Poważna luka bezpieczeństwa we wtyczce W3 Total Cache

W serwisie SecuPress pojawiła się informacja o luce bezpieczeństwa w popularnej wtyczce W3 Total Cache. Luka ta umożliwia wykonanie ataku XSS (Cross-site scripting) w panelu administracyjnym. Problem jest o tyle poważny, że z rozszerzenia tego aktywnie korzysta grubo ponad milion stron (dokładnych danych oczywiście brak), a autor nie wydaje się być zainteresowany dalszym rozwojem wtyczki.

Mimo że luki tej nie należy lekceważyć, to szum, jaki został wokół niej wywołany, ma nieco kontrowersyjne podłoże.

Aktualizacja 26.09.2016: pojawiła się wersja 0.9.5 wtyczki, która poprawia między innymi opisywany we wpisie błąd.

Czytaj dalej → komentarzy 21

Jak sobie radzić z użytkownikami AdBlocka

Prawdopodobnie nikt z nas nie lubi oglądać reklam na stronach internetowych, podobnie jak nikt nie lubi oglądać filmów przerywanych co 20 minut 10-minutowym blokiem reklamowym. Dlatego powstał AdBlock – narzędzie (a raczej „narzędzia” – bo jest ich więcej) do blokowania reklam na stronach internetowych, które „czyści” je z wszelkiego rodzaju banerów i innych elementów reklamowych.

I mimo że wizja internetu bez reklam wydaje się świetna, to nieco mniej zadowoleni z popularyzacji AdBlocka są ci właściciele stron internetowych, którzy zarabiają właśnie na reklamach. Według Digital News Report 2016 aż 38% polskich użytkowników internetu korzysta z jakiegoś narzędzia do blokowania reklam (w czym notabene jesteśmy światowymi liderami). To ogromna liczba i ogromny problem zarówno dla dużych wydawców, jak i dla właścicieli mniejszych serwisów internetowych i blogów.

Użytkownicy WordPressa mają do dyspozycji kilka narzędzi pomocnych w walce z osobami blokującymi reklamy na stronach internetowych. Musimy mieć jednak świadomość, że jest to walka z wiatrakami.

Czytaj dalej → komentarzy 20

WP Safe Updates – bezpieczne testowanie aktualizacji wtyczek

O konieczności regularnego aktualizowania używanych wtyczek nikomu chyba nie trzeba przypominać. W praktyce jednak zdarza się, że świadomie nie uaktualniamy niektórych rozszerzeń – najczęściej z obawy o problemy, jakie mogą wystąpić na naszej stronie po zainstalowaniu nowej wersji wtyczki. Dotyczy to głównie rozbudowanych rozszerzeń (takich jak na przykład WooCommerce), których aktualizacje zawierają mnóstwo zmian, w tym również takich, które mogą spowodować problemy z kompatybilnością z używanym przez nas motywem lub innymi wtyczkami.

Najprostszą metodą na sprawdzenie, co się stanie po aktualizacji rozszerzenia, jest zrobienie kopii całej strony i przetestowanie jej działania po wykonaniu uaktualnienia. Jest to sposób stosunkowo łatwy, a jeśli kopię zrobimy na tym samym serwerze, to mamy praktycznie stuprocentową pewność, że wszystko będzie działać dokładnie tak samo, jak na naszej „prawdziwej” stronie.

Co jednak, gdy nie możemy lub nie umiemy wykonać kopii strony, a liczba wtyczek wymagających uaktualnienia zaczyna spędzać nam sen z powiek? Wtedy z pomocą może przyjść wtyczka WP Safe Updates, która pozwoli nam przetestować aktualizację dowolnego rozszerzenia bezpośrednio na naszej stronie, bez obawy o to, że coś popsujemy.

Czytaj dalej → komentarze 3

Integracja WooCommerce z Allegro + konkurs

WooCommerce zdobywa w Polsce coraz większą popularność, jednak do upowszechnienia się tej platformy e-commerce niezbędne jest dostosowanie jej do naszych rodzimych realiów. Z bramkami płatności czy formami wysyłki większych problemów już nie ma – są dostępne wtyczki dla praktycznie wszystkich liczących się usług. Największym minusem WooCommerce był brak wygodnego narzędzia do integracji z serwisem Allegro, gdzie swoje produkty sprzedaje duża część właścicieli sklepów internetowych. Napisałem „był”, ponieważ kilka tygodni temu ekipa WP Desk zaprezentowała owoc prawie dwóch lat pracy – wtyczkę Allegro WooCommerce, pozwalającą na wygodne zarządzanie aukcjami bezpośrednio z poziomu panelu administracyjnego sklepu.

Konkurs (zakończony)!

Dzięki uprzejmości WP Desk mam do rozdania 3 licencje na wtyczkę Allegro WooCommerce. Szczegóły w dalszej części wpisu.

Czytaj dalej → komentarze 22

Jak pozbyć się nieistniejących shortcode z treści wpisów

Każdy, kto korzysta z WordPressa, na pewno nie raz używał shortcode. Są to specjalne znaczniki wstawiane do treści wpisów, które generują fragmenty kodu HTML. Sam WordPress posiada kilka wbudowanych shortcode (np. `[gallery]` do wstawiania galerii czy `[video]` do osadzania filmów), ale wtyczki i motywy mogą rejestrować własne.

Oczywiście po usunięciu wtyczki lub motywu wszystkie dodane przez nie shortcode przestają działać i w treści wpisów zamiast na przykład efektownego przycisku zobaczymy znacznik w stylu `[super-przycisk]`. Problem nie jest wielki jeśli nasza strona ma kilka lub kilkanaście wpisów, ale jeśli pozbywamy się jakiejś wtyczki lub zmieniamy motyw na blogu, którego prowadzimy od kilku lat, to wyszukanie i usunięcie takich „osieroconych” shortcode może stanowić nie lada wyzwanie. Na szczęście istnieje kilka narzędzi, które mogą nam w tym pomóc.

Czytaj dalej → Brak komentarzy

Jak zmienić adres strony logowania

Standardowo strona logowania do panelu administracyjnego WordPressa znajduje się pod adresem `http://nasza-domena.pl/wp-login.php`. Adres ten nie wygląda zbyt przyjaźnie, co może mieć znaczenie gdy udostępniamy możliwość logowania użytkownikom naszej strony, a poza tym jest często wykorzystywany do ataków typu brute force. Można go jednak w łatwy sposób zmienić, podobnie jak adresy stron rejestracji i przypomnienia hasła.

Czytaj dalej → komentarzy 27

Kolejna wtyczka ze złośliwym kodem w oficjalnym repozytorium

Oficjalne repozytorium WordPressa jest uważane za najbezpieczniejsze źródło darmowych wtyczek. Wpadki zdarzają się jednak nawet najlepszym, czego dowodem może być sytuacja sprzed dwóch dni, kiedy to w jednym z rozszerzeń wykryto złośliwy kod. Warto dodać, że kod ten siedział sobie spokojnie w repozytorium przez ponad dwa tygodnie.

Czytaj dalej → komentarze 4

Uwierzytelnianie dwuskładnikowe w WordPressie

Pisząc o bezpieczeństwie serwisów opartych na WordPressie najczęściej skupiam się na zabezpieczaniu stron przed atakami z zewnątrz. Jednak równie ważne jest zadbanie o jak najlepsze zabezpieczenie samego procesu logowania, tak aby nikt niepowołany nie uzyskał dostępu do konta z uprawnieniami administratora.

Jedną ze skuteczniejszych i najpowszechniej stosowanych metod zabezpieczania procesu logowania jest uwierzytelnianie dwuskładnikowe (two-factor authentication), nazywane też dwuetapowym. Metoda ta polega na dodaniu do procesu logowania dodatkowego składnika w postaci zmieniającego się co pewien czas kodu. Kod ten może być dostarczany użytkownikowi za pomocą SMSa, poczty e-mail (podobnie jak w opisywanej przeze mnie wtyczce Paswordless) czy generowany przez dedykowaną aplikację. Dzięki temu nawet jeśli ktoś wejdzie w posiadanie naszego loginu i hasła, to i tak nie będzie w stanie zalogować się na nasze konto.

Czytaj dalej → komentarzy 9

Jak zmienić działanie funkcji zapamiętywania zalogowanego użytkownika

WP Login Timeout Settings

Logując się do panelu administracyjnego WordPressa mamy możliwość zaznaczenia opcji Zapamiętaj mnie, dzięki której pozostaniemy zalogowani przez kolejne 14 dni – oczywiście przy założeniu, że korzystamy z tego samego komputera i przeglądarki oraz że nie usuniemy wcześniej ciasteczek utworzonych przez naszą stronę. WordPress nie daje nam żadnej kontroli nad działaniem tej funkcji. Możemy jednak skorzystać z darmowej wtyczki WP Login Timeout Settings, która pozwala na wydłużenie lub skrócenie okres, po którym użytkownik zostanie automatycznie wylogowany.

Czytaj dalej → komentarze 4

3 wtyczki usprawniające eksport i import treści w WordPressie

Wbudowane w WordPressa narzędzia do eksportu i importu treści nie są doskonałe, przez co w praktyce możliwości ich wykorzystania są dość ograniczone. Do przenoszenia całych stron służą inne narzędzia, ale problem pojawia się gdy chcemy skopiować pomiędzy stronami tylko wybrane treści lub konfigurację.

Na szczęście autorzy wtyczek zauważyli tę lukę i powstało kilka wartych uwagi rozszerzeń, które usprawniają proces eksportu i importu zawartości strony.

Czytaj dalej → komentarzy 5

WPzen

Wtyczki