สอนเล่น Wordpress

[today]

อยู่ดีๆ มาทำให้รักทำไม 

ทำไมช่วงนี้มันออกบ่อยจังแฮะ wp

[Ou!]

ไม่ทราบครับ



วุ้ย ปั่นกันยังกะแตกฟอง

[นายโอ้เอ้]

เก็บมาฝากครับ เผื่อมีเรี่ยวมีแรงจะได้อัพเกรด

คิดว่าหลายๆท่านในนี้ อาจจะใช้ หรือว่ามีลูกค้าใช้ wordpress มาทำ blogกันนะครับ เลยเอามา อัพเดทให้ เพราะเหตุเกิดเมื่อวานครับ กับเว็บ sem.or.th
หุหุ ก้อบมาจาก blog ผมเองครับ ลืมเอามาแปะที่นี่ตั้งกะเมื่อวานครับ

--------------------------------------------------------------------------------------------------

อ่า ครับ งานนี้ด่วนมากมายสำหรับท่านที่ใช้ wordpress เวอร์ชั่น 2.1.2 ครับ เลยต้องมาอัพก่อนเลย ไม่รู้เป็นเวรเป็นกรรมรึเปล่าที่ผมเอง ก็กลับมาก้าวเข้าสู่ด้านมืด (นิดนึงมั้ง) โดยหารูรั่วของเว็บที่ทำงาน อยู่ ครับ เข้าไปที่เว็บ sem.or.th แทบบ้าตาย ขึ้นมาว่าโดน hack ซะอย่างงั้น ซึ่ง ทันทีที่เช็ค คิดว่าไม่น่าจะมาจากปัญหาของช่องโหว่ที่ server ครับ เนื่องจาก forum.sem.or.th ยังคงปรกติ อยู่สุขสบายเหมือนไม่มีอะไรเกิดขึ้น เป็นปรกติมากๆ ครับ ดังนั้นสรุปประเด็นก่อนเลยว่า

1. ไม่ใช่เข้าได้ที่ server
2. รูรั่วไม่น่าจะเกิดขึ้นที่ forum แน่นอน ไม่งั้น forum ต้องโดนไปก่อน หรือโดนด้วย

จึง เข้าไปหาข้อมูลทันทีครับ เพราะเนื่องจาก wordpress ที่ผมใช้งานเองก็ถือว่า เป็นเวอร์ชั่นค่อนข้างใหม่คือ 2.1.2 และเวอร์ชั่นเก่าที่มีปัญหาก็จะเป็นที่ตัว 2.1.1 ครับ ซึ่งได้ทำการอัพเกรดแล้ว

ดังนั้นสรุปข้อสงสัยคือ

1. รูรั่วเกิดจาก ไม่ได้ทำการ clean update ทำให้ไฟล์ที่มีปัญหาอยู่ (จากเวอร์ชั่น 2.1.1) ทำให้รั่ว
2. สคริปต์ของ 2.1.2 มีรูรั่วเอง

แน่ นอนครับว่า ประเด็นแรกผมคิดว่า อาจจะเกิดได้ แต่ประเด็นที่สองนี่น่าคิดครับ เพราะว่าถ้ามันเป็นอย่างแรกถือว่า ผมผิดพลาดเอง แต่สุดท้ายผลจากการสืบเสาะตลอดช่วงของการแก้ไขปัญหาได้พบกับช่องโหว่อีกที่ wordpress 2.1.2 ครับ นั่นคือตัวของระบบ xmlrpc นั่นล่ะครับ

ไอ้ ระบบนี้ปรกติใช้เวลาที่เรามีการ update เนื้อหา เจ้า xmlrpc ตัวนี้จะทำการ ping ไปยัง server ต่างๆที่เรา add ไว้ครับ แต่ปัญหาก็เกิดขึ้นจากการทำการ ส่งคำสั่ง sql injection กลับมายัง xmlrpc ตัวนี้ครับ (Wordpress 2.1.2 xmlrpc Multiple Vulnerabilities) ทำให้มันประมวลผลเป็นอีกแบบนึงครับ โดยมันจะทำตามลำดับคือ

1. ทำการสร้าง username ใหม่
2. ปรับระดับของ user คนใหม่นี้ให้อยู่ใน administrator (ของ blog เรานั่นล่ะครับ)

ผลคือ user ใหม่นี้สามารถทำทุกอย่างที่ admin ทำได้ครับ นั่นคือ ลบแก้ไขเนื้อหา หรือแม้แต่แก้หน้าแรกครับ

วิธีการแก้ไขปัญหาเบื้องต้นคือ

1. ทำการ update เป็นเวอร์ชั่น 2.1.3 ครับ
2. ป้องกันการถูกแก้หน้าแรก แก้ theme และไฟล์ต่างๆ ด้วยการ chmod folder ต่างๆ ให้เป็น 644 ไว้ก่อนครับ

ส่วนอื่นๆ เพิ่มเติมจะนำมา update ให้ทราบกันต่อไปครับว่าจะทำอย่างไร

สำหรับ เว็บที่โดน hack ไปแล้วนั้น ให้ทำการเช็ค username ที่มีครับ ค้นหาและลบ account ที่มีปัญหาออกไป จากนั้นให้ทำ clean install wordpress ใหม่ทั้งหมดครับ หรือใช้การลบ ไฟล์บน server แล้ว install ใหม่ครับ ตอนนี้ผมกำลังทดลองว่า จะลบออกทิ้งหมดแล้ว updateหรือใช้ ข้อมูลจาก db เดิมในเวอร์ชั่นใหม่เลยได้หรือไม่ อยู่ ถ้าได้ไม่ได้ยังไง จะมา update ให้อีกครั้งครับ

------------------------------------------------------------------------------------------------

แวะมาอัพเดท อีกรอบครับ สรุปแล้วครับว่า รั่วจาก code ของตัว wordpress ตรง xmlrpc จริงๆครับ ปล่อยให้ sql injection ได้ครับ

ซึ่งผลกระทบเกิดกับเวอร์ชั่นที่ต่ำกว่า 2.1.3 และ 2.0.10 (ตัวหลังนี้ยังไม่มีรายงานครับเหมือนกันครับ)

สำหรับท่านที่ยังไม่โดนแก้หน้าแรก แต่ไม่แนใจยังไงขอให้เช็คนิดนึงนะครับ

1. มี user ที่อยู่ในกลุ่ม admin เพิ่ม หรือเปลี่ยนแปลง หรือไม่
2. เช็คโค้ดที่สำคัญๆ ให้ดีครับ โดยเฉพาะท่านที่ใช้ plugin อย่าง adsense delux อาจจะโดนแก้ไข pub-id ได้ครับลองเช็คดูดีๆ

วิธีการป้องกันในตอนนี้
1. update wordpress เป็นเวอร์ชั่นใหม่ คือ 2.1.3 หรือ 2.0.10 ครับ
2. ให้แก้ property ของ folder หลักๆ ให้เป็น 755 แทนที่จะเป็น 777 นะครับ (ยกเว้น folder สำหรับ upload ภาพไม่งั้นจะ อัพภาพหรือไฟล์ไม่ได้)

วิธี การ update ให้ upload สคริปต์เก่า จากเวอร์ชั่น 2.1.2 ได้เลยครับ เท่าที่ผมลองมาทั้งหมด สี่-ห้าเว็บ ไม่พบปัญหาแต่อย่างใด ทั้งหมดไม่ได้ทำการ deactive plugin เสียด้วยครับ (แต่ไม่แนะนำครับให้ deactive plugin ก่อนนะครับ)

ที่มา : http://www.thaihosttalk.com/th1/index.php?topic=6082.0

[iannnnn]

อ่านในหน้าอัปเดตของ วพ ก็เจอการรายงานบั๊กนี้เหมือนกันครับ

These releases include fixes for several publicly known minor XSS issues, one major XML-RPC issue, and a proactive full sweep of the WordPress codebase to protect against future problems. Many thanks to Sumit Siddharth and Alex Concha for their help with reporting issues in this release.

[ooooo]

ดีนะครับ ที่ผมกระโดดจาก 2.1.0 ไปเป็น 2.1.3 เลย  {หมีโหด}

[au8ust]

ดีนะครับ ที่ผมกระโดดจาก 2.1.0 ไปเป็น 2.1.3 เลย  {หมีโหด}

โอ้!! เหมือนผมเลย... หรือว่า... เราจะเป็นเนื้อคู่กันนะ...



แหว่ะ ๆ อิอิ

[iannnnn]

แนะนำ Plugin เข้าท่าครับ

WP AJAX Edit Comments
http://www.raproject.com/wordpress/wp-ajax-edit-comments/

พอโพสต์คอมเมนต์ปั๊บ เกิดเปลี่ยนใจจะแก้ไข
ก็กดไปที่คอมเมนต์นั้นเลย ตามสูตร Ajax ครับ
(สามารถปิดความสามารถนี้ได้กับสมาชิกทั่วไปเผื่อกันเกรียน)



ป.ล.นินใช้ปลั๊กอินอะไรเวลาชี้ลิงก์แล้วมันขึ้น Bubble ครับ (ใช้ Snap แล้วรำคาญ {หมีโหด})

[au8ust]

WS ToolTips ครับ แต่งสีได้ด้วยนะ มันจะแสดงผลแทนพวก TITLE/ALT แบบปรกติอะครับ

[Vee]

วีอัพหน้าแรกแล้วนะคะ
มึนๆเหมือนกัน บางปลั๊กอินมันก็ใช้ไม่ได้ งงๆ 

[iannnnn]

โอ้ บล็อกจานวีอินเทอร์มาก

[กันย์]

มาแล้วครับ พี่แอนให้มาถามเอาในนี้
ตอนแรกก็งงว่าจะให้ไปถามตรงไหนฟะ ไม่เห็นมีจู๋สอนเลย เลยสมัครสาวก เห็นแล้ว 

คือ มีปัญหาเกี่ยวกับไอ้เจ้า rich text toolbar อ่ะครับ มันหายไปไหนก็ไม่รู้ ตอนแรกยังมีอยู่ดีๆ ไปดูใน profile ตัวเอง มันก็ยังเลือกให้มีอยู่ พอเข้าไปถามในฟอรัมของ วพ เค้าก็บอกให้ลบแคชล้างแคช ผมก็ลบออกไปหมดแล้ว มันก็ยังไม่มา

จะทำยังไงดีครับ

รึว่าต้องฟอร์แมทเครื่องล้างทั้งโคตรเลย 

[ยุนเอ]

วีอัพหน้าแรกแล้วนะคะ
มึนๆเหมือนกัน บางปลั๊กอินมันก็ใช้ไม่ได้ งงๆ 

เด็กอายุ 14 ปี 

[au8ust]

ทดลองใช้กับบล็อกส่วนตัวแล้ว อืม... work ดีแฮะ drag ได้ด้วย sidebar อ่ะ o o!

[นายโอ้เอ้]

wp มี plugin ที่ทำให้โพสแบ่งเป็นหลายเพจมั้ยครับ
กรณีที่มันยาวๆ อยากจะแบ่งให้มันเป็นหลายๆ หน้า

ออกเป็นแนวนี้หน่ะครับ

post=1&page=2

อะไรทำนองนี้หน่ะ



// แก้ไข

เจอแล้ว ทำได้ด้วย

http://codex.wordpress.org/Styling_Page-Links
http://mycity-wordpress.templatextreme.com/?p=12

[au8ust]

คือ มีปัญหาเกี่ยวกับไอ้เจ้า rich text toolbar อ่ะครับ มันหายไปไหนก็ไม่รู้ ตอนแรกยังมีอยู่ดีๆ ไปดูใน profile ตัวเอง มันก็ยังเลือกให้มีอยู่ พอเข้าไปถามในฟอรัมของ วพ เค้าก็บอกให้ลบแคชล้างแคช ผมก็ลบออกไปหมดแล้ว มันก็ยังไม่มา

ลอง Browser ตัวไหนครับ? ลองเปลี่ยนดู แล้วก็เลือกเอา Plugins ล่าสุดที่ติดตั้งออกก่อนครับ


ส่วนคุณนายโอ้เอ้ ดีใจด้วยครับผม :)