WordPress 2.5插件大赛终于在WordPress 2.6.2发布后公布了赛果。奖项很令人羡慕,不过还是关注一下得奖的插件比较实际。
除了两个wpmu相关的插件以外。还有四个奖项是颁给独立WordPress插件的。
这四个奖项是:
安慰奖:Prelovac
这个奖项有点奇怪,链接过去是一个blog而不是插件的页面。过去一看,发现他的blog被某个.cn域名使用者入侵了。 
三奖:WP Easy Uploader
这个插件是很值得一用的。她可以让你轻松地上传文件到你的wordpress上,更重要的是你可以选择上传压缩文件到指定的文件夹中并进行解压缩,也就是说你可以直接复制WordPress官方插件站中的压缩包链接到输入框中,然后直接上传解压缩到你的WordPress的插件文件夹中。当然主题也是可以的。这些平时要登录cpanel或ftp的工夫省下不少 
二奖:Manageable
同样是值得一用的插件。可以在文章、页面的管理区快速地修改文章的各项参数:日期、标题、作者、分类、标签等。没看明白我说什么?点击图片查看具体的形式吧。
头奖:WP Comment Remix
为comment区增加多个函数,回复、引用、为comment增加标签等。可惜在点击引用后得到的结果是中文出现乱码 
下次大赛看看能不能插一腿,奖项太诱人了 
WordPress 2.6.2发布。
此版本修正了mt_rand()太弱导致的随机数不够随机的安全漏洞,如果你的wordpress开放了注册,官方推荐是尽快更新到该版本。此外,还修正了一些其他错漏。
WordPress Blog
多个版本的wordpress都有这个受攻击弱点。
WordPress WordPress (B2) 0.6.2 .1
WordPress WordPress (B2) 0.6.2
WordPress WordPress 2.0.5
WordPress WordPress 2.0.4
WordPress WordPress 2.0.3
WordPress WordPress 2.0.2
WordPress WordPress 2.0.1
WordPress WordPress 2.0
WordPress WordPress 1.5.2
WordPress WordPress 1.5.1 .3
WordPress WordPress 1.5.1 .2
WordPress WordPress 1.5.1
WordPress WordPress 1.5
WordPress WordPress 1.2.2
WordPress WordPress 1.2.1
+ Gentoo Linux
WordPress WordPress 1.2
+ Gentoo Linux 1.4
+ Gentoo Linux
WordPress WordPress 0.71
WordPress WordPress 0.7
但这个弱点已经在2.0.6中修补,但当前流行使用的版本为2.0.5,所以大家还是自己补上吧:
我翻了一下我保存的各个版本的wordpress,不知道为什么也找不到原文中提到的代码。(wordpress应该是没有attribute_escape()函数的)
在2.0.5中应该是这样修补的:
打开 your-wordpress/wp-admin/templates.php (应该在114行),找到
echo "<li><a href='templates.php?file=" . wp_specialchars($recent, true) . "'>" . get_file_description(basename($recent)) . "</a></li>";
修改为
echo "<li><a href='templates.php?file=" . wp_specialchars($recent, true) . "'>" . wp_specialchars(get_file_description(basename($recent))) . "</a></li>";
wordpress-1[1][1].5.2、2.0 RC2、2.0.2 – 2.0.4的templates.php原代码是这样的,
echo "<li><a href='templates.php?file=$recent'>" . get_file_description(basename($recent)) . "</a></li>";
修改为
echo "<li><a href='templates.php?file=" . wp_specialchars($recent, true) . "'>" . wp_specialchars(get_file_description(basename($recent))) . "</a></li>";
打开 your-wordpress/wp-admin/templates.php ,找到
echo "<li><a href='templates.php?file=" . attribute_escape($recent) . "'>" . get_file_description(basename($recent)) . "</a></li>";
修改为
echo "<li><a href='templates.php?file=" . attribute_escape($recent) . "'>" . wp_specialchars(get_file_description(basename($recent))) . "</a></li>";
查看更多:WordPress Template.PHP HTML Injection Vulnerability
跨站脚本攻击(XSS)FAQ
