plugin – Page 3 – Gea-Suan Lin's BLOG

WordPress 的安全性資訊

在「WPScan Vulnerability Database WordPress Security Resource」這邊看到「WPScan Vulnerability Database」這個站台，直接列出了 WordPress 相關的安全性漏洞。

列出的漏洞包括了 WordPress 本身以及 Plugin、Theme 的部份。不過 WordPress 在有更新時自己應該會提醒才對？

這樣看起來主要是確認一直沒更新的安全性漏洞？

避免 WordPress 被嵌入的 Plugin...

意外在 Facebook 上看到「如何阻擋網站被 7headlines 等類似的網站用 iframe 嵌入？」這篇，才發現在 WordPress 裡的 Frame Buster 不會動了...

不知道 Frame Buster 是升級到 WordPress 3.9 後才不會動，還是不會動很久了 (剛好是在今天升級到 WordPress 3.9)，只好去找替代品...

測了一下確認「WP No Frame」是會動的，不過看了 HTTP response header，好像是純 javascript 的方案，沒有包括 X-Frame-Options，有點可惜，但先這樣放著跑吧...

在 Flash 上播 HLS...

靠的是「Apple’s HTTP Live Streaming (HLS) in Flash !」這篇「2014/02/12 的 comment」解的 (不是原文內的方法)。

專案在 GitHub 上：「HLSProvider is a Flash/AS3 plugin that plays back HLS streams」。

使用方式與範例可以在「HLSprovider/test/flowplayer at master · mangui/HLSprovider」這邊翻到，直接看 index.html，並且把 swf 檔弄出來就可以動了。

不過實際測試發現 buffer 的部份好像處理的不是很好... 但至少有東西可以用了 :o

隨著圖片而更改背景顏色的 jQuery Plugin...

直接看示範頁面就可以理解了：「jquery.adaptive-backgrounds.js • A jQuery plugin for extracting dominant colors from images and applying it to its parent」。

GitHub 的頁面在「briangonzalez/jquery.adaptive-backgrounds.js」。

如果圖片不在同一個 domain 下，會需要設定 CORS 權限 (Cross Origin Resource Sharing)，或是在 img tag 下指定 crossorigin 屬性讓程式可以讀取。

Gmail.js

前幾天看到的「Gmail.js - JavaScript API for Gmail」，這並不是 Google 官方的 JavaScript API，而是給開發瀏覽器套件的人用的 JavaScript API。

甚至有給範例，讓你可以透過 Chrome Console 嘗鮮：

看文件發現比較特別的是提供了 Observe 的功能，可以抓到 Gmail 的事件 :p

裝了 tagbar...

看了 hSATAC 寫的「我的 Golang Vim 配置」後，研究了一下裡面的 plugin，發現幾個還不錯的 plugin 可以用...

其中一個是 tagbar，安裝後依照官方 Quickstart 的建議，把 F8 變成展開：

nmap <F8> :TagbarToggle<CR>

其他的設定可以參考 tagbar.txt。

改用 Jetpack 的 Mobile Theme (本來是 WPtouch Mobile Plugin)

剛剛發現 Jetpack 就內建 Mobile Theme 了，把 WPtheme Mobile Plugin 拿掉後用手機看了看，效果不算差...

先放著跑看看吧，過陣子再來決定要留哪個 @_@

W3 Total Cache 0.9.2.8...

W3 Total Cache 0.9.2.8 出來幾個小時候蒐集到足夠的資料了：

下一個版本究竟會不會好呢... XD

W3 Total Cache 0.9.2.6 的災情慘重...

W3 Total Cache 出了新版，升級上去後 WordPress 就爛掉了，最後是先 downgrade 到 0.9.2.5，然後再進系統把 W3 Total Cache 完全 deactive...

有看到升級資訊的人可以先等一下，這次的 0.9.2.5 到 0.9.2.6 不是 minor version upgrade：

-rw-r--r--   1 gslin  staff   854455 Feb  6 04:12 w3-total-cache.0.9.2.3.zip
-rw-r--r--   1 gslin  staff   915186 Feb  6 04:11 w3-total-cache.0.9.2.4.zip
-rw-r--r--   1 gslin  staff   915384 Feb  6 04:02 w3-total-cache.0.9.2.5.zip
-rw-r--r--   1 gslin  staff  1292961 Feb  6 04:11 w3-total-cache.0.9.2.6.zip

看起來這個作者沒什麼版本號的觀念，之後升級他的東西小心一點... XD

W3 Total Cache 安全性問題...

在「W3 Total Cache Implementation Vulnerability」這篇說明了 WordPress 知名外掛 W3 Total Cache 的安全性問題，原來的在通報在 Full Disclosure Mailing List 上：「WordPress Remote Exploit - W3 Total Cache」。

當沒有 opcode cache (像是 APC) 而使用 disk DB cache 時，會有安全性問題。

除了關掉 DB cache 以外，目前的 workaround 建議是針對 /wp-content/w3tc/dbcache 擋掉，像是用 .htaccess 擋：

# deny from all