Тупость заключается в том , что зачем скрипт просит обновления, если уже скрипт был свежий и скачан с свн а он пытается обновить из архива недельной давности да еще и со старыми уязвимостями, как будто подменяют одни и те же файлы. если наши разработчики повлияют на буржуев это будет большой ++++ имхо буржуи точно тупят
что будит лучше качать и юзать готовую сборку или все же использовать для себя сборки из svn
Текущую ветку (trunk) имеет смысл использовать только в том случае, если вы хотите вплотную наблюдать за ходом разработки или участвовать в ней. Проверить совместимость со своими плагинами и темами можно на этапе выхода бета-версий и релиз-кандидатов. Во всех остальных случаях рекомендуется использовать последнюю стабильную версию.
еслм вы скачали с свн
То и обновляйте так же, через SVN (например, с помощью планировщика). Кнопка «Обновить» в данном случае, как и написано рядом с ней, скачивает архив последней ночной сборки, который обновляется раз в сутки в 23:00 UTC. Изменения, сделанные в течение дня, попадают в следующую сборку.
нажмите кнопочку и получите уязвимость
Если есть конкретные доказательства уязвимости в ядре WordPress, стоит написать письмо на security [at] wordpress.org: http://codex.wordpress.org/FAQ_Security
зачем химичить и дурить народ
По-моему, вы сами ввели себя в заблуждение.
Sergey Biryukov, в том то и дело, что когда ядро ставится с свн все чисто и только стоит обновить до последней ночной сборки сразу же возвращается старая уязвимость.
Your site is vulnerable to attack.
Upgrade now to fix all 3 vulnerabilities below and protect your site.
High Wordpress 3.4 comment posting forgery June 25, 2012 Not Fixed
Low WordPress up to 3.4 Usernames disclosure June 25, 2012 Not Fixed
Насколько я понимаю, речь идёт о плагине 6Scan Security.
Тут есть ряд нюансов:
- Проблему с отправкой злоумышленником спам-комментариев плагин предлагает решить проверкой, что заголовок Referer соответствует адресу сайта.
Это не является решением, поскольку авторам спам-ботов не составит труда подделать заголовок и таким образом обойти предложенный код.
Проверкой и отсеиванием спам-комментариев должны заниматься специализированные решения типа Akismet.
- Проблему с раскрытием имён пользователей предлагается решить добавлением фрагмента в
wp-admin/user-edit.php.
if ( current_user_can('edit_user',$user_id ) == FALSE )
wp_die(__( 'Forbidden' ) );
Во-первых, это также не решает проблему. Имя пользователя можно узнать другими способами — например, из URL его архива записей — поэтому скрывать его нет особого смысла. Лучше позаботиться о надёжном пароле. Во-вторых, такой фрагмент там уже есть и действует по прямому назначению — для предотвращения неправомерного изменения данных:
http://core.trac.wordpress.org/browser/tags/3.4/wp-admin/user-edit.php#L105
- Плагин предлагает удалить файл
readme.html, чтобы скрыть версию WordPress. Аналогично предыдущему пункту, версию можно определить другими способами (например, по версиям встроенных скриптов). Важнее то, что такой подход создаёт лишь иллюзию безопасности.
- В текущем коде из SVN плагин точно так же находит эти «уязвимости», как и в ночной сборке, поскольку с 22 июня обновлений пока не было.
- Я бы не стал доверять разработчикам плагина, который претендует на защиту сайта и в то же время сразу после активации при включённой константе
WP_DEBUG выдаёт ошибки из-за непроинициализированных переменных.
