晚上在cnBeta上看到一篇文章，《黑客们在利用Wordpress主题吗?》,颇有感触。相信有不少用WP搭建个人博客的朋友都同我一样，喜欢找些免费主题装扮下自己的博客，或许很少会考虑到代码安全的问题，至少我是这样。

在我们浏览网页、下载文件的时候，可能会保持警惕，担心是否有恶意代码，但是对网上成千上万的WP主题文件包，似乎总是默认它是安全的，或许这是某种思维定势造成的？

这是一个真实的例子。

主题设计师Derek Punsalan创作了大量WordPress主题，并把其中一部分发布在互联网上。一些其他的站点拷贝了他的主题，WP-Sphere便是其中一个。

当你从WP-Sphere下载Punsalan的主题时，它里边包括了一些本不属于该主题的代码。他是一大串潜在的不会使大多数人产生疑问的代码：

这串代码的第一部分提供了一个线索：这是一个用64位编码的PHP函数。但是把这段代码输入到解码器中，它们看起来来势凶猛：

这串代码在WordPress所在的服务器和一些像wpssr.com,wpsnc.com,wpsnc1.com的网站建立连接，并自动操作下载这些站点上的JAVAScript模块。这些网站被注册给加拿大不列颠哥伦比亚省温哥华市的一个匿名注册者。

“这类主题收集库充分利用那些轻信的WordPress用户假定他们正在下载的主题和下一个是没什么两样的。”Punsalan说：“虽然很难防止个人遵守不再次发布的要求，但是很明显，WordPress社区的用户们应该自觉抵制再配布的主题。”

Paul Carroll几个星期前写了一篇关于这段代码的日志。他断定，用最善意的眼光去看，这是WP-Sphere与使用主题的用户保持联系的一种方式，但是每次有访问者访问这个页面时它都提供了一个“优秀的”用来注入恶意代码的后门。理论上，WP-Sphere可以通过这个后门在经过他们拷贝并修改过的主题所在的页面插入广告。Punsalan在他的博客上也写了一篇关于这种情况的日志。

最令人不安的是，直至昨天，WP-Sphere依旧在Google上“WordPress Themes”付费搜索的第一名。现在，有专门的网站和插件用来检测网络日志安全和站点漏洞，但是WordPress太流行了以至于在不久的将来它将不得不来直接处理这些。它的灵活性使得它广受欢迎，也让那些别有用心的人把恶意代码插入博客中。现在，博客社区不得不采用某种形式不会抑制创新的认证流程。

Matthew Mullenweg，WordPress的创始人提出创建一个用认证、 GPL-许可主题构建的主题市场的创想。“这（在主题中插入恶意代码）和恶意软件没什么两样，甚至在很多方面县的严重得多，”Matthew说，“我们官方目录中所有的主题都经过这种审查，很显然有些主题很危险。”

这看来确实很危险，以后要有所警觉了。

Lightview是一个可以实现类似Lightbox效果的脚本，由Nick Stakenburg发布，目前版本2.2.6，可以支持图片、视频、iframe页面等的特效显示，并且有着很强的可定制性。

ilemoned基于Lightview的代码写了这个Lightview for WordPress插件，通过它可以轻松实现WordPress页面元素的特效。

Lightview for WordPress的下载页面：在此。下面是显示效果示例，点击看到效果。

１、单张图片

2、多张图片组

3、网页

Google

更详细的应用可以访问Lightview project page。

当我还在美梦中的时候，WP2.5.1发布了。

照例，2.5.1版本包含了大量的安全更新＝。＝，特别是当BLOG开启了用户注册功能的情况下，建议尽快升级到最新版本。

主要更新的内容有：

管理首页、撰写文章、评论编辑性能提升
处理大量分类的性能得到提升
修正媒体上传
TinyMCE升级到3.0.7
修正Widget的管理

WordPress中文站制作提供了WP2.5.1中文版的下载（动作够快的），可以访问这里下载。

从参加Feedsky的博客大赛结束以来，基本没有更新过BLOG了，前后算来过去了一个季度，直到几天前收到AN Hosting的付款邮件，才想起来一直光顾着论坛把自己的博客给遗忘了。

春节以来几乎无所事事。实在是懒了很多。

还惦记着Feedsky未兑现的FON。

今天看到Wordpress 2.5发布的消息，立即更新了。后台页面清爽了很多，打开的速度貌似也有所提升。

Wordpress中文论坛第一时间发布了中文版本，可以在这里下载。

刚刚登录BLOG后台，发现醒目的提示“WordPress 有新版本可用！请立即更新”，2.3.2来得真快！

更新的主要内容说明：

WordPress 2.3.2 is an urgent security release that fixes a bug that can be used to expose your draft posts. 2.3.2 also suppresses some error messages that can give away information about your database table structure and limits and stops some information leaks in the XML-RPC and APP implementations. Get 2.3.2 now to protect your blog from these disclosures.

 

As a little bonus, 2.3.2 allows you to define a custom DB error page. Place your custom template at wp-content/db-error.php. If WP has a problem connecting to your database, this page will displayed rather than the default error message.

可以自定义数据库出错时的页面，不知道是啥样的，到时候去试试看。

下载地址：在这里

update：刚发现WordPress中文论坛已经放出２.３.２中文版安装包，下载页面在此

本地下载

放置这个BLOG的空间貌似出了些什么问题，前些天先是无法访问，断断续续恢复以后就出现了些问题。先是论坛无法打开，总是提示Cache目录和某个目录不可写，捣鼓了半天仍然不行，接下来发现BLOG也出问题了，不能添加评论，无法删除已经发布的文章，折腾得够呛。于是给空间商发ticket要求他们帮忙，他们检查来检查去的也没发现问题，无奈之下今天只好自己动手大换血了。

做好相关的备份之后，把BLOG的程序文件全删了，重新上传WP2.2.3版本的，还是不行。一气之下，删除文件，删除数据库，用了WP2.3的版本，再新建一个数据库，OK，一切都正常了。真是郁闷，不知道到底是什么地方出问题了。

WP2.3原生支持TAG了，所以UTW也退休了，在“导入”项中，可以把原有的UTW标签导入为WP标签，这下就方便多了。google的时候，无意间看到一则资讯，只需要上传一个文件到WP安装目录下，即可让Windows Live Writer支持WP的TAG标签（就是这个小文件了）。试了一下，在属性设置中果然多出了一个“关键字”的项。

现在BLOG应该基本正常了吧？！顺便测试下。

一时觉得无聊， 正好看中一个WP的模板，于是就下了更换上来，和原来的对比一下，感觉原先的模板太过复杂了一些，还是这个清爽简单，而且不再需要原来的一些插件，于是直接把原来的模板替换删除了。这段时间以来，一直没有心思打理BLOG，Feedsky的话题邀请错过了不少，这里也荒废了快2个月的时间，换了模板之后，新鲜感又来了。

昨晚顺便把Live Writer更新了，现在已经到了Beta3版本，特别是添加了插入视频功能，可以通过网页代码和微软的Soapbox插入，以后要发什么什么的就方便多了。

点击这里可以下载更新程序，会将Live Writer、Messenger等更新到最新版本。

来自点点游的消息，WP2.2.1版本发布，此版本修正了上一版存在的BUG，同时对一些安全漏洞做了修正，推荐下载更新。

2.2.1 修正 Bug 的完整列表在这里。以下是重点：

• Atom feed 验证修正 (#4274, #4307, #4381, #4382)
• XML-RPC 修正 (#4314, #4329, #4315, #4469)
• Widget 向后兼容修正 (#4275)
• Widget 在 IE7 下的布局修正 (#4264, #4268)
• 页面和文本 Widget 增强 (#4302, #4259)

不幸的是，2.2.1 不只是 Bug 修正版本。在 2.2.1 开发过程中一些安全问题也逐渐浮出水面，强烈建议大家升级。2.2.1 修正了如下危险：

• PHPMailer 的远程 Shell 注入
  
• XML-RPC 的远程 SQL 注入
  
• 默认主题中未转义的属性

这个版本只要覆盖文件即可升级，没有数据库结构的改动。

中文版下载地址：

Gna.org
Sourceforge.net

原文地址：《WordPress 2.2.1 发布及中文版下载》

经过漫长的等待，WP2.2版本今天终于发布了，并且已经可以下载 了，据介绍，这个版本包含了一些新的特性，特别是集成了Widgets功能，嗯，以后不再需要麻烦安装这个插件了(＝。＝)。WP2.2版被命名为”Getz”，是为了纪念名为Stan Getz的萨克斯演奏家。

1. WordPress Widgets，这个不用过多介绍了，这个原来经常使用的插件目前已经整合进WP的核心代码，在默认模板下已经启用该功能。
2. 完全的Atom支持，Atom Feeds使用了1.0版的标准格式，并且XML-RPC接口也支持通过Atom Publishing API的发布。
3. 增加了一个新的Blog导入支持，现在支持从最新版的Google blogspot”无缝”导入了。
4. 无限的评论流，在编辑评论页面，当你通过各条评论的AJAX链接删除或spam时系统将获取别的评论在后台显示，这样在页面上总是保持有20条项目。（这个有点搞不大清楚啥意思）
5. 现在当激活某个插件或者编辑某个文件时，可以保护blog不受影响。
6. 提供了核心插件和过滤器的快速优化(speed optimizations)功能。
7. 增加了对Safari浏览器的所见即所得支持。

详细介绍参见：http://wordpress.org/development/2007/05/wordpress-22/

Update(05-16-23:09)：点点游目前已提供WP2.2中文版的下载，速度好快啊！请访问：http://www.gtp2p.com/2007/05/16/wordpress-22-%e4%b8%ad%e6%96%87%e7%89%88%e6%8f%90%e4%be%9b%e4%b8%8b%e8%bd%bd%ef%bc%81/

做为网站管理员，应该有不少选择Google Analytics的站点信息统计服务，对于我而言，这些图表化的信息已经比较直观地反映想查询的数据，但对一些希望有更深入更全面的统计信息的用户来说，Google Analytics提供的数据会显得不够完整。（不过，Google Analytics目前已经推出了更新版本，正在陆续升级中，根据一段介绍性的视频可以看出届时新版提供的数据分析量和功能都有较大的提高。）

这里介绍的是一个WordPress专用的信息统计插件——Automattic Stats，插件的安装过程很简单，首先你需要拥有一个WordPress.com的API key（在激活WP的Akismet插件时使用的那个），下载上面链接的压缩文件解压后，将”stats.php”文件上传到你的”wp-content/plugins/”目录下，激活，输入你的API key即可。如果之前你已经安装激活过Akismet插件，系统会自动检测API key并显示出来，就不用再麻烦去找了。

激活后可以在管理首页上看到新增的“Blog统计”链接， 点击后链向Global Dashboard（这里需要Wordpress.com的用户名和密码），在”Blog Stats”条目下就可以看到相关的信息了。初次使用要过20分钟左右才能显示详细的统计数据。

这个插件并不会占用你的系统资源，因为有专用的服务器来完成。遗憾的是，这些数据的获取需要你使用代理才能顺利访问，因为有一道墙隔着。