Automattic ประกาศว่า ในอนาคต WordPress จะใช้โฮสต์ที่มี HTTPS ให้ใช้งานเท่านั้น เนื่องจากปัจจุบันเบราว์เซอร์ยุคใหม่รวมถึงโครงการอย่าง Let’s Encrypt ก็ทำให้การขอใบรับรองเพื่อความปลอดภัยนั้นง่ายขึ้นมาก และ Automattic เชื่อว่าโฮสต์ทุกเจ้าจะต้องรองรับเป็นค่าเริ่มต้นแล้ว โดยเฉพาะหลังจากที่ Google ประกาศนำ SSL มาจัดอันดับในการค้นหาด้วย
ในต้นปี 2017 นั้น Automattic จะโปรโมตเฉพาะโฮสติ้งที่เป็นพาร์ทเนอร์เฉพาะที่รองรับ SSL เป็นค่าเริ่มต้นในบัญชีเท่านั้น และหลังจากนั้นจะเริ่มตีค่าฟีเจอร์ที่ตามมาด้วย เช่น การอนุญาต API ที่จะได้ผลประโยชน์จาก SSL และทำให้ใช้งานได้เฉพาะเมื่อ SSL เปิดทำงานเท่านั้น
Wordfence ผู้ให้บริการความปลอดภัยสำหรับ WordPress รายงานถึงช่องโหว่ของเซิร์ฟเวอร์ api.wordpress.com
ที่มีช่องโหว่นำโค้ดขึ้นไปรันบนเซิร์ฟเวอร์ได้ จนกระทั่งแฮกเกอร์สามารถสั่งเว็บ WordPress ทั่วโลกให้อัพเดตซอฟต์แวร์ที่มุ่งร้ายได้
ช่องโหว่นี้เริ่มต้นจากโค้ด webhook ของ WordPress ที่ใช้เชื่อมต่อไปยัง GitHub โดยเมื่อรับค่าจาก GitHub แล้วจะสั่ง shell_exec
แม้ว่าจะมีการตรวจค่าแฮชเพื่อยืนยันว่าข้อมูลมาจาก GitHub แต่ตัว webhook กลับยอมรับค่าแฮชแบบอื่น เช่น crc32 และ adler32 ทั้งที่ GitHub จะส่งค่าแฮชเฉพาะ SHA1 เท่านั้น ทำให้ทาง Wordfence สามารถปลอมค่าแฮช
WordPress ปล่อยอัพเดตเวอร์ชัน 4.6.1 ออกมาเพื่ออัพเดตความปลอดภัยของเวอร์ชันก่อนหน้านี้ โดย WordPress 4.6 มีจุดเสี่ยงที่รายงานโดยผู้ใช้ 2 จุดได้แก่ ช่องโหว่ cross-site scripting ที่เกิดจากชื่อไฟล์ภาพและช่องโหว่ตัวอัปโหลดอัพเดตแพ็คเกจมีการข้ามเส้นทางไป
นอกจากนี้ยังมีการแก้ไขบั๊กอีก 15 จุดจากเวอร์ชันก่อนหน้าอีกด้วย อัพเดตได้แล้วตั้งแต่วันนี้ผ่านทางระบบอัพเดตของ WordPress เพื่อความปลอดภัยของเว็บไซต์ครับ
ที่มา : WordPress News
Automattic ผู้พัฒนา WordPress และพัฒนาปลั๊กอินหลายๆ ตัวที่มีชื่อเสียง ล่าสุดได้ประกาศว่าจะนำ React.js มาใช้พัฒนาปลั๊กอิน Jetpack ส่วนผู้ดูแลระบบ ซึ่งขณะนี้อยู่ในช่วงเบต้าและปล่อยให้ทดสอบในกลุ่มผู้ใช้บางส่วนแล้ว
ใครที่ต้องการร่วมทดสอบ Jetpack Beta เวอร์ชัน 4.3 สามารถลงทะเบียนได้ที่ https://jetpack.com/beta/ หากพบปัญหาในการใช้งานรวมถึงแจ้งบั๊กได้ที่ Github ของ Jetpack หรือที่ Beta Feedback
ที่มา : WP Tavern
หลังจากปล่อยเวอร์ชัน 4.6 ไปเมื่ออาทิตย์ก่อน ทีมงานของ WordPress ก็เริ่มพัฒนาเวอร์ชัน 4.7 แล้วในสัปดาห์นี้ โดยในเวอร์ชันใหม่มีสิ่งที่นักพัฒนาคาดหวังให้อยู่ในเวอร์ชันต่อไปได้แก่
สำหรับการปล่อยเวอร์ชัน 4.7 ทีมงานวางแผนไว้ว่าจะปล่อยในวันที่ 6 ธันวาคม ส่วนเวอร์ชันเบต้าคาดว่าจะปล่อยให้ทดสอบได้ในวันที่ 26 ตุลาคม
ที่มา : WP Tavern
WordPress 4.6 โค้ดเนม "Pepper" (ตามชื่อนักดนตรีแจ๊ซ Park Frederick “Pepper” Adams III) ออกเวอร์ชันจริงแล้ว ของใหม่ได้แก่
ที่มา - WordPress
WordPress เวอร์ชัน 4.6 ที่ใกล้จะได้เวลาปล่อยในเร็วๆ นี้ เพิ่มฟีเจอร์ตรวจสอบลิงก์ที่ผิดพลาด (หรือลิงก์เสีย) ลงใน editor ของตัวเอง
เมื่อผู้ใช้เพิ่มลิงก์ลงไปในบทความ หากมีรูปแบบของลิงก์ที่ผิดพลาดหรือเป็นลิงก์เสีย ระบบ editor จะแจ้งให้ผู้ใช้ทราบได้ทันทีเพื่อให้ผู้ใช้แก้ไขใหม่ ฟีเจอร์นี้จะช่วยหลีกเลี่ยงการมีลิงก์เสียอยู่ภายในบทความโดยไม่ได้ตั้งใจ และช่วยทำให้เว็บไซต์ไม่พบลิงก์เสียอยู่ภายในโครงสร้างของเว็บ ที่จะส่งผลต่อเรื่อง SEO อีกด้วย
สำหรับ WordPress 4.6 ยังอยู่ในช่วง RC 1 อยู่ คาดว่าจะปล่อยให้อัพเดตอย่างเป็นทางการในวันที่ 16 สิงหาคมนี้
ที่มา : WP Tavern
นักวิจัยความปลอดภัยเริ่มค้นพบการโจมตีเว็บไซต์ WordPress ผ่านปลั๊กอินที่ชื่อว่า WP Mobile Detector โดยช่องโหว่ของตัวปลั๊กอินคือไม่มีการตรวจสอบด้านความปลอดภัยและลบอินพุตที่เป็นอันตรายที่ส่งเข้ามาโดยผู้เยี่ยมชมเว็บไซต์ จึงทำให้ผู้ไม่ประสงค์ดีสามารถส่งโค้ด PHP ที่เป็นอันตรายเข้าไปใน request และเว็บไซต์ที่ใช้ปลั๊กอินนี้จะรับเข้าไปรันได้
Douglas Santos นักวิจัยความปลอดภัยจาก Sucuri เผยว่าช่องโหว่นี้ง่ายต่อการเจาะมาก ผู้โจมตีแค่ส่ง request ไปยัง resize.php หรือ timthumb.php พร้อม backdoor URL ไปเท่านั้น
Automattic บริษัทแม่ของ WordPress.com ประกาศว่าซื้อสิทธิบริหารโดเมนเนม .blog มาเรียบร้อยแล้ว และจะเปิดให้บริการภายในปีนี้ ใครก็สามารถมาจดโดเมน .blog ได้ โดยไม่จำเป็นต้องมีบัญชี WordPress.com
ตอนนี้ Automattic ยังไม่ระบุราคาของโดเมน .blog แต่บอกกว้างๆ ว่าราคาจะใกล้เคียงกับ top-level domain (TLD) รุ่นใหม่ๆ และพวกชื่อสวยๆ อาจมีราคาเพิ่มจากปกติอยู่บ้าง
ใครอยากได้ชื่อ .blog ก็เตรียมคิดๆ กันไว้ได้ครับ
WordPress 4.5 ออกแล้ว รุ่นนี้ใช้โค้ดเนม Coleman เพื่อระลึกถึงนักแซ็กโซโฟน Coleman Hawkins ของใหม่ในรุ่นนี้ได้แก่
WordPress.com บริการฝั่งโฮสต์บล็อกประกาศเปิดให้บริการ HTTPS ฟรีกับทุกเว็บแม้จะเป็นเว็บที่โดเมนภายนอกก็ตามโดยอาศัยใบรับรองจาก Let's Encrypt
กระบวนการอัพเกรดจะอัตโนมัติทุกอย่าง ผู้ใช้ไม่ต้องทำอะไรเพิ่ม
WordPress ระบุว่าการอัพเกรดไปยัง HTTPS ไม่ใช่แค่เรื่องของความปลอดภัย แต่ทำให้อันดับค้นหาในกูเกิลดีขึ้น
ทาง WordPress ทดสอบการอัพเกรดมาตั้งแต่เดือนมกราคมที่ผ่านมา และเพิ่งประกาศอัพเกรดให้กับลูกค้าทั้งหมดในวันนี้ สำหรับผู้ใช้ทั่วไปที่ใช้ซับโดเมนของ WordPress.com เองนั้นรองรับ HTTPS มาตั้งแต่ 2014
ตอนนี้ WordPress.com มีลูกค้าที่ใช้โดเมนของตัวเองกว่าล้านราย กระบวนการอัพเกรดครั้งนี้น่าจะทำให้เว็บเข้ารหัสเพิ่มขึ้นอย่างมีนัยสำคัญ
เราค่อยๆ เห็นข้อมูลมากขึ้นว่าเอกสารชุดที่เรียกกันว่า Panama Papers นั้นหลุดออกมาได้อย่างไร นอกจากที่พบว่าเว็บที่ให้ลูกค้าเข้ามาอัพเดตข้อมูลของบริษัทใช้ Drupal เวอร์ชันเก่ามากแล้ว ยังมีคนตั้งข้อสังเกตว่าเว็บไซต์หลักของบริษัท Mossack Fonseca ใช้ Wordpress plugin ชื่อ Slider Revolution เวอร์ชั่น 2.1.7 ซึ่งเก่ามาก (และขณะนี้ก็ยังไม่ได้อัพเดต)
โดยเวอร์ชั่นที่เก่ากว่า 3.0.95 มีช่องโหว่ให้ผู้ไม่ประสงค์ดีสามารถวางไฟล์บนเซิร์ฟเวอร์ได้ด้วยการใช้ AJAX call หรือเข้าถึงไฟล์ wp-config.php ซึ่งมีชื่อผู้ใช้และรหัสผ่านฐานข้อมูล Wordpress
และปรากฏว่าเว็บไซต์หลักและเมลเซิร์ฟเวอร์ของบริษัทอยู่บนเครือข่ายเดียวกัน ดังนั้นในทางทฤษฎีแล้วนี่อาจเป็น "ทางเข้า" ที่ hacker ใช้ในการเข้าถึงข้อมูลอื่นๆ ที่หลุดออกมาได้เช่นกัน
ต่อจากข่าว Facebook เตรียมเปิดให้เจ้าของคอนเทนต์ใช้ Instant Articles กันได้ถ้วนทั่ว 12 เมษายนนี้ ล่าสุด Facebook จับมือกับบริษัท Automattic ออกปลั๊กอิน แปลงเว็บเพจเป็นฟอร์แมต Instant Articles สำหรับ WordPress มาแล้ว
เจ้าของเว็บที่เป็น WordPress สามารถดาวน์โหลดปลั๊กอินได้จาก GitHub มาทดลองใช้ได้เลย (หลังจากนี้สักพัก ปลั๊กอินถึงจะเข้าระบบ Plugin Directory ของ WordPress)
ตอนนี้ปลั๊กอินยังมีความสามารถจำกัดอยู่บ้าง เช่น ถ้าอยากแสดงวิดีโอด้วยจำเป็นต้องใช้ส่วนขยายเพิ่มเติมของบริษัทอื่น ซึ่งทีมงานระบุว่าจะรีบพัฒนาความสามารถเพิ่มเติมให้โดยเร็ว
ปกติแล้วคำแนะนำในการลงปลั๊กอินสำหรับคนทั่วไปคงเป็นการเลือกปลั๊กอินที่เป็นที่รู้จักพอสมควร, มีการใช้งานกว้างขวาง, และมีประวัติยาวนาน แต่ปลั๊กอิน Custom Content Type Manager (CCTM) สำหรับ WordPress กลับมีพฤติกรรมแฮกเว็บของผู้ใช้ (ทั้งที่มีคุณสมบัติปลั๊กอินที่น่าเชื่อถือแทบทุกประการ) แต่ทีมงานบริษัทความปลอดภัย Sucuri ก็พบว่ามันใส่ช่องโหว่ให้กับเว็บที่ดาวน์โหลดไปใช้งานอย่างจงใจ
เมื่อวานนี้กูเกิลเริ่มปล่อยฟีเจอร์ AMP ในผลการค้นหาบนมือถือ วันนี้กูเกิลประกาศเปิดตัว AMP อย่างเป็นทางการแล้ว โดยมีเว็บไซต์ข่าวชื่อดังเข้าร่วมด้วยมากมาย (BBC รายงานว่าเว็บฝั่งยุโรปมีจำนวน 160 เว็บ)
พันธมิตรรายสำคัญของกูเกิลคือ WordPress.com โฮสติ้งให้บริการบล็อกรายใหญ่ของโลก โดยผู้ใช้ WordPress.com ทุกรายจะได้ใช้งาน AMP โดยอัตโนมัติ ไม่ต้องทำอะไรเพิ่มเติม (นั่นแปลว่าผลการค้นหาเพจที่อยู่บน WordPress.com จะกลายเป็น AMP ทันที) ส่วนผู้ใช้ WordPress แบบโฮสต์เอง ทาง WordPress.com แนะนำให้ใช้ปลั๊กอิน AMP เข้าช่วย
คนที่อยู่ในแวดวงการออกแบบเว็บของบ้านเรา โดยเฉพาะสาย WordPress น่าจะคุ้นเคยกับชื่อ "คุณเม่น" จักรกฤษณ์ ตาฬวัฒน์ (@MennStudio) กันเป็นอย่างดี (เป็นคนออกแบบธีมปัจจุบันของ Blognone ด้วย) ล่าสุดคุณเม่นหยุดรับงานจ้างพัฒนาเว็บไซต์ หันมาทำสตาร์ตอัพบ้างแล้ว
กิจการนี้ยังเกี่ยวข้องกับ WordPress โดยเป็นตลาดขายธีมชื่อ SeedThemes รูปแบบเหมือนกับเว็บขายธีมระดับโลกอย่าง ThemeForest แต่เน้นธีมที่สร้างโดยคนไทยเพื่อผู้ใช้งานในเมืองไทยเป็นหลัก เตรียมเปิดให้นักออกแบบเว็บรายอื่นๆ สร้างธีมมาซื้อขายแลกเปลี่ยนได้ด้วย
หลังจาก WordPress.com เปิดตัวระบบหลังบ้านใหม่ Calypso ที่มีทั้งเวอร์ชันเว็บและแอพบนแมค วันนี้แอพเวอร์ชันวินโดวส์เสร็จเรียบร้อยแล้ว โดยใช้ชื่อเหมือนกันว่า WordPress.com
ความสามารถของแอพตัวนี้เหมือนกับเวอร์ชันเว็บและแมคทุกประการ สามารถใช้เขียนบล็อกบน WordPress.com ได้ทันที และถ้าต้องการเขียนบล็อก WordPress ที่โฮสต์เอง ก็สามารถติดตั้งปลั๊กอิน JetPack เพื่อให้บริการจัดการจากตัวแอพได้
แอพตัวนี้เป็นแอพเดสก์ท็อปตามปกตินะครับ ไม่ใช่ Universal Windows Platform ใครพร้อมแล้วก็ดาวน์โหลด
ระบบจัดการเนื้อหาบนเว็บ (CMS - Content Management System) ยอดนิยมอย่าง WordPress แม้วันก่อนจะเปลี่ยนระบบหลังบ้านของกลุ่ม Wordpress.com ให้เป็น Calypso ที่ใช้ JavaScript ล้วน แต่กับฝั่ง self-hosted วันนี้มี WordPress 4.4 ออกใหม่ในชื่อ "Clifford" (ตั้งตามนักดนตรีทรัมเปตสไตล์แจ๊ส Clifford Brown) ที่มากับลูกเล่นน่าสนใจ อาทิ:
WordPress.com เปลี่ยนระบบหลังบ้านของตัวเองใหม่หมด จากของเดิม (wp-admin) ที่เขียนด้วย PHP มาเป็นระบบใหม่ชื่อ "Calypso" ที่เขียนด้วย JavaScript ทั้งหมด 100% แทน (ใช้ Node.js และ React)
Matt Mullenweg ผู้ก่อตั้ง WordPress อธิบายเหตุผลของการเปลี่ยนแปลงว่าโค้ดของ WordPress เขียนมานานแล้ว และจุดเด่นของ WordPress ที่รักษาความเข้ากันได้ย้อนหลัง (backward compatibility) มาโดยตลอด กลับกลายเป็นตัวฉุดรั้งไม่ให้ตัวมันเองพัฒนาแบบก้าวกระโดดได้
บริษัทความปลอดภัย Sucuri ตรวจพบการแฮ็กเว็บไซต์ครั้งใหญ่จำนวนเกือบหมื่นแห่งแล้ว โดย 95% ของเว็บที่โดนแฮ็กเป็น WordPress แต่ยังไม่ทราบข้อมูลแน่ชัดว่าใช้ช่องโหว่ใดในการแฮ็กกันแน่
เว็บไซต์ที่โดนแฮ็กจะ redirect ผู้ใช้ไปยังเว็บเพจที่ฝังมัลแวร์ Nuclear Exploit Kit ซึ่งจะลองเจาะเครื่องของผู้ใช้ผ่านช่องโหว่ต่างๆ ที่หลากหลาย สำหรับการตรวจสอบว่าเว็บใดโดนเจาะ สามารถเช็คจากฟังก์ชันจาวาสคริปต์ชื่อ visitorTracker_isMob( ) ที่ถูกฝังเข้ามาด้วย หรือถ้าขี้เกียจดูโค้ดเอง จะตรวจสอบจาก Sucuri SiteCheck ก็ได้เช่นกัน
CMS ยอดนิยม WordPress ออกรุ่นใหม่ 4.3 โค้ดเนม "Billie" (ตั้งชื่อตามนักดนตรีแจ๊ส Billie Holiday) ของใหม่ในรุ่นนี้ได้แก่
ที่มา - WordPress
ไมโครซอฟท์ออกปลั๊กอิน OneNote Publisher สำหรับ WordPress เพื่อแปลงโน้ตจากระบบของ OneNote เป็นโพสต์บน WordPress ได้ทันที
ปลั๊กอินตัวนี้ออกมาเพื่อนักเขียนบล็อกบนระบบ WordPress ที่ใช้ OneNote เป็นสมุดจดรวบรวมไอเดียอยู่แล้ว วิธีการใช้งานคือ WordPress จะมีปุ่มเรียกข้อมูลจาก OneNote ขึ้นมา เมื่อกดแล้วก็จะสามารถอิมพอร์ตเนื้อหาจากบัญชี OneNote เข้ามาเป็นโพสต์ใหม่ได้เลย
นอกจาก WordPress แล้ว ไมโครซอฟท์ยังประกาศความร่วมมือกับปากกา Equil Smartpen เพื่อแปลงโน้ตกระดาษมาเป็นโน้ตใน OneNote และความร่วมมือกับ cloudHQ ในการซิงก์โน้ตเข้าไปเก็บบนบริการออนไลน์ต่างๆ ผ่านตัวเชื่อมของ cloudHQ อีกด้วย
บริษัท Automattic ผู้พัฒนาซอฟต์แวร์ WordPress และผู้ให้บริการ WordPress.com ประกาศข่าวการซื้อกิจการบริษัท WooThemes ผู้พัฒนาปลั๊กอินสำหรับอีคอมเมิร์ซชื่อดัง WooCommerce
ปัจจุบัน WooCommerce ถือเป็นแพลตฟอร์มอีคอมเมิร์ซที่ได้รับความนิยมมากที่สุดของโลก WordPress โดยมียอดดาวน์โหลด 7.5 ล้านครั้ง และมีเว็บไซต์มากกว่า 1 ล้านแห่งใช้ระบบของ WooCommerce (ความนิยมแซงหน้า Magento แล้ว)
GoDaddy ผู้ให้บริการจดโดเมนรายใหญ่ที่เพิ่งเข้าตลาดหุ้นไป ตอนนี้ประกาศบุกตลาดเว็บครบวงจรเต็มรูปแบบแล้ว จากที่ก่อนหน้านี้บริการโฮสติ้งไม่โดดเด่นมากนัก
บริการแรกคือ GoDaddy Pro ที่เคยเปิดให้บริการไปก่อนหน้านี้แล้ว แต่ตอนนี้เพิ่มความสามารถเพื่อให้นักออกแบบเว็บสามารถให้บริการลูกค้าได้โดยง่าย ลูกค้าจะเป็นคนถือทรัพย์สินโดยตรง เช่น ข้อมูลในโฮส, ชื่อโดเมน ฯลฯ แต่สามารถเปิดให้นักออกแบบเข้าไปจัดการข้อมูลบางส่วนเพื่อให้บริการลูกค้าได้โดยไม่ต้องยกบัญชีให้กัน และนักออกแบบก็สามารถเสนอซื้อสินค้าเป็น shopping cart ส่งให้ลูกค้าไปจ่ายเงินเองได้ด้วย
ช่วงนี้มีข่าวช่องโหว่ของ WordPress ออกมาอย่างต่อเนื่อง วันนี้ทางโครงการ WordPress ก็ออกซอฟต์แวร์เวอร์ชัน 4.2.2 ซึ่งเป็นการอุดรูรั่วระดับ "ร้ายแรง" (critical) สองจุดของเวอร์ชัน 4.2.1 ที่เพิ่งออกเมื่อปลายเดือนที่แลว