GoDaddy ผู้ให้บริการจดโดเมนรายใหญ่ที่เพิ่งเข้าตลาดหุ้นไป ตอนนี้ประกาศบุกตลาดเว็บครบวงจรเต็มรูปแบบแล้ว จากที่ก่อนหน้านี้บริการโฮสติ้งไม่โดดเด่นมากนัก

บริการแรกคือ GoDaddy Pro ที่เคยเปิดให้บริการไปก่อนหน้านี้แล้ว แต่ตอนนี้เพิ่มความสามารถเพื่อให้นักออกแบบเว็บสามารถให้บริการลูกค้าได้โดยง่าย ลูกค้าจะเป็นคนถือทรัพย์สินโดยตรง เช่น ข้อมูลในโฮส, ชื่อโดเมน ฯลฯ แต่สามารถเปิดให้นักออกแบบเข้าไปจัดการข้อมูลบางส่วนเพื่อให้บริการลูกค้าได้โดยไม่ต้องยกบัญชีให้กัน และนักออกแบบก็สามารถเสนอซื้อสินค้าเป็น shopping cart ส่งให้ลูกค้าไปจ่ายเงินเองได้ด้วย

ช่วงนี้มีข่าวช่องโหว่ของ WordPress ออกมาอย่างต่อเนื่อง วันนี้ทางโครงการ WordPress ก็ออกซอฟต์แวร์เวอร์ชัน 4.2.2 ซึ่งเป็นการอุดรูรั่วระดับ "ร้ายแรง" (critical) สองจุดของเวอร์ชัน 4.2.1 ที่เพิ่งออกเมื่อปลายเดือนที่แลว

ช่องโหว่ XSS ในกล่องคอมเมนต์ของ Wordpress 4.2 ทำให้คนร้ายสามารถวางคอมเมนต์ที่เรียกไฟล์จาวาสคริปต์ขึ้นมาได้ ทำให้เว็บเสี่ยงต่อการถูกขโมยผู้ใช้ หากผู้ใช้เป็นแอดมินเว็บก็อาจจะถูกขโมยข้อมูลทั้งหมด รวมถึงสั่งการเว็บในฐานะแอดมินได้

ช่องโหว่นี้อาศัยข้อจำกัดคอมเมนต์ที่ความยาว 64 กิโลไบต์ คนร้ายสามารถสร้างคอมเมนต์ที่ความยาวเกินกว่านั้นเพื่อให้ข้อมูลถูกตัดทิ้งก่อนใส่ลงฐานข้อมูล เมื่อแสดงคอมเมนต์จะแสดงเป็น HTML ที่ผิดมาตรฐาน แต่สามารถเรียกจาวาสคริปต์ที่คนร้ายต้องการได้

ทาง Wordpress ออกแพตช์เร่งด่วนมาแก้ไขปัญหานี้แล้ว ก็ควรรีบอัพเดตกันโดยเร็ว

WordPress ออกเวอร์ชันใหม่ 4.2 โค้ดเนม "Powell" (มาจากนักดนตรีแจ๊ซ Bud Powell) ของใหม่ได้แก่

WordPress ออกเวอร์ชัน 4.1.2 เพื่อแก้ปัญหาช่องโหว่ระดับร้ายแรง (critical) ที่อาจทำให้เว็บไซต์โดนบุคคลภายนอกแฮ็กได้โดยไม่ต้องมีบัญชี WordPress ด้วยซ้ำ (ผ่าน cross-site scripting)

ช่องโหว่ข้างต้นมีผลกระทบกับ WordPress ทุกเวอร์ชัน ดังนั้นใครที่มีเว็บไซต์ทำด้วย WordPress ควรอัพเดตกันด่วน นอกจากนี้ยังมีปลั๊กอินหลายตัวที่ออกแพตช์แก้ประเด็นเดียวกันมาแล้ว ตามอัพเดตปลั๊กอินกันด้วยครับ

WordPress 4.1.2 ยังปิดช่องโหว่อื่นอีก 3 จุดที่เกี่ยวกับเรื่อง SQL injection และชื่อไฟล์ที่อาจไม่ปลอดภัย

ที่มา - WordPress.org

Twitter ได้เปิดตัวปลั๊กอิน WordPress ของตัวเองเป็นครั้งแรก ซึ่งมีความสามารถในการเชื่อมต่อ WordPress กับ Twitter หลายอย่าง เช่น

CMS ยอดนิยม WordPress ออกรุ่น 4.1 โค้ดเนม Dinah ของใหม่ได้แก่

WordPress เดินทางมาถึงเวอร์ชัน 4.0 (ใช้รหัส "Benny" มาจากชื่อศิลปินแจ๊ส Benny Goodman) ของใหม่ในเวอร์ชันนี้คือ

บริษัทความปลอดภัย Sucuri รายงานว่าพบช่องโหว่ร้ายแรงระดับ critical ในปลั๊กอิน Custom Contact Forms ซึ่งเป็นปลั๊กอินยอดนิยมอีกตัวหนึ่งของ WordPress

ช่องโหว่ที่พบจะใช้สิทธิแอดมินของ WordPress สั่งดึงข้อมูลทั้งหมดจากฐานข้อมูล (SQL dump) และอิมพอร์ตข้อมูลกลับเข้าไปใหม่ ผู้ประสงค์ร้ายอาจใช้จังหวะนี้แปลงข้อมูลใน SQL dump (เช่น เพิ่มผู้ใช้บัญชีใหม่) แล้วรอให้ปลั๊กอินดึงกลับเข้าไปในฐานข้อมูล เพื่อใช้ควบคุมเว็บไซต์หลังจากนั้น

ปลั๊กอินเวอร์ชันที่มีช่องโหว่คือ 5.1.0.3 ลงไปทั้งหมด และทางผู้พัฒนาก็ออกเวอร์ชัน 5.1.0.4 มาแล้ว ใครใช้ปลั๊กอินตัวนี้อยู่รีบอัพเดตกันด่วนครับ

ช่องโหว่ใหม่นี้ได้มีการรายงานครั้งแรกจาก Nir Goldshlager นักวิจัยด้านความปลอดภัยบน Salesforce.com ซึ่งเป็นช่องโหว่ด้าน XML มีผลกระทบ CMS ชื่อดังทั้งสองคือ WordPress และ Drupal ซึ่งรวมกันแล้วมีเว็บไซต์กว่าหลายล้านแห่งที่ตกอยู่ในความเสี่ยง

ช่องโหว่นี้จะเปิดให้ผู้ประสงค์ร้ายโจมตีในรูปแบบ XML Quadratic Blowup ที่ทำให้เอกสาร XML ขนาดเล็กๆ กินแรมจำนวนหลายกิกะไบต์ ซึ่งมากพอที่จะทำให้เซิร์ฟเวอร์หยุดทำงานไปชั่วขณะได้ ช่องโหว่นี้มีผลกระทบกับ WordPress ตั้งแต่เวอร์ชัน 3.5 - 3.9.1 และ Drupal เวอร์ชัน 6.x และ 7.x

CMS ยอดนิยม WordPress อยู่ที่เลขเวอร์ชัน 3.x มานาน ล่าสุดเลขเวอร์ชันเตรียมขยับขึ้นเป็น 4.0 โดยออกรุ่นทดสอบแรก Beta 1 มาแล้ว (รุ่นจริงจะออกเดือนหน้า) ของใหม่ได้แก่

วันนี้ WordPress 3.9 โค้ดเนม Smith ออกแล้ว พร้อมให้ดาวน์โหลดหรืออัพเดตได้ทันที โดย WordPress ได้แจ้งรายการปรับปรุงไว้ดังนี้

ก่อนอื่นต้องบอกว่า WordPress ไม่ได้โดนเจาะนะครับ แต่เป็นเรื่องฟีเจอร์ (?) ของ WordPress ถูกนำไปใช้ในทางเสียหาย

บริษัทความปลอดภัย Sucuri รายงานว่าพบเว็บไซต์ WordPress มากถึง 162,000 เว็บถูกใช้เป็นฐานยิง DDoS ถล่มเว็บไซต์บางแห่งจนไม่สามารถใช้งานได้ จากการตรวจสอบว่าสาเหตุเกิดจากฟีเจอร์ XML-RPC ซึ่งเป็นช่องทางให้แอพภายนอกเรียกใช้งาน WordPress (เช่น การเขียนบล็อกด้วยแอพ, pingback, trackback) ที่ถูกเปิดมาเป็นค่าดีฟอลต์ของ WordPress ทุกเว็บไซต์อยู่แล้ว

เหล่าแฮกเกอร์ซีเรียยังคงซ่าไม่หยุด ซึ่งเหยื่อรายล่าสุดคือ Forbes นิตยสารด้านเศรษฐกิจชื่อดังของสหรัฐ โดย Forbes เปิดเผยว่าเว็บไซต์ของตัวเองและทวิตเตอร์ในเครือของ Forbes อีก 3 บัญชี ได้แก่ @TheAlexKnapp , @Samsharf และ @ForbesTech เป็นเหยื่อการถูกโจมตีโดยกลุ่ม Syrian Electronic Army (SEA) โดยมีรหัสผ่านผู้ใช้หลุดออกไปนับล้านบัญชี

Google Publisher Plugin ปลั๊กอินที่ Google เป็นผู้ทำเอง เอื้ออำนวยให้ผู้ใช้ WordPress สามารถเพิ่มโฆษณา AdSense ในเว็บไซต์ได้ง่ายๆ และสามารถยืนยันตัวตนด้วย Webmaster Tools ได้ในคลิกเดียว

สนใจก็ไปดาวน์โหลดกันได้ ทั้งนี้ปลั๊กอินต้องการ WordPress เวอร์ชั่น 3.0.0 ขึ้นไปนะ

ที่มา - The Next Web

ในวันนี้ WordPress 3.8 รหัส Parker ออกเวอร์ชันใหม่แล้วครับ มีการปรับดีไซน์และมาพร้อมกับธีม Twenty Fourteen ครับ

• มีการออกแบบแดชบอร์ดใหม่
• การปรับตัวอักษรให้อ่านง่ายขึ้นทั้งบนคอมพิวเตอร์และโทรศัพท์มือถือ
• ให้ความสำคัญกับความสะดวกสบายในการออกแบบใหม่ที่ง่ายต่อการอ่านมากขึ้น

โดยในเวอร์ชันนี้จะเน้นไปทางการออกแบบและความสะดวกสบายในการอ่านมากกว่าเรื่องระบบครับ (เพิ่มเติม Wordpress Codex)

ที่มา - Wordpress

สำหรับคนที่เคยเขียนข่าวลง Blognone คงคุ้นเคยกับ Markdown หรือรูปแบบการพิมพ์ (syntax) บนเว็บไซต์ที่ปรับให้ใช้งาน และจดจำได้ง่ายขึ้นกว่า HTML ซึ่งวันนี้ CMS รายใหญ่อย่าง WordPress ประกาศรองรับอย่างเป็นทางการแล้ว ก่อนหน้านี้ต้องลงส่วนเสริมแยกกันเอาเอง

วิธีการเปิดใช้ Markdown ทำได้ด้วยการเข้าไปในหน้า Settings > Writing และติ๊กเลือกที่ "Use Markdown for posts and page" ก็เป็นอันเรียบร้อย ใช้งานได้ทั้งบนหน้าเว็บและบนแอพบนอุปกรณ์พกพาเลยครับ

ใครที่ไม่รู้จัก Markdown มาก่อนเลย และอยากลองเรียนรู้กับ syntax ตัวนี้ดู สามารถอ่านรายละเอียดได้จากบล็อกของคุณ tewson ครับ

ข่าวช้าไป 4-5 วันนะครับ WordPress 3.7 “Basie” ออกรุ่นจริงแล้ว ของใหม่อาจเห็นไม่ชัดนัก เพราะเป็นฟีเจอร์เบื้องหลังซะเยอะ

• อัพเดตตัวเองได้อัตโนมัติ (ดาวน์โหลดและติดตั้งไฟล์อัพเดตเอง) โดยจะใช้กับรุ่นแก้บั๊กหรือแพตช์ความปลอดภัยเท่านั้น (ถ้าอยากอัพรุ่นใหญ่ยังต้องกดอัพเดตเอง)
• ปรับปรุงตัวบอกความแข็งแรงของรหัสผ่าน (password meter) ใหม่
• ปรับปรุงการค้นหาให้ได้ผลลัพธ์ที่ดีขึ้น
• แก้บั๊กเล็กๆ น้อยๆ อีกมาก (WordPress Codex)

ที่มา - WordPress

Automattic บริษัทของ Matt Mullenweg ผู้สร้าง WordPress (และเป็นผู้ให้บริการบล็อก WordPress.com ด้วย) ประกาศเข้าซื้อกิจการบริษัท Cloudup เจ้าของบริการซิงก์ไฟล์มัลติมีเดียขึ้นบนกลุ่มเมฆ

จุดเด่นของ Cloudup คือเทคโนโลยีการซิงก์ไฟล์แบบง่ายๆ เพียงลากแล้ววางก็สามารถแชร์ให้เพื่อนๆ ผ่านช่องทางต่างๆ ได้ทันที (ดูวิดีโอประกอบท้ายข่าว)

Automattic ประกาศชัดเจนว่าซื้อ Cloudup เพื่อไปใช้กับระบบอัพโหลดและคลังมัลติมีเดียของ WordPress (WordPress Media Library) นอกจากนี้ยังจะเพิ่มเทคโนโลยีด้านการเขียนบล็อกร่วมกัน (collaborative editing) ที่ใช้เทคโนโลยีของ Cloudup ด้วย อีกไม่ช้าเราคงได้เห็นบริการเหล่านี้เปิดตัวครับ

WordPress ซอฟต์แวร์ CMS ยอดนิยมออกรุ่น 3.6 รหัส "Oscar" แล้ว ของใหม่ได้แก่

Matt Mullenweg ซีอีโอของ WordPress ได้ขึ้นกล่าวในงานประชุม WordCamp San Francisco กล่าวถึงสถานะปัจจุบันของ WordPress และการมาของ WordPress 3.6

ในปีที่ผ่านมา WordPress ถูกดาวน์โหลดไปใช้งานมากถึง 46 ล้านครั้ง มีธีมเพิ่มขึ้น 336 ธีม มีปลั๊กอินส่งให้ตรวจสอบ 9,334 ตัว และผ่านการตรวจสอบแล้วที่ 6,758 ตัว ส่วนเวอร์ชันโทรศัพท์มือถือนั้นมีอัพเดตให้ iOS จำนวน 3 ครั้งและ Android จำนวน 12 ครั้ง

สำหรับ WordPress 3.6 ซึ่งมีรหัสว่า Oscar นั้นมีแผนการจะปล่อยเวอร์ชันเต็มภายในปีนี้ โดยจะรองรับการใส่วิดีโอและไฟล์เสียงในคำสั่งบรรทัดเดียว ส่วนปัจจุบันนั้นสามารถดาวน์โหลด WordPress 3.6 Release Candidate 2 มาทดสอบก่อนได้ (มีการกล่าวถึง WordPress 3.7, 3.8 อ่านต่อได้ที่ ที่มาของข่าว)

แม้ว่าดีล Yahoo! กับ Tumblr ยังไม่เรียบร้อยดี แต่ก็มีกระแสจากผู้ใช้ Tumblr บางส่วนที่ออกมาแสดงความเห็นว่าจะเลิกใช้ ถ้าหากขายกิจการให้กับ Yahoo! และดูเหมือนว่าเรื่องนี้จะไม่ใช่แค่คำขู่ หลังจากซีอีโอของบริการคู่แข่งอย่าง WordPress ออกมาบอกว่าตัวเลขผู้ใช้ที่ย้ายมาจาก Tumblr นั้นเพิ่มขึ้นอย่างผิดหูผิดตา

โดยตัวเลขจากบล็อกของ Matt Mullenweg ซีอีโอของ WordPress ระบุว่าก่อนจะมีข่าวลือนี้ ยอดบล็อกโพสต์จากผู้ใช้ Tumblr ที่ import เข้ามา WordPress.com อยู่ที่ราวๆ 400-600 โพสต์ต่อชั่วโมง แต่หลังจากที่ข่าวลือเริ่มกระจายออกไป ตัวเลขดังกล่าวก็เพิ่มขึ้นสูงถึง 72,000 โพสต์ต่อชั่วโมง

มีรายงานถึงช่องโหว่ของการทำงานของปลั๊กอิน WP Super Cache และ W3 Total Cache ที่ทำให้ผู้ไม่ประสงค์ดีสามารถแทรกโค้ดแปลกปลอมขึ้นไปทำงานบนเครื่องเซิร์ฟเวอร์ได้โดยไม่ได้รับอนุญาต (Remote code execution exploit) โดยเกิดจากช่องโหว่ในระบบที่อนุญาตให้บางส่วนของหน้าเว็บสามารถรัน PHP code ได้แม้ว่าปลั๊กอินดังกล่าวทำงานอยู่ก็ตาม

ทั้งนี้ผู้สร้างปลั๊กอินทั้งสองแก้ไขช่องโหว่ดังกล่าวเรียบร้อยแล้วครับ สามารถอัพเดตผ่านส่วนจัดการปลั๊กอินใน WordPress ได้เลยครับ

ที่มา: WordPress support ผ่าน reddit/netsec

แอพ WordPress for Android อัพเดตเวอร์ชันเป็น 2.3 การเปลี่ยนแปลงที่สำคัญคือยกเครื่องอินเทอร์เฟซใหม่ เปลี่ยนมาใช้สไตล์ Holo ตามแนวทางของกูเกิลแล้ว

• เพิ่ม Action Bar ด้านบนของหน้าจอ รวมคำสั่งสำคัญ
• เพิ่ม Menu Drawer แถบเมนูด้านซ้าย เหมือนกับ WordPress เวอร์ชันเว็บ
• มีคำสั่ง View Site ดูหน้าบล็อกของเราได้จากตัวแอพเลย
• ปรับปรุงกระบวนการอัพโหลดภาพขึ้นบล็อก กรณีบล็อกมีภาพแล้วอัพโหลดภาพไม่ขึ้น บล็อกนั้นจะมีสถานะเป็น draft แทน published ช่วยให้บล็อกไม่ดูว่างๆ เพราะภาพหาย

ที่มา - WordPress for Android

ผู้ให้บริการโฮสติ้งขนาดใหญ่ของโลกหลายราย ให้ข้อมูลว่าพบความพยายามเจาะระบบ CMS ที่เป็น WordPress และ Joomla! (ส่วนใหญ่เป็น WordPress) ครั้งใหญ่

รูปแบบการโจมตีครั้งนี้ไม่ซับซ้อน โดยเป็นการคาดเดารหัสผ่านแอดมินของ WordPress/Joomla! ด้วยรหัสผ่านที่พบบ่อย (dictionary attack) เช่น 123456, password, 1234, qwerty เพื่อหวังฟลุคจะเข้าบัญชีแอดมินของเว็บไซต์ต่างๆ ได้นั่นเอง

พฤติกรรมของการโจมตีใช้เวลาสั้นๆ ต่อหนึ่งเว็บไซต์แต่หว่านเป็นวงกว้างแทน ส่วนจำนวนเครื่อง botnet ที่ใช้เป็นฐานโจมตีมีราวๆ 100,000 เครื่อง

เจ้าของเว็บที่ใช้ CMS เหล่านี้สามารถป้องกันตัวโดยการเปลี่ยนชื่อผู้ดูแลระบบจาก admin เป็นชื่ออื่นๆ ที่คาดเดาได้ยาก และตั้งรหัสผ่านที่แข็งแรง ไม่ใช่คำพื้นฐานที่พบบ่อยครับ