К сожалению, при использовании недавнего релиза 2.9 возникла проблема с некоторыми версиями PHP-расширения curl: некорректно работали уведомления и запланированные записи. Для исправления этой и ещё нескольких проблем готовится к выпуску 2.9.1 — первое техническое обновление ветки 2.9. На текущий момент предлагается к тестированию версия 2.9.1 Beta 1, которую можно скачать и установить вручную. Всего исправлено четырнадцать ошибок. Поскольку проблема с curl и некоторые другие зависят от конфигурации веб-сервера, весьма приветствуется любая помощь в тестировании.

WordPress 2.9 «Carmen» теперь доступен и на русском. Версия названа в честь джазовой певицы Carmen McRae (которую можно услышать на радиостанции релизов WordPress на Last.fm). Воспользуйтесь автоматическим обновлением в меню «Инструменты» или скачайте новую версию с ru.wordpress.org.

Самые интересные нововведения с точки зрения пользователя:

1. Глобальная отмена / «Корзина» — если вы случайно удалили запись или комментарий, их можно восстановить. Также теперь нет необходимости в надоедливых вопросах «Вы уверены?» перед каждой операцией удаления.
2. Встроенный редактор изображений позволяет обрезать их, поворачивать, отражать и масштабировать. Это первое из запланированных улучшений по работе с медиафайлами.
3. Массовое обновление и проверка совместимости плагинов — вы можете обновить десяток плагинов сразу, не совершая лишних действий для выбора каждого по отдельности. Функция использует данные из официального каталога плагинов, чтобы сообщить вам об их совместимости с новыми версиями WordPress. Это должно сделать обновление беспрепятственным и безопасным.
4. Простая вставка видеофайлов — нужно лишь вставить адрес ролика на отдельной строке, и он волшебным образом превратится в нужный код. Функция поддерживает сервисы YouTube, Daily Motion, Blip.tv, Flickr, Hulu, Viddler, Qik, Revision3, Scribd, Google Video, Photobucket, PollDaddy и WordPress.tv (в следующей версии будет больше).

2.9 — очередной шаг на пути к 3.0. В будущем ожидается объединение WordPress и WordPress MU, а Kubrick уступит место новой теме по умолчанию. Скорее всего, весной.

Версия 2.8.6 исправляет две проблемы с безопасностью, воспользоваться которыми могли зарегистрированные и авторизованные пользователи с правами публикации. Если на вашем блоге есть посторонние авторы, рекомендуем выполнить обновление до 2.8.6.

Первая проблема — XSS-уязвимость в закладке «Опубликовать» (Press This), о которой сообщил Benjamin Flesch. Вторую обнаружил Dawid Golunski — при обработке имён загружаемых файлов имел место недочёт, которым можно было воспользоваться на некоторых конфигурациях Apache.

Скачать WordPress 2.8.6.

Как известно, последние несколько месяцев были посвящены работе над новыми функциями WordPress 2.9. Также предпринимались меры, чтобы сделать WordPress как можно более защищённым, и в процессе этих работ был сделан ряд изменений, которые стоило включить в текущую ветку 2.8, так как эти исправления укрепляют защиту ваших сайтов.

Ключевые изменения в этом релизе:

• Устранение опасности DoS-атаки через механизм обратных ссылок.
• Удаление фрагментов, в которых происходило выполнение PHP-кода в переменных.
• Использование белого списка при загрузке файлов для всех пользователей, включая администраторов.
• Отказ от двух скриптов для импорта меток из старых плагинов.

Рекомендуем обновить все сайты до текущей версии, чтобы обеспечить максимальную защиту.

Если вы подозреваете, что ваш сайт подвергся атаке, и хотите убедиться, что все следы взлома успешно уничтожены — рекомендуем обратить внимание на плагин WordPress Exploit Scanner. Он проверяет файлы и таблицы в базе данных сайта на всё подозрительное, а также список активных плагинов на необычные имена файлов. Подробности можно узнать на странице «WordPress Exploit Scanner».

Вчера была обнаружена уязвимость: особым образом сформированный URL позволял атакующему обойти проверку пользователя, запросившего сброс пароля. В результате для первой учётной записи без ключа активации в базе данных (обычно это запись администратора) сбрасывался пароль и отправлялся новый. Получить удалённый доступ с помощью этой ошибки нельзя, но и приятного тоже мало.

Сегодня ночью после устранения проблемы продолжалось тестирование исправлений и поиск других возможных ошибок. Доступна для скачивания версия 2.8.4, которая исправляет все известные проблемы и настоятельно рекомендуется каждому пользователю WordPress.

Исправлено повышение привилегий в тех местах, которые не были учтены в 2.8.1. К счастью, благодаря поддержке активных участников сообщества проблемы на текущий момент решены. Обновление настоятельно рекомендуется. Скачайте версию 2.8.3 или воспользуйтесь автоматическим обновлением.

WordPress 2.8.2 исправляет XSS-уязвимость. Адреса авторов комментариев при выводе в панели управления обрабатывались не полностью, что могло привести к нежелательному переходу на сторонний сайт. Скачайте версию 2.8.2 или воспользуйтесь автоматическим обновлением в меню «Инструменты».

WordPress 2.8.1 исправляет множество ошибок и касается вопросов безопасности плагинов. В некоторых случаях при установке плагина была возможна утечка информации. Не все плагины подвержены этой уязвимости, но мы советуем обновиться до 2.8.1 для надежности.

Вышел очередной релиз WordPress. В 2.8 сильно переделано управление виджетами, добавлен полностью автоматический импорт из ЖЖ, подсветка текста в редакторе, установщик тем «одним кликом».

Также объявлено объединение WordPress и MU в один продукт к версии 3.0.