My WP Customize Add-on Lockout のアップデートを行いました。 最新バージョンは 1.10.4 になります。
アップデート概要
- ブロックリストの更新
詳細
ハニーポット的なサイトにて、不正なアクセスっぽいリストが溜まってきたので、アクセスをブロックしたいリストを更新しました。
タグ: バージョンアップ
-
My WP Customize Admin/Frontend (1.21.1) アップデートしました
My WP Customize Admin/Frontend のアップデートを行いました。
最新バージョンは 1.21.1 になります。セキュリティ対応も含みますので、最新バージョンへの更新をお勧めします。 🙂
アップデート概要
- サイトエディター左上で、Avatar アイコンが有効になっている場合、Avatar アイコンの非表示
- 管理サイドメニューで、モバイル画面幅の場合の表示不具合対応
- XSS対策
詳細
普段、スマホで Google からのオススメ記事をよく見ることがあるのですが、 今回はその記事の中に、patchstack さんが公開していた Advanced Custom Fields プラグインの脆弱性報告に関する記事があり、気になって読んでいたのですが、これって、My WP Customize にも影響するんじゃね?と思い、調査しました。
結果としては、My WP Customize も同じような状況で対策されていなかったので対応いたしました。
1.21.0 以下の全バージョンが影響を受けると思いますので、古いバージョンのプラグインを使っているかたは最新版へのアップデートをお願いします。 🙂
そもそも、今回のXSS脆弱性の原因となった admin_body_class フィルターフックが出力される場所の
<body class=”wp-admin wp-core-ui no-js <?php echo $admin_body_classes; ?>“>
この部分ですが、 そもそもプラグインではなく WordPress 側で classの値すべてを、esc_attr() で囲むような作り方がいいのでは?と思いました。 😐
が、よく考えたら、この部分ってあまりカスタマイズしたい人なんて多くないと思いますし、ましてや $_GET 等で受け付けたリクエストの内容を admin_body_classes に追記されるなんて、思ってもいなかったかもしれないなぁ、と思いました。 😕
-
My WP Customize Admin/Frontend (1.21.0) アップデートしました
My WP Customize Admin/Frontend のアップデートを行いました。
最新バージョンは 1.21.0 になります。セキュリティ対応も含みますので、最新バージョンへの更新をお勧めします。 🙂
今回のアップデートの概要です。
- サイトエディター左上の WordPress アイコンの変更
- 各投稿タイプ編集画面上の、登録されているメタボックスの取得方法更新
- Javascript でのエスケープ処理
- $current_screen_id が取得できない場合のバグ対応
- 各投稿タイプ一覧画面上の、カラム設定のデフォルト値の取得(外部のアクションフィルター向け)
WordPress の新機能「サイトエディター」で、Web サイトのヘッダーやフッター、テンプレートなど様々な編集ができるようになり、テーマを編集せずに、サイトに関する編集が出来たりと、便利になりました。
しかし、左上のアイコン(サイトの編集をおえて、Webサイトの管理画面へ戻るリンク機能)が、 WordPress アイコンになっていて、ちょっと分かりづらいかなぁと思いました。
Site Editor return icon Gutenberg に慣れている(一度はクリックして、どうなるのかを知っている)人は特に違和感ないかもしれませんが、分からない人は「あれ、WordPress.org にアクセスするのかな?それともサイトに戻るのかな? 🙄 」と、一目見ただけではどこへリンクされているのか、押すとどうなるのかが分からない気がしたため、そのアイコン画像を戻るボタン 「<」へ変更できるようにしました。
欲を言えば、「戻る」を連想する「<」のアイコンではなく、管理画面を連想するアイコン等に変更したかったのですが、管理画面を連想するアイコンってなんでしょうね。 🙄
調べてみてもあまりピンと来るものが分かりませんでした。 😳
という事で、「戻る」を連想するアイコンに変更できるようにしました。
今回の My WP Customize プラグインの更新に伴い、アドオンの更新もおこなう予定です。
-
My WP Add-on Lockout Updated(1.10.1) アップデートしました
My WP Customize のアドオン My WP Add-on Lockout のアップデートを行いました。
最新バージョンは 1.10.1 です。
今回はブロックリストのアップデートなので、旧バージョンをご利用のかたは最新バージョンへのアップデートをお勧めします。 😀
以下は今回のアップデートに関する日記的なものです。
不審な動きがないかどうか、ウェブサイトのログを1日1回定期的に見ているのですが、My WP Customize のウェブサイトだけ急に妙なリクエストが増えたな~と思い詳細を確認すると、中国語?のよくわからない文字列でのリクエスト。。
なんやねん、これ 😐
しかも 5,000 件以上もあるし。。ってか多すぎ!
リクエストされた言葉を翻訳にかけると「カジノ」「ルーレット」とか、ほぼスパムだろうと思われる言葉ばかり。。。 😳
たまたま、その日その時に My WP Customize のウェブサイトに集中するだけの変なリクエストで、翌日には解消されるのかな~と様子を見ていましたが、翌日も全く変わらずたくさんのリクエスト。。
という事で、My WP Add-on Lockout で不審なアクセスをブロックするように更新しました。
動作チェックをすると、ちゃんと 403 Forbidden を返しているようなので、うまくリクエストを弾いているようです。 🙂
-
WP Admin UI Customize アップデート(1.5.13)をしました
WP Admin UI Customize のプラグインに脆弱性があるよ~とご連絡いただき、久しぶりにWP Admin UI Customize(1.5.13) をアップデートしました。
今回はセキュリティアップデート(XSS対策)となりますので、プラグインをアップデートすることをおすすめします。 🙂
以下は今回のアップデートに関するような、関しないような日記的なものです。 😛
今回の脆弱性報告ですが、おそらく
という流れでご連絡いただいたようでした。
WP Scanって、日本で言うJapan Vulnerability Notesに近いものかな?と思いつつ、今回の脆弱性報告でWP Scanの存在を初めて知りました。
脆弱性を再現するための説明として手順や動画まであり(言葉だけではなく画像や動画などもあるご説明は開発者としてすごく助かります)、詳細を確認すると確かに一部エスケープ処理が足りずにJavascriptが実行できてしまう脆弱性となっていました。(参考 – IPA 1.5 クロスサイト・スクリプティング)
WP Admin UI Customize の開発はストップしていましたが、脆弱性であれば対応したほうがいいよな~と思い、2年ぶりに更新してみるか~と思いきや、なんと2年ではなく4年ぶりという事に自分で驚きでした。 🙄
「ん? そんなに経ってる? 2年しか経っていないと思ったんだけど。。どこかでタイムリープでもされた?? まぁいいや」 😳
という事で、久しぶりにプラグインのソースコードを確認すると、
「なんでこんな書き方したんだっけ? ふぇっ? 何これ、誰が書いたの?」(私です 😳 )
と、脆弱性というより、昔の乏しい記憶と勝手に戦いつつ、脆弱性報告の指摘箇所以外も含めて更新しました。
あまりにも久しぶり過ぎて、自分でもこのコードの書き方で合っているかな?と不安になりましたが、一通り動作確認もしたのでおそらく大丈夫だと思います。(もし不具合ありましたらご連絡ください)
今回の更新内容を詳しく見たい方は、以下のリンクから更新の差分を確認できますので良かったらご確認ください。 🙂
https://plugins.trac.wordpress.org/changeset/2811705/wp-admin-ui-customize
ってことで、アップデートも終えたしこれで終わりかな。
と思い安心していたところ、次は全く別の方から「今回の更新は本物の更新だよね?You のアカウントがハッキングされた訳ではないよね?」
みたいなコメントいただき、
「ほわっつ? ハッキングなんてされてないけど、なんでそんな事聞く?そんなに変なソースコードだった?」
「あ、もうアップデートなんてされないと思っていたプラグインから、4年ぶりに急にアップデート通知が来たから怪しく感じられた??」 😳
という事かなと思いました。(私自身も更新するとは思っていなかったし)
よくよく聞くと、全く意味の分からない文章があったり、英語のページで日本語(日本語が分からない外国人には変な漢字) が書いてあったり、で怪しく感じられたみたいでした。
なのでこれからは、readme には日本語は使わず、分かりやすい文章にして、プラグインを更新して、プラグインの説明ページとは別でブログやSNSなどで、
「プラグイン更新したよ~、
久しぶり~オレだよオレオレ~」っていうコメントを書けばいいんだろうと思っています。 😛
あれ?そういえば、2年間ぐらいの記憶が飛んでいたな。。
あれ?いつのまにこんなに白髪が増えたっけ?あれ?いまこのブログを書いている人(私)は本当に本人なんだろうか。。 😯
途中、自分でも一体何を書いているんだろうと思いつつ、久しぶりにブログ書きましたが、楽しく読んでいただけたら幸いです。
🙂
-
WordPress Plugin Archive Posts Sort Customize Version UP 1.5
フロントエンド(サイト)のカテゴリの投稿一覧等のアーカイブ一覧のカスタマイズをする
Archive Posts Sort Customize
のバージョンアップをおこないました。
最新バージョンは1.5。
やったこと
今回は以下の2つの更新をおこないました。
・投稿のページ属性でのソート
・投稿のタイトルから指定したワードを無視してソートをするように(The ****とか A ***とか)
1つめの投稿のページ属性ソートですが、そもそも通常インストールしただけのWordPressの投稿には、ページ属性という項目(metabox)がありません。
WordPressコアのままでは固定ページのみ、Page Attributes の Order(順序) を変更する事ができるようになっています。
Order of Page Attributes しかし、他のプラグインやテーマ等を用いて、投稿にもこの機能が使えるようにして、その変更した値の通りにソートをしたいという要望がありました。
なので、その機能を追加しました。
(簡単にできて良かった~ 😛 )
Order of Sort Target 2つ目の追加した機能は、予想以上に難しかったです。。
「投稿タイトルに The とか A とかがついている場合があるんだけど、その部分を無視してソートして欲しい」
という要望でした。要するに、こんな感じです。
- The Books
- Movies
- A Cat
この3つの投稿タイトルがあった場合、通常の投稿タイトルでの昇順(a-z)ソートを行った場合、
- A Cat
- Movies
- The Books
という順序になりますが、最初のA とかThe とかはメインタイトルではないので、
- The Books
- A Cat
- Movies
このようなソートが実現できるようにという事でした。
正直、そんなに難しくないだろうと思っていました… 😳
そういう機能がどっかにあるんだろうなぁ~と思って、ひたすら内部のコードをにらめっこしていたのですが、、、
exclude とかオプションで指定できるから、それっぽいのがどうせあるんでしょ…?と思って探していましたが。。。
私が探している限り、それっぽいものは見つかりませんでした。。 😥
(もしあるようでしたら、ご教授いただけますと幸いです 🙂 )
「しょうがないか。じゃあ、投稿一覧を取得して → タイトルからTheとかを除外して → ソートして → それをフロントエンドの投稿一覧に表示させるような方法にしようかな」
とやってみましたが、今度はページ送りが、ソートする以前のものになってしまう。。
う~ん、、おおもとを変更しないとだめかな。。SQL文変更しないと、だめかもな。。 😕
という事で、 posts_orderby っていう所にフックをかけて、MySQL側でTheとかを抜いた状態でソートしてねっていう感じにしようかと思いましたが、、
それっぽい方法のSQL文が、ググってもなかなか出てこない。。
あれ、これって既にありそうな機能だけどなぁ。 🙁
何を参考にしたかはたくさん見たのでもう覚えていないのですが、
ひたすらぐぐって、MySQLドキュメント見て、ぐぐって、ドキュメント見て、●●を投げて、、、
なんとか解決しました。MySQL :: MySQL 5.1 Reference Manual :: 12.5 String Functions
(SQL詳しくない人は苦労します。私は詳しくないので苦労しました。。。 😳 )
ちなみに、除外する言葉は自分で追加できるようにしているので、ソート対象から「タイトル」を選択すると、その言葉を入力する事ができるようになります。
Ignore word settings ダウンロードされるかたはこちらからどうぞ。
-
WordPress Plugin Post Lists View Custom Version UP 1.7
投稿一覧やカスタム投稿タイプ一覧、メディア一覧等の一覧画面をカスタマイズする
Post Lists View Custom
のバージョンアップをおこないました。
最新バージョンは1.7。
やったこと
今回の主なところは、
・カラムのソートを設定できるように
・4.0への対応
・たくさんの細かなバグの修正
となります。
現時点での、WordPress4.0以降の場合、「メディアライブラリ」の表示表法が「グリッド」と「リスト」の2種類ありますが、Post Lists View Customで対応しているカスタマイズは「リスト」形式の表示方法となります。
また、今回大きな機能として「カラムのソートの設定」をできるよう変更しました。(プラグインやテーマにて追加されたカラムに対して、ソートが用意されていない場合は不可となります)
List view for Posts customize カラムのソート設定はだいぶ前から検討していて、何度か時間の空きがあれば試して、だめで、試して、だめで。。。
何度か試していたのですが、なかなかできませんでした。
(右上に放り投げるように「ミ○ティーーーー」 😈 )
「プラグイン等で追加されたカラムのソートが出来ないように」は簡単にできるのですが、「投稿ID」や「スラッグ」、「アイキャッチ」のソートが出来るように…等が難しかったのです。。 😕
今回、やっとうまく動くようになったので機能追加をいたしました 😛
そして、前回もですがプラグインとアドオンの両方を更新しました。
しかし、前回はプラグイン及びアドオンの更新タイミングのずれの影響を考える事が出来なかったため、Post Lists View Custom のアドオンを使っているユーザーから「管理画面真っ白なんだけど…」というご連絡がありました。。 😥
なので、今回はわざとアップデートのタイミングを約10日ずらしてアドオンから先にアップデートを促すようにしました。
これで、多分うまくいくよね。。 😐
ダウンロードされるかたはこちらからどうぞ。
-
WordPress Plugin Js Css Include Manager Version UP 1.4
WordPressの管理画面、サイト(フロントエンド)画面へ読み込むJavascript、CSSファイルを整理することができる
Js Css Include Manager
のバージョンアップをおこないました。
最新バージョンは1.4です。
やったこと
主にやったこととしては、他のプラグインでもやっている事ですが、マルチサイトへの対応と、プラグインの動作権限を変更できるよう追加しました。
他には、ファイルの整理と最新版 4.0 への対応の確認をしました。
Js Css Include Manager add screen 最近はファイルの整理をしつつ、機能を追加という事をしています。
もし不具合等があれば、ご連絡お願いします。 😳
ダウンロードされるかたはこちらからどうぞ。
-
WordPress Plugin Screen Options and Help Show Customize Version UP 1.3
管理画面の右上にある「表示オプション」と「ヘルプ」のボタン表示を変更するプラグイン、
Screen Options and Help Show Customize
のバージョンアップをおこないました。
最新バージョンは1.3です。
やったこと
設定画面を大幅に変更し、対応する画面数を少し増やしました。
あと、プラグインを動作させる権限も変更できるようにしました。
Settings Interface また、WooCommerceについては、今までは「カスタム投稿タイプ」と「カスタムタクソノミー」の部分でカスタマイズが可能でしたが、WooCommerce専用に少し改良を加え、カスタマイズがしやすくなっています。
ダウンロードされるかたはこちらからどうぞ。
http://wordpress.org/plugins/screen-options-and-help-show-customize/
-
WordPress Plugin Archive Posts Sort Customize Version UP 1.4
フロントエンド(サイト)のカテゴリの投稿一覧等のアーカイブ一覧のカスタマイズをする
Archive Posts Sort Customize
のバージョンアップをおこないました。
最新バージョンは1.4。
やったこと
いつかは要望がくると思っていました。。。
「カスタムタクソノミーのソートのカスタマイズも出来るようにしてほしい!」
ですよねー。プラグインのアップデートの為に、まとまった時間がなかなか作れないです。。
前回カテゴリごとのソートカスタマイズをできるようにしていたので、そこまで時間を取らずに機能を追加することができたのですが…
・カスタムタクソノミーは複数作られる
・その中でタクソノミーは複数作られる
と、複数作られる場合が考えられた為、いつもながらどういった設定画面にしたほうがいいのか、悩みました。。
(結果、メニュー内にタクソノミーを表示し、設定画面ではタクソノミーごとの設定ができるようにしました 🙂 )
あと、別の要望として「The とか A とか、投稿タイトル名の一部を無視してソートできるように」というものがきていますので、近いうち、この機能をなんとかかんとか、やってみようと思います。 😎
ダウンロードされるかたはこちらからどうぞ。
