Hatena::ブログ(Diary)

ミショニポー このページをアンテナに追加 RSSフィード

Feedback

Menu Tags

2010-05-31

WordPress 3.0 rc1

f:id:tenman:20100531095912j:image:w100:left

WordPress 3.0 Release Candidate

いよいよ、ワードプレスが大きく変化しそうです。

wordPressをご利用中の皆様、今回デフォルトテーマが変更されます。




body要素のclass属性の書き出しが、自動化されていますから、


スタイルの指定を行う場合や、カスタマイズされたテーマを利用する場合は、それらのクラスと重複しないようにカスタマイズをする必要がありそうです。

テンプレートタグ/body class - WordPress Codex 日本語版


環境変数の値に対応したクラス名を割り当てて、従来のスクリプトによる制御を、CSSに移し、ユーザエージェント毎ことも少しのカスタマイズで出来ます、(参考url)投稿者別に、視覚設定を変えることは、すぐにでも出来るでしょう。


ただ、CSSは、エラーを無視します。

そのスタイルが、正常に適用されているのか、エラーを発生させているのかを、判定するすべがありません。

このような観点からみると、記述方法は、高度になっていくと思います。


ワードプレスは、高度に進化しています、私は、その変化に気づかないことも少なくありません。

表示などの影響は、基本的なことなので、うまく適用されているかチェックを 忘れないで行いましょう



WordPressの提供してくれる便利な機能はとても魅力的です。

しかし、もう一方で気になる 声が ないわけでもありません

以下のブログに、テーマファイルに付属したワームのエントリがありました。

WebTecNote » [wp] WordPressテーマのfunctions.phpに仕込まれるワームについて

使うのもフリー、使い方もフリー、もちろんお金もフリーですが、

自分の労力や、時間や、他に及ぼす影響からもフリーではありません

2009-09-24

ブログミニマリズム


plaintxt.orgは、wordPressの次期デフォルトともうわさされる Sandboxというテーマファイルを配布している

サイトの副題は、「Minimalism in blog design, an experiment」日本語だと、


試行:ブログデザインにおけるミニマリズム」といったところ

ミニマリズムとは

wikipedia:ミニマル


ミニマリズムとは美術・建築などの造形芸術分野において、1960年代アメリカに登場し主流を占めた傾向、またその創作理論であり、最小限(Minimal)主義(ism)から誕生し、必要最小限を目指す手法である。

美術の分野においてはミニマルアートとも呼ばれる。主な作家としては、フランク・ステラ、ダン・フレイヴィン、ソル・ルウィットドナルド・ジャッド、ロバート・モリス、カール・アンドレなど。この語は1965年にリチャード・ウォルハイムが発表した論文ミニマルアート」に拠っている。

ワードプレステーマサンドボックス Sandbox

wordPressテーマとしての、Sandboxは、別にテキストだけしかかけないようなテーマというわけではない。

Sandboxテーマの特徴は、主にクラス属性の動的な配置にある。


視覚表現のレイアウトなどの構造指定と、色、文字サイズ、装飾表現をおそらく大抵は分離しながら、プリセットされたクラス属性に合わせて、視覚的な指定をすることで、より安定したスタイル指定を、行うことができるように考慮されたテーマです。(あくまで私が思うだけです。)

また、wordPress.comというブログサービスでの、有償サービスとしてのブログカスタマイズ機能のためのテーマということもできると思います。

片方では、出力htmlから、コンピュータが意味を理解するための、セマンテクスと、クラス名の標準化で、視覚的な制御をしやすくする両方の狙いが見えます





難しそうに、よくわからないやつが説明すると、なおわからなくなると思うので、コードです。

例えば

<body class="wordpress y2009 m09 d24 h11 home blog loggedin"> 

というクラス属性を自動的につけるわけです。

(....これだけ書いたほうがわかりやすいということが、ミニマリズムか )



wordPressを使ってみたことのある人なら、誰でも感じたことがあるように思いますが、

「表示までに時間がかかる」とよく言われます。

その理由にひとつが、bloginfo("etc");などといった、ブログ独自の関数テンプレート内で、何度も何度も呼び出すという点がよく指摘されます。

一方で、それらの関数ゆえに、いろいろな機能を、プログラムの修正なしに簡単に使えるわけですが、このような機能は、どちらかといえば、サイト管理者のために用意されている機能で、ユーザのためというわけでは必ずしもありません。

何でも、(サイトの構築や運用を)自由にできちゃうための代償というのが、大きくなっていて、「htmlを知らない人でも、すごい事ができる。」機能を重視した世界には、そぎ落とすべきものが、あるのかもしれません



WEBデザインは、ハイパーリンクという、操作する部分をコンテンツの中に持っているため、特殊ですが、何気なく使っている「表現の内実」を問い直してみることも アリ


コードサンプル

<div id="post-1501" 
class="hentry p1 post publish author-admin category-theme untagged y2009 m09 d23 h13"> 

<h2 class="entry-title">theme sandbox</h2>
 
<div class="entry-content"> 
<p>テーマsandboxは、functions.phpに属性記述のための関数を持ったユニークなテーマファイル。</p> 
<p><a href="http://www.plaintxt.org/themes/sandbox/" onclick="this.target='_self';" onkeypress="this.target='_self';">plaintxt.org</a>が開発している。</p> 
<p>あらかじめ予定されている属性名を、htmlタグに埋め込んでいくことで、ユーザーは対応するclassを指定して、視覚表現をシンプルに実現できるようになっている。</p> 
<p>カラムやヘッダ、フッタなどの全体の視覚レイアウト構造と、配色部分を分離することで、配色とレイアウトを個別に変更することが簡単にできるように、準備する。</p> 
<p><a href="http://ja.blog.wordpress.com/2009/08/24/new-theme-sandbox/" onclick="this.target='_self';" onkeypress="this.target='_self';">Sandbox 1.6.1</a><br /> 
<a href="http://ideasilo.wordpress.com/2006/08/17/sandbox-theme/" onclick="this.target='_self';" onkeypress="this.target='_self';">Sandbox 1.2</a></p> 
 
</div> 

備忘

実際問題このsandBoxテーマファイルを利用していこうとした場合、環境によりちょっとした問題が発生しそうなので、疑問に思うところを、メモに残します。

カテゴリや、スラングに日本語を使う(当然のことなのですが)事によって問題になる事柄

このテーマが持っているクラスは、日本語をURLエンコードしてクラス名に割り当てる。

このことにより、CSS文法違反が発生する。

(%は使えない)

回避策

  • 単体のwordPressは、カテゴリスラッグやタグを変更できる(2.8.4)
  • MUは変更できません。(2.8.4)

  • テーマの、functions.phpにクラスファイルを持っているので、idなどの値に変更しても、バリデーションサービスを誤魔化す事はできそう。

自分的には

クラス名に、日本語を使っているhtmlは、みませんが、URLエンコードはよく見る。タイトルをURLエンコードして、長いURLを作ったり、cssにクラス名として配置するのは、国際化のための安直な便法といえる。

もう一方で、htmlのクラス属性を学んだ時、クラス名を、redなんかと命名してはいけないんじゃないか、意味を含んでいるべきで、alert だろう。みたいな事を散々考えながら、htmlに接してきた。

そういう観点で考えると、idだったら文法上認められるからOKとはいえない。

人様に声高く申し上げることでもない、そっとその観点を捨てずに置いておこうと思った




参考

新テーマ: Sandbox 1.6.1 — WordPress.com ブログ

404 Not Found

2009-09-14

wordPress…

以下の問題は、wordPress2.8.4未満のバージョンで、誰でも、購読者ユーザ登録可能な状態に設定してあるワードプレスで発生している問題で、すべてのワードプレスで発生するものではありません。

ただ、管理者権限を奪取することができてしまう脆弱性は持っているので、放置するのは非常に危険です。

自分のサイトだけの問題にはとどまらず、他のサイトへの不法行為への、片棒を担いでしまう可能性があります。

以下のhtaccessは、自分のサイトのwordPressにすぐに手をつけられないため、考えた苦肉の策です。

ただの、アイディアに過ぎなく、実際の攻撃に効果があるかどうか不明です。

対策したブログが、実際に攻撃されて、失敗したのでやっぱり効果があったなどという報告も多分できません。

ほんのちょっとの間、アップグレードする暇がないので行った設定ですから、攻撃を受けるほど長時間使うことはないからです。


実際にワードプレスを使っている人は、2.8.4にアップグレードするのが最良の策だと思います。

ワードプレスを使っている人や、使っている人を知っていたら、「アップグレードしないとやばいよ」 といってあげたほうがいいと思います。


日本語 « WordPress を安全に使い続ける方法

ワームが出回り始めるといつも、誰もがセキュリティの専門家になりきって、まったくあてにならない話、ハンドルロック方式の解決法、もしくは本当の解決法の3種類のアドバイスのうちいずれかをふれ回るものです。まったくあてにならない話は明らかなので、すぐに発見できるでしょう。「WordPress のバージョンを隠せば大丈夫」?いや、ワーム制作者もそんなのはお見通しです。ワームのバージョン1.0では WordPress のバージョン数をチェックしていたかもしれませんが、バージョン2.0では単に権限をテストしているかもしれません。


まったくあてにならないMemoを残します。

RewriteEngine On
RewriteBase /hoge/wordpress/
RewriteRule  ^([_0-9a-zA-Z-]+/)?wp-admin//(.*)$ $1$2 [L]

ワードプレスひとつに、1データベースを割り振ってなかったので、パスワードの変更が、他のコンテンツに影響するかも知れず、簡単に変更できないものもあるので、それらの、まだ被害にあっていないwordPressは、暫定的に、このhtaccess置いてみることにしました。

購読者権限から、管理者権限ページを開けなくなる動作確認はできましたが、

効果があるかどうかは、はぁ〜。



wordPress2.8.2 MU も脆弱性再現できました。これは、もう更新しました。

へんてこな、gmailアドレスで、ユーザ登録があったら、チェックしましょう。

2.8.4で、購読者登録を見つけましたが、改ざんの痕跡は見つかっていませんけど、いらっしゃった方が、「キープ次、つかってやっから」ということだと困るんだよなぁ



How to Keep WordPress Secure

 
TOP
keywordcloud
人力検索はてな はてなアンテナ はてなブックマーク はてなダイアリー はてなフォトライフ はてなグループ はてなグラフ はてなアイデア はてなスター はてなメッセージ はてなワールド はてなハイク Rimo
ページビュー
1136108

サービス

メモや備忘

ナンダーリン カンダリーン

カレンダー
<< 2018/05 >>
1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31
プロフィール

最近のコメント

砂場