WordPress.com 將全面提供 HTTPS 服務

WordPress.com 宣佈將全面提供 HTTPS 服務:「HTTPS Everywhere: Encryption for All WordPress.com Sites」。

其中 wordpress.com 應該是買 wildcard SSL certificate 來做,而 custom domain 的部份將會透過 Let's Encrypt 來做:

The Let’s Encrypt project gave us an efficient and automated way to provide SSL certificates for a large number of domains. We launched the first batch of certificates in January 2016 and immediately started working with Let’s Encrypt to make the process smoother for our massive and growing list of domains.

這包括了對 SPDY + HTTP/2 的支援,使得 HTTPS 的速度不比 HTTP 差 (甚至更快)。

WordPress 陸續推出了 AMP 與 Facebook Instant Article 的套件

大家都花很多力氣在讓行動裝置上的體驗更好...

去年十月 WordPress 支援 Google 所發展出來的標準 AMP (Accelerated Mobile Pages):「Accelerating the Mobile Web」。

而前陣子則支援了 Facebook 自家平台的標準 Facebook Instant Articles:「New: WordPress Plugin for Facebook Instant Articles」。

WordPress 的人可以直接使用...

跑 WordPress 的 PHP 版本統計

在「Why We’re Still Seeing PHP 5.3 In The Wild (Or: PHP Versions, A History)」這邊看到一些有趣的統計資料,雖然是 2015 的舊文章,但因為統計資料是公開的,可以透過同樣方式抓到現在的情況。

作者在 2015 年七月 (大約是月底) 的數字是:

$ curl http://api.wordpress.org/stats/php/1.0/ | jq '.'
{
  "5.2": 13.603,
  "5.3": 32.849,
  "5.4": 40.1,
  "5.5": 9.909,
  "5.6": 3.538
}

剛剛跑的數字是:

$ curl -s https://api.wordpress.org/stats/php/1.0/ | jq .
{
  "7.0": 0.423,
  "5.6": 12.429,
  "5.5": 17.188,
  "5.4": 35.824,
  "5.3": 24.754,
  "5.2": 9.382
}

可以看到即使是 2016 年的現在,PHP 5.3 與 PHP 5.4 還是超級大宗,但都已經沒有安全性更新了。

作者猜測 shared hosting 在 WordPress 佔的比重還是很大,而大多數的 shared hosting 商不太管這個,架完後就放著跑沒打算升級了...

WordPress 應該強硬一點啊,在「Requirements」這邊這樣寫怎麼會有 hosting 商想升級:

Note: If you are in a legacy environment where you only have older PHP or MySQL versions, WordPress also works with PHP 5.2.4+ and MySQL 5.0+, but these versions have reached official End Of Life and as such may expose your site to security vulnerabilities.

就「會動」啊...

把系統換成 PHP 7...

PHP 7.0 出兩個月了,應該是時候測試看看跑得如何... 所以剛剛把整個系統換成 PHP 7.0 了。

本來用的是「PPA for PHP 7.0 (deprecated use ppa:ondrej/php)」這個版本,經過標題的指示後改用「PPA for co-installable PHP 5.6 + 7.0」這個版本,看起來是沒什麼大問題。

跑一陣子看看吧。

使用 WordPress 的內容佔有全 Web 的 25% 比率

WordPressMatt Mullenweg 在他的 blog 上提到了 WordPress 的內容建構了 Web 上的 25% 內容:「Seventy-Five to Go」,出自 W3Techs 的「 Historical yearly trends in the usage of content management systems for websites 」這邊的資料。

WordPress 從 2004 年 MovableType 的 license 爭議事件後崛起 (Commitment to a Free Version, while getting our pricing right),後來就愈站愈穩了,而 MovableType 在 2007 年又宣布 open source (Movable Type Open Source),但也已經無法挽回了...

而且 WordPress 的比率目前還在緩緩攀升...

Alex King 過世...

Alex KingWordPress 非常早期的知名開發者,十多年前因為 MovableType 更改授權而跳到 WordPress 時就對這個名字非常有印象了,以前還用過他寫的 theme...

結果剛剛看到跟癌症纏鬥了兩年半之後過世的消息,讓人感傷不已:「Remembering Alex King」(Alex Tow)、「Remembering Alex King」(Matt Mullenweg)。

WordPress 緊鑼密鼓的測試 PHP7...

看到「WordPress and PHP7」這篇,先講題外話,居然是 make.wordpress.org 這個網址... XD

回到主題,WordPress 正在測試 PHP 7 的相容性,並且呼籲 theme 與 plguin 作者也應該加入測試。

之所以會這麼重視 PHP 7,主要還是因為對效能的提昇感到興奮:

One of the most notably is substantial performance improvements.Benchmarks of WordPress using PHP7 are showing a 2-3x speed improvement compared to PHP5.6.

目前 blog 跑的是 5.6,等 7.0 正式出的時候來測一次吧,到時候要升級前先打一輪 5.6,升級後再打一輪 7.0,看看效能差異如何。

WordPress 的安全性資訊

在「WPScan Vulnerability Database WordPress Security Resource」這邊看到「WPScan Vulnerability Database」這個站台,直接列出了 WordPress 相關的安全性漏洞。

列出的漏洞包括了 WordPress 本身以及 Plugin、Theme 的部份。不過 WordPress 在有更新時自己應該會提醒才對?

這樣看起來主要是確認一直沒更新的安全性漏洞?

把舊站的 comment 關掉...

這幾天 blog 常常出現 504,連到機器上發現 MySQL 很忙,才發現是舊站 spam 的量太大的問題造成的,把舊站的 comment 關掉後就好不少,現在看機器的 CPU loading 應該是正常多了。

新站已經是用 DISQUS 所以比較沒有 comment spam 的問題。舊站那邊除了關掉 comment 外,另外直接進 MySQL 把 2006 年之後的 comment 都丟到 pending 裡面去。(因為 2005 年 8 月後就沒更新舊站了)

來研究看看要怎麼把舊的 comment 丟進 Akismet...

Update:發現只要按下 Check for Spam 的按鈕就會把目前 Pending comments 都丟去 Akismet 掃,先丟著 :p