной CMS;
• Joomla 3.02: исправление ошибок в бесплатной CMS.

Источник:

• ru.wordpress.org