WordPress ออกอัปเดตย่อยเวอร์ชัน 6.5.2 ซึ่งเป็นการแก้ไขด้านความปลอดภัย ถัดจากเวอร์ชันหลัก 6.5 Regina ที่ออกมาเมื่อสัปดาห์ที่แล้ว โดยข้ามเลขรุ่น 6.5.1 เนื่องจากมีปัญหาแพ็คเกจ

ในอัปเดต WordPress 6.5.2 นี้ได้แก้ช่องโหว่ XSS ที่สามารถยิงสคริปต์เพื่อโจมตีเว็บไซต์ได้ WordPress จึงแนะนำให้ผู้ใช้งานอัปเดตโดยเร็วที่สุด

ทั้งนี้ WordPress มีกำหนดออกอัปเดตเวอร์ชันถัดไป 6.6 ในวันที่ 16 กรกฎาคม 2024

ที่มา: WordPress

WordPress ออกเวอร์ชัน 6.5 โค้ดเนม “Regina” มีของใหม่ดังนี้

• Font Library ตัวจัดการคลังฟอนต์ในระบบเว็บไซต์ รองรับการติดตั้งฟอนต์ด้วยตัวเอง และการดึงฟอนต์จาก Google Fonts มาใช้งาน
• ปรับปรุงการจัดการ revision ของเนื้อหาให้ละเอียดกว่าเดิม ลงลึกถึงระดับแยกเป็นรายบล็อค เพื่อให้เห็นการเปลี่ยนแปลงว่าแก้ไขอะไรไปบ้าง
• จัดการภาพพื้นหลังในบล็อคได้ดีขึ้น รองรับการตั้งค่าสัดส่วน (aspect ratio) ของภาพ, เพิ่มชั้นสีวางทับภาพ (color overlay) และการใส่เงาใต้ภาพ
• จัดการลิงก์ได้ดีขึ้น ปรับ UI ตอนแทรกลิงก์ใหม่ให้เรียบง่าย เพิ่มปุ่มสำหรับคัดลอกลิงก์ไปใช้งาน
• ปรับปรุงประสิทธิภาพกว่า 110 จุด ตัว Editor โหลดได้เร็วขึ้นจากเดิม 2 เท่า

ที่มา - WordPress

Automattic บริษัทแม่ของ WordPress.com และ Tumblr เปิดเผยว่าบริษัทกำลังเจรจาเพื่อขายคอนเทนต์บนแพลตฟอร์ม ให้กับบริษัทที่พัฒนา AI นำไปใช้เทรนข้อมูล ซึ่งในขณะเดียวกัน Automattic ก็ชี้แจงกระบวนการนี้ต่อผู้ใช้งานด้วยเช่นกัน

โดยทั้ง WordPress.com และ Tumblr ได้ประกาศแจ้งผู้ใช้งานถึงการปิดการทำงาน เพื่อไม่ให้คอนเทนต์ถูกนำไปเทรน AI มีประเด็นสำคัญคือ โดยค่าเริ่มต้นนั้นแพลตฟอร์มพยายามป้องกันไม่ให้มี AI มาดูดเนื้อหาออกไปอยู่แล้ว ส่วนประเด็นที่ Automattic เจรจาขายเนื้อหาโดยตรงกับบริษัท AI นั้น ผู้ใช้งานสามารถตั้งปิดไม่ให้เนื้อหาที่เป็นสาธารณะถูกนำไปเทรน AI ได้ (opt-out) ซึ่งมีส่วนการตั้งค่านี้ทั้งใน WordPress.com และ Tumblr

WordPress.com เปิดใช้งานฟีเจอร์ ActivityPub ตามปลั๊กอินที่เปิดตัวเวอร์ชัน 1.0 ไปก่อนหน้านี้ ทำให้เจ้าของเว็บไซต์ที่โฮสต์บน WordPress.com จำนวน 13.3 ล้านราย สามารถใช้โดเมนเว็บไซต์ตัวเองเป็นโปรไฟล์โซเชียลในระบบ fediverse (เช่น Mastodon) ได้ทันที โดยไม่ต้องตั้งเซิร์ฟเวอร์เอง

วิธีการใช้งานต้องไปเปิดใน Settings > Discussion > Fediverse ก่อน ซึ่งเราจะได้บัญชีชื่อ name.wordpress.com@name.wordpress.com มาใช้งาน หากเรามีโดเมนเนมของตัวเอง (custom domain) ก็สามารถนำมาเป็นโพรไฟล์ที่สั้นและจดจำง่ายขึ้นได้

WordPress ประกาศออกปลั๊กอิน ActivityPub 1.0.0 ซึ่งทำให้บล็อกของ WordPress สามารถถูกติดตามได้จากแอปอื่นที่อยู่ใน Fediverse เช่น Mastodon

ก่อนหน้านี้ WordPress ได้ซื้อปลั๊กอิน ActivityPub for WordPress เข้ามา รวมทั้งทีมนักพัฒนา ซึ่งปลั๊กอินนี้ได้รับการปรับปรุงฟีเจอร์หลายอย่าง ทั้งการติดตามแบบทั้งบล็อกจากเดิมต้องเลือก Author ด้วย, เพิ่มบล็อกส่วนให้กดติดตาม, แก้ไขบั๊ก ปรับปรุงความปลอดภัย และรองรับการทำงานร่วมกับ WordPress 6.3

ในตอนนี้ ActivityPub 1.0.0 รองรับเฉพาะเว็บไซต์ที่โฮสต์ WordPress เอง ส่วนบน WordPress.com จะรองรับเร็ว ๆ นี้

WordPress.com ผู้ให้บริการโฮสติ้งบล็อก ประกาศแผนใช้งานแบบใหม่สำหรับคนที่ต้องการเก็บสินทรัพย์ดิจิทัลไว้ยาวนาน โดยไม่ต้องมาคอยต่ออายุเป็นระยะ สามารถส่งต่อให้กับคนในครอบครัวได้ ตลอดจนเหมาะสำหรับองค์กรที่ต้องการปกป้องทรัพย์สินออนไลน์ไว้

แผนสมัครใช้งานนี้ชื่อว่า 100-Year Plan ซึ่งให้บริการตามชื่อ นั่นคือ ได้เป็นเจ้าของโดเมนเนมนั้นเป็นระยะเวลา 100 ปี ส่วนบริการอื่นที่ได้มาเช่นกันคือ มีแบ็คอัพเว็บไซต์กระจายไปยังศูนย์ข้อมูลต่าง ๆ หลายแห่ง, เป็นลูกค้าโฮสติ้งเทียร์บนสุดของ WordPress, ใช้งานทราฟิกได้ไม่จำกัด และซัพพอร์ตตลอด 24/7

WordPress ออกเวอร์ชัน 6.3 โค้ดเนม Lionel ตั้งชื่อตามนักดนตรีแจ๊ซ Lionel Hampton ของใหม่ที่สำคัญในเวอร์ชันนี้ได้แก่

All-In-One Security (AIOS) ปลั๊กอินด้านความปลอดภัยของ WordPress ออกอัพเดตเวอร์ชันล่าสุด 5.2.0 ระบุว่าแก้ไขบั๊กสำคัญในเวอร์ชันก่อนหน้า 5.1.9 โดยพบว่ามีการเก็บ log ในฐานข้อมูล เมื่อมีคนล็อกอินเข้าเว็บไซต์ ส่วนของรหัสผ่านเป็น plaintext ซึ่งผู้ใช้งานสิทธิระดับ Admin เท่านั้นที่เข้าถึง log นี้ได้ แต่ถือเป็นความเสี่ยงสูงด้านความปลอดภัย

Log Table ของฐานข้อมูล ที่เก็บรายละเอียดนี้คือ aiowps_audit_log ซึ่งเก็บข้อมูลกิจกรรมการล็อกอิน-ล็อกเอาท์ รวมทั้งการล็อกอินทีไม่สำเร็จ แต่เวอร์ชัน 5.1.9 พบว่าบันทึกข้อมูลรหัสผ่านที่กรอกเข้ามาด้วย

WordPress ประกาศเครื่องมือส่วนเสริมตัวใหม่ Jetpack AI Assistant ที่จะเพิ่มความสามารถให้กับเว็บไซต์ WordPress มากยิ่งขึ้น โดยเปิดให้ใช้งานแล้วทั้งบน WordPress.com และเว็บไซต์ที่มีเครื่องมือของ Jetpack

Automattic บริษัทแม่ของ WordPress.com อธิบายว่าเครื่องมือ Jetpack AI Assistant นี้จะเป็นส่วนหนึ่งของตัว Editor ใน WordPress ที่นำ AI มาช่วยทุ่นเวลาในการสร้างสรรค์เนื้อหาตามคำสั่ง เช่น ป้อน prompt ให้เขียนลิสต์สถานที่ท่องเที่ยวที่ต้องไปในโตเกียว พร้อมเขียนตารางอัตราแลกเปลี่ยนเงิน ก็จะได้เนื้อหาออกมาตามคำสั่งทันที

เมื่อวันที่ 27 พฤษภาคม 2003 เป็นวันแรกที่ Matt Mullenweg นักพัฒนาผู้ร่วมก่อตั้งโครงการ WordPress ประกาศปล่อยโค้ดแรกของโครงการ โดยยังไม่มีหมายเลขเวอร์ชั่น นับเป็นจุดเริ่มต้นของโครงการ CMS ที่ทุกวันนี้ให้บริการเว็บเกือบครึ่งอินเทอร์เน็ต

WordPress.com บริการโฮสต์เว็บไซต์ที่สร้างด้วย WordPress ของบริษัท Automattic ประกาศหยุดรองรับฟีเจอร์แชร์โพสต์ลง Twitter โดยอัตโนมัติ (Twitter Auto-Sharing) หลังโดนบริษัท Twitter ปิดการเข้าถึง API รุ่นเก่า ตามนโยบาย API เวอร์ชันใหม่ที่คิดเงินแพงกว่าเดิม

การเปลี่ยนแปลงนี้จะมีผลทั้งเว็บที่ฝากโฮสต์ไว้บน WordPress.com และเว็บโฮสต์เองที่ติดตั้งปลั๊กอิน Jetpack Social ของ Automattic ด้วย เริ่มมีผลวันนี้ 1 พฤษภาคม

WordPress ออกเวอร์ชัน 6.2 โค้ดเนม Dolphy ตามชื่อนักดนตรีแจ๊ส Eric Allan Dolphy Jr. ถือเป็นเวอร์ชันใหญ่ตัวแรกของปี 2023

ของใหม่ที่สำคัญในเวอร์ชันนี้คือ ตัวแก้ไขธีมและเลย์เอาท์ Site Editor ที่ยกเครื่องใหม่ มีฟีเจอร์ใหม่หลายอย่าง เช่น จัดการเมนูในบล็อคได้ดีขึ้น, จัดหมวดหมู่การตั้งค่าของบล็อคให้เป็นระเบียบขึ้น, รองรับการแทรกภาพจากคลังภาพ Openverse ที่ไม่มีปัญหาเรื่องไลเซนส์, ระบบ Style Book จัดการสไตล์ของบล็อคทั้งหมด, Copy & Paste สไตล์ได้, แทรก Custom CSS ได้เองแล้ว

WooCommerce ปลั๊กอินสำหรับสร้างเว็บอีคอมเมิร์ชยอดนิยมบน WordPress ที่มีผู้ใช้กว่า 500,000 เว็บ มีช่องโหว่ร้ายแรงสูง เปิดทางให้คนร้ายสามารถล็อกอินเป็นผู้ดูแลระบบได้โดยไม่ต้องมีบัญชีในระบบมาก่อน

ช่องโหว่อยู่ใน WooCommerce Payments โดยกระทบตั้งแต่เวอร์ชั่น 4.8.0 เป็นต้นมา ทางฝั่ง Automattic ผู้ให้บริการ WordPress.com และผู้พัฒนา WooCommerce เอง ก็เริ่มบังคับอัพเดตเว็บต่างๆ ที่ติดตั้งปลั๊กอินตัวนี้ ส่วนผู้ใช้ WordPress ที่เปิดระบบอัพเดตไว้ก็ควรเริ่มได้แพตช์มาติดตั้ง

เนื่องจากคนร้ายไม่ต้องมีบัญชีใดๆ ในระบบมาก่อน คาดว่าหลังจากนี้ไม่นาน คนร้ายจะเริ่มโจมตีเว็บเป็นวงกว้าง หากใครพบข้อสงสัยว่าโดนโจมตีแล้วควรเปลี่ยนรหัสผ่าน และกุญแจต่างๆ ที่อยู่ในฐานข้อมูลทั้งหมด

Matt Mullenweg ซีอีโอ Automattic เจ้าของ WordPress.com และ Tumblr เปิดเผยว่าบริษัทได้ซื้อปลั๊กอิน ActivityPub for WordPress เข้ามาเป็นที่เรียบร้อย พร้อมรับทีมนักพัฒนาปลั๊กอินดังกล่าว มาเป็นส่วนหนึ่งของ Automattic

ActivityPub for WordPress เป็นเครื่องมือช่วยให้ผู้พัฒนาเว็บบน Wordpress สามารถเผยแพร่เนื้อหาใน Fediverse ผ่านโปรโตคอล ActivityPub ได้ ซึ่งปัจจุบันมีแพลตฟอร์มที่รองรับเช่น Mastodon, Pleroma รวมไปถึง Tumblr ซึ่งก่อนหน้านี้ประกาศจะเพิ่มการรองรับด้วยเช่นกัน

ทีมงาน Performance Lab ของ Wordpress เริ่มปล่อยปลั๊กอินสำหรับการย้ายฐานข้อมูลจาก MySQL ไปยัง SQLite หลังจากเสนอฟีเจอร์นี้ตั้งแต่เดือนกันยายนที่ผ่านมาและได้รับเสียงสนับสนุนค่อนข้างมาก

การทดสอบฟีเจอร์นี้ต้องติดตั้งปลั๊กอิน Performance Lab เวอร์ชั่น 1.8 ขึ้นไป และเปิดใช้งาน SQLite จากในเมนูอีกที เมื่อเปิดใช้งาน ตัวปลั๊กอินจะคอนฟิกระบบให้ไปใช้ SQLite โดยอัตโนมัติ แต่ข้อมูลเช่น โพสต่างๆ หรือรายชื่อผู้ใช้จะไม่ถูกย้ายไปด้วย โดยทีมงานระบุว่าหากฟีเจอร์นี้ได้รวมเข้าไปใน Wordpress จริงก็จะเป็นฟีเจอร์ที่ผู้ใช้ต้องเลือกฐานข้อมูลแต่แรก แต่อาจจะมีปลั๊กอินแยกช่วยย้ายข้อมูลอีกทีหนึ่ง

WordPress ออกเวอร์ชัน 6.1 โค้ดเนม Misha ตั้งชื่อตามนักเปียโนชาวรัสเซีย Mikhail “Misha” Alperin ตัวอย่างของใหม่ในเวอร์ชันนี้ได้แก่

• ธีมใหม่ Twenty Twenty-Three รองรับการปรับสไตล์ย่อยได้ 10 แบบ
• เพิ่มเทมเพลตใหม่ใน Site Editor, รองรับการทำ search/replace แก้ไขเทมเพลตง่ายขึ้น
• เพิ่มการล็อคบล็อค ไม่ให้แก้ไขค่าของบล็อคในกลุ่มเดียวกันทั้งหมด
• รองรับ Fluid Typography ธีมสามารถกำหนดขนาดฟอนต์ให้สเกลตามขนาดหน้าต่าง

Wordpress 6.0 Codename "Arturo" โดยมีที่มาจาก Arturo O'Farrill นักดนตรีแจ๊สชื่อดัง มีฟีเจอร์ที่น่าสนใจดังนี้

• Style Switcher - สามารถสร้างแพทเทิร์นเซฟเก็บไว้ และกดเปลี่ยนในรูปแบบ shortcut ได้ทันที
• Flex-based container blocks - บล็อคจะมีความยืดหยุ่นมากขึ้นสำหรับหน้าจอแต่ละขนาด สามารถควบคุมรูปแบบตำแหน่งการแสดงผลแต่ละอุปกรณ์ได้หลากหลายขึ้น
• Block Locking Controls - สามารถล็อคการแก้ไขในแต่ละบล็อคได้แล้ว เพื่อป้องกันความผิดพลาดในระหว่างการปรับแต่ง

พร้อมกับการแก้ไขบั๊กต่างๆ อีกกว่า 600 รายการ ส่วนฟีเจอร์อื่นๆ สามารถรับชมได้จากวิดีโอด้านล่าง

Marc Montpas นักวิจัยความปลอดภัยจาก Jetpack รายงานช่องโหว่ปลั๊กอินของ WordPress สำหรับแบ็คอัพชื่อ UpdraftPlus โดยช่องโหว่นี้ทำให้ user ที่สิทธิ์ไม่สูงเช่น subscriber สามารถดาวน์โหลดไฟล์แบ็คอัพล่าสุดของทั้งเว็บได้ ซึ่งมีความเสี่ยงเพราะอาจได้ข้อมูลทั้งรายชื่อผู้ใช้งานและรหัสผ่านที่เข้ารหัส

ตามปกติสิทธิ์ในการเข้าถึงไฟล์แบ็คอัพ WordPress นั้นต้องเป็นระดับ administrator เท่านั้น

UpdraftPlus เป็นปลั๊กอิน WordPress ที่มีการติดตั้งมากกว่า 3 ล้านครั้ง โดยทีมนักพัฒนาได้ออกอัพเดตแก้ไขช่องโหว่นี้ในเวอร์ชันล่าสุด 1.22.3 แล้ว จึงแนะนำผู้ดูแลเว็บไซต์ที่ติดตั้งปลั๊กอินนี้ให้อัพเดตโดยด่วน

GoDaddy เว็บโฮสติ้งรายใหญ่ของโลก แจ้งข้อมูลต่อ ก.ล.ต. สหรัฐ (SEC) ว่าบริษัทโดนเจาะระบบให้บริการโฮสติ้ง WordPress เป็นระยะเวลาประมาณ 2 เดือน กระทบลูกค้าอย่างน้อย 1.2 ล้านราย

รายงานของ GoDaddy บอกว่าเหตุการณ์เจาะระบบเกิดขึ้นเมื่อ 6 กันยายน แต่บริษัทเพิ่งมาพบร่องรอยเมื่อ 17 พฤศจิกายนที่ผ่านมา ระบบที่ได้รับผลกระทบคือส่วน Managed WordPress ที่เป็นบริการรับฝากเว็บที่ใช้ WordPress โดยทีมงานของ GoDaddy ดูแลระบบหลังบ้านให้เสร็จสรรพ (ลักษณะเดียวกับ WordPress.com)

WordPress ออกเวอร์ชัน 5.8 โค้ดเนม Tatum ตามนักดนตรีแจ๊ส Art Tatum

ของใหม่เกือบทั้งหมดไปอยู่ที่ Block Editor ตัวใหม่ (Gutenberg) เช่น Block Widget Editors เพิ่มบล็อคเนื้อหาลงใน widget ได้แล้ว, Page Structure แสดงโครงสร้างของบล็อคในเพจ เหมาะกับเพจที่ซับซ้อน มีบล็อคซ้อนกันเยอะๆ

ของใหม่ด้านอื่นๆ คือ หยุดรองรับ IE11 และรองรับภาพฟอร์แมต WebP แล้ว (สักที), เพิ่มไฟล์ Theme.json เอาไว้เก็บคอนฟิกว่าแสดงผลสไตล์ของเว็บอย่างไร แก้ไฟล์นี้ที่เดียวเป็น global styles/settings ได้เลย

Automattic บริษัทแม่ของ WordPress.com และ Tumblr ได้เข้าซื้อ Pocket Casts บริษัทพัฒนาแพลตฟอร์มพอดแคสท์อย่างเป็นทางการ

Pocket Casts เปิดให้บริการในปี 2010 และมีโครงการทำเงินผ่าน Pocket Casts Plus ซึ่งเก็บเงินลูกค้าเพื่อใช้ฟีเจอร์พรีเมียมอย่างเช่นเข้าใช้งานผ่านเดสก์ท็อปหรือแอปแบบ standalone บน Apple Watch โดย Automattic ซื้อ Pocket Casts มาจากกลุ่มบริษัทวิทยุโดยไม่เปิดเผยมูลค่า

ภายหลังเข้าซื้อกิจการแล้ว Russell Ivanovic และ Philip Simpson ผู้ร่วมก่อตั้ง Pocket Casts จะยังคงทำงานในทีมเดิมต่อไป ซึ่ง Automattic อาจนำฟีเจอร์จาก Pocket Casts นี้อินทิเกรตเข้ากับผลิตภัณฑ์หลักคือ WordPress.com ให้ผู้ใช้งานเครื่องมือสร้างเว็บไซต์มีช่องทางกระจายคอนเทนต์ที่หลากหลายมากยิ่งขึ้น

Automattic บริษัทแม่ของ WordPress.com เข้าซื้อ Day One แอปจดบันทึกสำหรับ iPhone และ Mac เป็นแอปจดบันทึกส่วนตัวใช้งานฟรี มีเทมเพลตและ UI สวยงาม สามารถแนบรูปภาพและแผนที่ได้ ปัจจุบันมีผู้ดาวน์โหลดไปใช้แล้ว 15 ล้านครั้ง

WordPress ประกาศหยุดซัพพอร์ต Internet Explorer 11 ตามประกาศของไมโครซอฟท์ โดยจะเริ่มมีผลใน WordPress 5.8 ที่ออกช่วงเดือนกรกฎาคมนี้

WordPress บอกว่าการหยุดซัพพอร์ตหมายถึงว่าจะไม่ทดสอบฟีเจอร์ใหม่ๆ กับ IE11 อีกแล้ว แปลว่าอาจใช้งานได้ (โชคดีไป) หรือไม่ได้ จากข้อมูลของ WordPress เองคาดว่าจุดที่ได้รับผลกระทบที่สุดคือ block editor ตัวใหม่ (Gutenberg) และหน้า dashboard ที่ใช้ฟีเจอร์ใหม่ๆ ของ CSS หลายอย่างที่ไม่มีใน IE11

ที่มา - WordPress

จากกรณี เบราว์เซอร์หลายตัวแบน หรือไม่มีแผนรองรับเทคนิคตามรอยเพื่อโฆษณา FLoC ของกูเกิล

ล่าสุดทีมพัฒนา WordPress ในฐานะ CMS ยอดนิยมของโลก เสนอว่าควรมอง FLoC เป็นเหมือนช่องโหว่ความปลอดภัยอีกตัวหนึ่ง และออกแพตช์เพื่อปิดการทำงานของ FLoC ใน HTTP header หาก Chrome ส่งเข้ามาถามตอนเรียกหน้าเว็บเพจ

โค้ดปิดการทำงานของ FLoC มีแค่ 4 บรรทัด และน่าจะถูกรวมเข้าใน WordPress 5.8 ที่มีกำหนดออกในเดือนกรกฎาคม 2021

Cloudflare ร่วมมือกับ WordPress.com ผู้ให้บริการโฮสต์เว็บรายใหญ่นำบริการ analytics แบบไม่ติดตามตัวของ Cloudflare เป็นตัวเลือกให้ผู้ใช้ WordPress.com ใช้งาน

ผู้ใช้ WordPress.com จะเห็นตัวเลือก Cloudflare Web Analytics ใน dashboard ส่วน Marketing เป็นตัวเลือกเพิ่มจากตัวเลือกยอดนิยมอย่าง Google Analytics

บริการ Analytics ของ Cloudflare เปิดตัวตั้งแต่เดือนตุลาคมปีที่แล้ว แม้จะยังไม่ได้รับความสนใจเท่ากับบริการยอดนิยมอย่าง Google Analytics แต่ก็มีความได้เปรียบที่ผู้ใช้ Cloudflare ทั้งหมดจะใช้บริการนี้ได้ทันที ขณะที่ผู้ที่ไม่ได้ใช้ Cloudflare ก็ยังใช้งานเฉพาะตัว Analytics ได้ฟรี