Kako preusmerim svojo WordPress spletno stran iz HTTP na HTTPS

Ko imate na strežniku nameščen SSL certifikat za varno povezavo preko HTTPS je potrebno vašo spletno stran preusmeriti iz HTTP na HTTPS.

Na primer, da imate domeno vasadomena.nekaj, ki se prikazuje takole; http://www.vasadomena.nekaj

Spletno stran ustvarjeno v WordPress lahko preusmerite na dva načina:

  • preko vtičnika (plug-in) ali
  • preko .htaccess datoteke, ki se nahaja na vašem strežniku.

Ko boste preusmerili vašo spletno stran na HTTPS se bo vaša povezava prikazovala takole; https://www.vasadomena.nekaj
 

POZOR, VAŠA DOMENA MORA IMETI SSL CERTIFIKAT!
SSL certifikati so vam na voljo na naši spletni strani > SSL certifikati
Pri izbiri pravega vam z veseljem pomagamo, pišite nam na info@zabec.net.

  • Preusmeritev spletne strani preko vtičnika (plug-in)

Če ste začeli z uporabo SSL od prvega dane objave vaše spletne strani, potem so že vse statične datoteke (npr. slike) že objavljene tako, da uporabljajo HTTPS.

Če ste si uredili SSL certifikat kasneje, pa imate spletno stran na kateri je veliko statičnih datotek, ki so objavljene na strani z »NON-HTTPS«, torej HTTP naslovi. V tem primeru jih boste morali spremeniti. Če tega ne uredite bo brskalnik prikazal opozorilo o varnostni težavi, tudi če imate na samem strežniku že nameščen SSL certifikat.

Vtičnik »Easy HTTPS Redirection Plugin« vam omogoči, da lahko »na silo« preusmerite statične datoteke na varno povezavo, HTTPS. Tako bo vaša spletna stran v celoti združljiva s SSL certifikatom.

Uporaba vtičnika omogoči samodejno preusmeritev na HTTPS (Enable automatic redirection to the HTTPS).

Ko omogočite to možnost se bo vaša spletna stran http://www.vasadomena.nekaj avtomatsko preusmerila na varno povezavo https://www.vasadomena.nekaj , tako vas bodo obiskovalci vaše spletne strani obiskali preko varne povezave.

Ko namestite vtičnik, ga poiščite v Nastavitvah (Settings) in izberite HTTPS Redirection.

Ko imate pred seboj nastavitve vtičnika pri prvi izbiri določite, da se vaša stran usmeri na HTTPS, pri drugi izbiri pa omogočite, da se vse statične datoteke (slike) prikazuje preko HTTPS povezave.

Vtičnik vas vpraša ali želite preusmeriti celotno stran na HTTPS ali samo določene strani – izberite preusmeritev celotne strani (Whole page) in kliknite Shrani (Save).

  • Preusmeritev vaše spletne strani preko .htaccess datoteke

Če želite vašo spletno stran preusmeriti »ročno« na varno povezavo HTTPS, to storite z urejanjem .htaccess datoteke na vašem gostovanju in pa z urejanjem povezave v administraciji WordPress-a vaše spletne strani.

V administraciji spletne strani poiščite Nastavitve (Settings) in Splošno (General) – Tukaj uredite Naslov za WordPress ((URL) (WordPress Address (URL)) in Naslov spletišča ((URL) (Site Address (URL))

Uredite jih tako, da pri http://www.vasadomena.nekaj spremenite http v https.

Ko ste naredili sledeče, morate v kontrolni plošči urediti še .htaccess datoteko – odprete .htaccess datoteko, ki se nahaja v public_html mapi in čisto na začetku dodate naslednje vrstice:

<IfModule mod_rewrite.c>

RewriteEngine On

RewriteCond %{SERVER_PORT} 80

RewriteRule ^(.*)$ https://www.vasadomena.nekaj/$1 [R,L]

</IfModule>

Bodite pozorni, da »https://www.vasadomena.nekaj« spremenite v vašo kupljeno domeno.

V wp-config.php dodamo še zapis:

define(‘FORCE_SSL_ADMIN’, true);

Čisto na koncu pa ne pozabite dodati vašo https stran ponovno v Google Webmaster Tools, tako boste Googla obvestili o spremembi, ki ste jo naredili.

Kaj upočasnjuje mojo WordPress spletno stran?

WordPress spletne strani so mnogokrat počasne zaradi slabe optimizacije slik in kode, počasne izbrane teme, video posnetkov ali hotlinkov, velikokrat pa je stran počasna tudi zaradi samih vtičnikov, ki jih uporabljamo (ali ne).

Zakaj so ravno vtičniki lahko problem?
Vtičniki so lahko slabo konfigurirani (posamezne vtičnike so razvili/napisali različni razvijalci, ki imajo različno dobre vrline programiranja) ali pa smo jih namestili preveč (omejite se na največ 15 vtičnikov).

Vas zanima kateri vtičniki najbolj upočasnjujejo vašo spletno stran?
Namestite si Plugin Performance Profiler ali krajše kar P3, z njim boste hitro ugotovili kateri vtičnik vas upočasnjuje.

Vtičnik deluje na Firefoxu, Chromu, Operi, Safariju in IE9 (ali višja različica, na nižji ne bo deloval).

Namestitev: https://srd.wordpress.org/plugins/p3-profiler/

Po skeniranju vtičnika vaše spletne strani boste lahko na gornji strani opazili sledeče informacije – koliko vtičnikov je trenutno aktivnih na vaši strani, koliko časa je posvečenega samemu nalaganju teh vtičnikov, koliko MySQL poizvedb se izvede na obisk.


Runtime by Plugin
Prikaz najbolj potratnih vtičnikov v obliki kolača

Detailed Breakdown
V tej kategoriji si boste lahko ogledali čas, ki ga porabi vsak vaš vtičnik, tema, jedro WordPressa.

Ogledate si lahko Simple Timeline (enostavno časovnico) in Detailed Timeline (bolj kompleksno časovnico) kjer si lahko prilagajate posamezne elemente tako, da lahko dejansko ugotovite kaj in za koliko upočasnjuje stran.

Query Timeline – ugotovite kaj povzroči oz. generira največ pozivedb.

Advanced Metrics – natančnejši časovni pregled strani, ki vam pove kje se časovno gibljete (nad povprečjem, v povprečju ali pod povprečjem).

Tako, sedaj se boste lažje odločili kateri plugin (vendar ne za vsako ceno) je potrebno odstraniti.
Vsekakor obdržite varnostne vtičnik, cache vtičnik, spam vtičnik ter se poizkušajte omejiti na največ 15 vtičnikov.
Tudi ta plugin po koncu skeniranja odstranite.

WordPress Pepper

Različica WordPress 4.6 ali tudi WordPress Pepper, vam je sedaj na voljo.
(Kako posodobim WordPress?)

Poimenovan je po jazz bariton saksofonistu – Park Frederick “Pepper” Adams III.

Pomembnejše posodobitve:

  • na voljo v 50 jezikih
  • enostavnejše (bolj pregledno) posodabljanje: med posodabljanjem, nameščanjem ali brisanjem vtičnikov ter tem ostanete na isti strani (mestu).
  • nadzorna plošča izkoristi pisave, ki jih že imate.
    Tako se le-te nalagajo hitreje na katerikoli napravi.
  • izboljšan urednik: preverjanje linkov (v kolikor je vaš link napačen, vas WP obvesti, da ga je potrebno popraviti) in obnovitev vsebine (med tipkanjem WP shrani vsebino v brskalniku).
  • v ozadju: t.i. namig vira (pomaga brskalniku kateri vir naj pridobi ter obdela vnaprej. WP 4.6. te namige doda avtomatsko za vaše stile ter skripte, kar posledično naredi vašo stran hitrejšo), Meta Registration API (razširjen  za podpiranje tipov, opisov ter REST API vidiljovsti), prilagajanje APIjev za nastavitve validacij ter obvestil, Robust Requests (HTTP API sedaj dopolnjuje t.i. Request knjižnico, izboljšuje Http standardno podporo ter podpira internacionalizirana domenska imena), prevod na zahtevo (v kolikor želite bo WP namestil najnovejše jezikovne pakete za vaše vtičnike ter teme – takoj ko bodo na voljo), hitrejše strani (predpomnjenje in celovite poizvedbe na mestu), JavaScript knjižnične posodobitve (Masonry 3.3.2, imagesLoaded 3.2.0, MediaElement.js 2.22.0, TinyMCE 4.4.1 in Backbone.js 1.3.3. so v paketu) in nova WP_Term_Query in WP_Post_Type.

Vir: https://wordpress.org/news/2016/08/pepper/

 

Varnost odprtokodnih CMSjev (WordPress, Magento, Drupal in Joomla!) v prvem četrtletju 2016

Poročilo temelji na zbranih podatkih in analizi skupine Securi Remediation Group (RG) v katero sta vključena IRT (Incident Response Team) in MRT (Malware Research Team).

Celotno poročilo iz katerega smo črpali si lahko preberete TUKAJ, mi pa smo naredili krajši pregled in izbor podatkov za katere menimo, da so zanimivi, uporabni za vas.

Število spletnih strani narašča z razvojem tehnologije in dostopnostjo odprtokodnih CMSjev, med njimi so najbolj popularni štirje (pravijo, da je preko njih izdelanih več kot tretjino spleta):

  • WordPress
  • Joomla!
  • Drupal
  • Magento

WordPress je vodilni na CMS trgu z več kot 60% tržnim deležom.
Nišno pa hitreje rastejo druge platforme – napr. Magento je zelo popularen med prodajnimi stranmi in večjimi organizacijami, medtem ko Drupal pokriva predvsem vladne organizacije, na splošno, če vse skupaj zaokrožimo pa ostaja WP še vednjo kralj.

Platforme pa so nam s svojo odprtostjo prinesle tudi izzive, če gledamo na internet kot celoto, saj se je pojavila množica nekvalificiranih “razvijalcev” in “upravljalcev” strani izdelanih na teh platformah, ki na koncu še vedno potrebujejo nekoga z znanjem, ko pride do bolj “zapletenih” zadev ali težav.

Securi analiza je pokazala, da je bilo od 11.000+ okuženih straneh kar 75% narejenih na WP platformi in kar 50%+ teh strani je bilo zastaranih.
V primerjavi s podobnimi platformami (Joomla! in Drupal) je bilo to še “vredu”, saj je bilo tam kar 80% softwara zastaranega.

Marca 2016 je Googlovo poročilo pokazalo, da so več kot 50 milijonov spletnih uporabnikov “pozdravili” s sporočilom o nevarnosti spletne strani na katero želijo vstopiti, bodisi naj bi jim ta skušala namestiti škodljivo programsko opremo ali celo skušala ukrasti podatke.
V primerjavi z lanskim letom (marec 2015) naj bi bilo to število 17 milijonov.

Screen Shot 2016-05-20 at 11.04.57

Google trenutno na črno listo (Kaj je črna lista si lahko preberete TUKAJ) vsak teden uvrsti več kot 70.000* spletnih strani (približno 20 tisoč zaradi malware in 50 tisoč zaradi phishinga).
*brez spam SEO in ostalih taktik

I. POROČILO

Pri Securi pravijo:
“To poročilo temelji na reprezentativnem vzorcu celotnih spletnih mest na katerih smo delali v Q1, v koledarskem letu (CY), 2016 (CY16-Q1).
Skupno smo uporabili 11.485 okuženih spletnih strani. Gre za vzorčenje, ki nam je dalo najbolj dosledne podatke iz katerih smo lahko pripravili to poročilo.”

Več kot 78% spletnih strani na katerih so delali v prvem četrtletju 2016 je bilo zgrajenih na WordPress platformi, sledi Joomla! s 14%.
V vseh primerih, ne glede na platformo, je vodilni vzrok za okužbe izkoriščanje programskih ranljivosti prilagodljivih komponent, ne pa samega jedra.
Prilagodljive komponente so neposredno povezane z integracijo vtičnikov, drugih razširitev, komponent, modulov, predlog, tem…

SLIKA1

Opazimo lahko, da se v prvi četrtini tega leta ni zgodilo nič presenetljivega glede na zadnjo četrtino lanskega leta, opazimo celo lahko celo manjši padec okužb pri WP in povečanje števila okužb pri Joomla! spletnih straneh.

Pri WP so še posebej izkoriščeni vtičniki.
Tri vodilne ranljivosti programske opreme, ki so vplivalne na večno spletnih mest v prvem četrtletju so bile: RevSLider, GravityForms vtičniki in skripta TimThumb.

SLIKA5

SLIKA2

SLIKA3

Povečan procent pri Magentu naj bi povzročila ShopLift Supee 5344 ranljivost (ena najbolj resnih razkritih ranljivosti oz. RCE ranljivost imenovana tudi shoplift bug) in XSS ranljivost (pri tej ranljivosti napadalci prevzamejo administrativni račun in vstavijo novega).

Glede na druge platforme (ki jih napadalci po večini ozkoriščajo za SEO, phishing ali spam) se pri Magentu pokaže, da napadalci direktno ciljajo na kreditne kartice kar je običajno za prodajne spletne strani, vendar jih je največ oz. je največji porast prav pri Magentu.
Zakaj?
Predvidevajo da uporabniki (v testu) Magenta obdelujejo podatke o karticah lokalno na strežniku namesto prek tretjih oseb in napadalci se tega zavedajo.

II. ZASTARELOST

 

Screen Shot 2016-05-20 at 14.03.26

Zastarelost sofwara je problem že od nekdaj, saj napadalci hitro ugotovijo njegovo ranljivosti.

CMS je smatran za zastarel, če ga ni bilo na zadnji različici priporočene varnostne različice v odzivnem času, ko se je zgodi incident.

Kljub temu, da WP vedno bolj opozarja na pomembnost posodabljanja, je bilo od 11 tisoč + okuženih strani kar 56% od vseh okuženih WP strani zastarelih. Kar je “super” če to številko primerjamo z Magentom – cca. 96%!

Izziv glede zastarelosti se kaže predvsem glede treh stvari: težave z združljivostjo, pomanjkanja osebja na voljo za pomoč pri migraciji ter izvedba po meri uporabnika.

Zaključimo lahko s tem, da lastniki spletnih strani na teh platformah, kljub varnostnim grožnjam in obvestilom o ranljivosti niso sposobni dohajati vseh teh opozoril in groženj, zato se vedno bolj zanašajo na WAF (Website Application Firewall) ali na napredno tehniko virtualnega patchinga.

III. ZLONAMERNA PROGRAMSKA OPREMA

Zlorabljene spletne strani so lahko okužene z različnimi “družinami” zlonamerene programske opreme, odvisno kaj napadalec želi z njo doseči.

SLIKA6

Približno 32% vseh okuženih primerov spletnih strani je izrabljenih za SEO spam kampanje –  stran je okužena s spam vsebino ali preusmeri uporabnika na spam stran. Največkrat uporabljene spam vsebine so v povezavi s farmacevtskimi izdelki (viagra, erekcija, cialis…) sledi zabava (kazinoji in porno).

IV. ZAKLJUČEK

Argument, da naj lastniki spletnih strani le-te preprosto samo posodabljajo, sam po sebi ni dovolj, zavedati se je potrebno, da je večina teh strani del večjega bolj kompleksnejšega okolja v katera lastniki spletnih strani vključijo, namestijo vse kar jim je dostopno. Lastniki se morajo osredotočiti na vse spletne strani in ostale integracije v tem okolju, da pri preprečili t.i. cross-site okužbe. Kar pa zna biti precej zapleteno zaradi vseh novosti in nastavitev, ki so jim na voljo, na splošno pa primankuje spletnega znanja glede poznavanja celotnega sistema ter nastavitev oz. namestitev.

Vir in originalni članek:
https://sucuri.net/website-security/Reports/Sucuri-Website-Hacked-Report-2016Q1.pdf

Na svoji WordPress strani bi rad imel prijavo na e-novice

Morda imamo za ponudit marsikaj, veliko zanimivih in odličnih stvari za povedati, pa nimamo nikogar s katerim bi lahko to delili.

Kako zgraditi nam primerno bazo, ki bo z veseljem brala ali izkoristila naše ponudbe?

Eden od načinov je zbiranje emailov/prijav na vaši spletni strani, blogu…

Screen Shot 2016-04-29 at 12.42.36

Kako “postavimo” obrazec na WP strani:

  1. Prijavite se v vaš wp-admin
  2. Namestite si vtičnik (plugin) imenovan WP Marketing Screen Shot 2016-04-28 at 11.00.43
  3. Ko bo vtičnik nameščen boste na stranskem meniju opazili kategorijo Marketing Screen Shot 2016-04-28 at 11.02.37
  4. Kliknite na Create New CTA (call-to-action)
  5. Vpišite ime CTA (za vašo evidenco)
  6. Izberite kaj želite, da CTA naredi > Ker želimo ustvariti obrazec za e-novice kliknite na Screen Shot 2016-04-28 at 11.05.28
    Contact Form.
  7. Izberite kje naj se obrazec na strani pokaže (zgoraj, spodaj, na sredini, levo,desno)

SETUP (namestitev):

  1. Vpišite naslov obrazca, ki ga bodo obiskovalci strani/bloga videli (What is the headline?) > napr. Prijavi se na naše super e-novice.
  2. Napišite kratko vsebino (What is the subhedline or content paragraph?)
  3. Dodajte polja, ki so potrebna za prijavo na e-novice (napr. ime, email) > Add Field
  4. Želimo pridobiti ime potem izberite > Text > Lable (Ime) > Key (name) > Placeholder (kar se bo videlo v okencu > tvoje/vaše ime)
  5. Potrebujemo še email polje, izberite > Email > Lable (email) > Key (email) > Placeholder (email)
  6. Sedaj rabimo še gumb za potrditev > polje (What should the submit button say?). Napr. potrdi, vpiši se, prijavi me….
  7. Shranite spremembe (Save Changes)

APPEARANCE (izgled):

  1. Obkljukajte > Show a close button
  2. Izberite med barvami naslova, vsebine, gumba…tako, da se bo obrazec lepo ujemal z vašo stranjo.
  3. Izberite širino obrazca v px
  4. Shranite spremembe (Save Changes)

VISIBILITY (vidnost):

  1. Po kolikšnem času naj se obrazec prikaže obiskovalcu? Pojdite pod Visibility > How many seconds to delay before showing? Vpišite sekunde.
  2. Izberete lahko tudi kje naj se obrazec ne prikaže > napr. na mobilnih napravah.
  3. Pri What event should display this CTA? nastavite On Page Load (ali kaj drugega – sami lahko izberete)
  4. Pri When should this CTA be shown to a visitor? pa lahko nastavite Every Time until They Interact (lahko izberete tudi enkrat, enkrat na dan….)
  5. Shrani spremembe (Save Changes)

ACTIONS (dejanja):

Ker se želimo uporabniku zahvaliti za prijavo v naše e-novice pojdimo pod:

  1. Actions > What is the on-page thank you message? Napišite napr; hvala, hvala za vašo prijavo, sedaj boste prejemali najbolj nore novičke….
  2. Lahko dodate tudi t.i. Notification email, ki ga prejme uporabnik (Add Notification Email).
  3. Shranite spremembe (Save Changes)

KJE VIDIM KDO SE JE PRIJAVIL?

Pojdite pod Responses (odzivi).

Video kako uporabiti WP-Marketing CTA

WordPres 4.4. ali WordPress Clifford – kaj je novega?

Screen Shot 2015-12-10 at 09.59.51

Tokrat so novo različico WordPressa poimenovali Clifford – v čast jazz trobentarju Cliffordu Brownu.

Kaj je novega v 4.4?

  1. Nova privzeta tema Twenty Sixteen
    – klasičen, “čisti” dizajn
    – dober izgled na vseh napravah (desktop, telefoni in tablice)
    – prilagodljiva glava
    – izbira barvne sheme

    Screen Shot 2015-12-10 at 10.09.28
    https://wordpress.org/themes/twentysixteen/

  2. Responsive slike
    – za odličen izgled in uporabniško iskušnjo na vsaki napravi

    Screen Shot 2015-12-10 at 10.11.50

  3. Poenostavljena objava WP vsebine
    – sedaj lahko vstavite vašo vsebino enostavno in hitro na drugi straneh (tudi WP straneh).
    Enostavno dodate URL v urejevalnik in prikazal se vam bo instanten predogled vaše vstavljene vsebine.
    Dodajte naslov in slike.
    WP pa bo sam vstavil vašo ikono strani in linke za komentarje ter delitev.

    Screen Shot 2015-12-10 at 10.13.42

  4. Podpora večim “embed” ponudnikom
    – WP sedaj podpira tudi Cloudup, Reddit Comments, ReverbNation, Speaker Deck, in VideoPress
  5. Pod površino
    A. REST API infrastruktura: http://wp-api.org
    B. Meta izrazi sedaj podpirajo metadata, tako kot objave
    C. Comment queries imajo sedaj cache, ki poskrbi za boljšo zmogljivost
    D. Izrazi (WP_Term), komentarji (WP_Comment) in omrežni predmeti (WP_Network) so sedaj bolj predvidljivi in intuativni v kodi.

Video predstavitev: https://videopress.com/v/J44FHXvg

Kateri vtičnik naj uporabim za WordPress varnostno kopijo (backup) ?

4919659112_70f8836dfa

Ker je veliko spletnih strani postavljenih v WordPressu smo poiskali nekaj vtičnikov (plugin)(plačljivih in neplačljivih) s katerimi boste lahko naredili varnostno kopijo (backup) vaše spletne strani.

1. WordPress BackUp v Dropbox
https://wordpress.org/plugins/wordpress-backup-to-dropbox/
Ker vas ima veliko Dropbox je to odlična rešitev.

2.  BackWPup Pro
https://marketpress.com/product/backwpup-pro/
Brezplačno sicer lahko dobite BackWPup Free
https://wordpress.org/plugins/backwpup/

3. BackUpWordPress
https://wordpress.org/plugins/backupwordpress/
Če boste želeli narediti varnostne kopije na Dropbox, Google Drive, FTP, boste potrebovali Premium verzijo.

4. UpdraftPlus Backup and Restoration
https://wordpress.org/plugins/updraftplus/
Vtičnik ima sicer malce zmeden uporabniški vmesnik, vendar je zelo visoko ocenjen (4.9 / 5.9)

5. WP-DB-Backup
https://wordpress.org/plugins/wp-db-backup/
Naredi varnostno kupijo samo podatkovne baze, vendar je odličen, če nimate dostopa do phpMyAdmin, saj lahko naredite varnostno kopijo ročno.

Kako posodobim WordPress?

Posodabljanje WordPress strani je vedno zelo priporočljivo – predvsem zaradi varnostih razlogov, poleg tega pa se zadeve vedno nadgrajujejo in z vsako različico prejmemo kakšno zanimivo stvar.

Kako posodobite WordPress?

1. Prijavite se v svoj WordPress
2. Levo v meniju lahko vidite kategorijo Updates. Če je zraven rdeča pika z vpisano številko, to pomeni, da morate izvesti posodobitve (takšna kot je številka v rdeči piki toliko posodobitev morate izvesti).
Posodobitve se lahko nanašajo na novo različico WordPressa (to je navadno objavljeno v glavi-zgoraj) ali na posodobitve vtičnikov (Plugins). Posodabljajte oboje.
Screen Shot 2015-08-07 at 10.13.16

A. Če vam je na voljo nova različica WP kliknite na gumb Update Now (Pisalo bo napr. WordPress 4.2.4 vam je na voljo, posodobite ga sedaj).
B. Če so vam na voljo posodobitve Vtičnikov le – te obkljukate in kliknete na Update.

Ko so vse stvari posodobljene pri Updates ne sme biti rdeče pikice – to pomeni, da ste uspešno upravili vse posodobitve.

Screen Shot 2015-08-07 at 10.14.14

WordPress 4.3.

wp4.3

V aprilu 2015 smo pričakali novo verzijo WordPressa, ki je prinesla kar nekaj večjih novosti, sedaj pa nas že v drugi polovici avgusta 2015 ponovno čaka nova verzija 4.3. (beta različica je že na voljo).

Kaj nam prinaša verzija 4.3.?

  • Izboljšanje in prilagoditev wordpress strani za mobilne naprave
    Izboljšali bodo izkušnjo z objavami preko mobilnega telefona.
    Osredotočili so se na izboljšanje Admina (posljavlja se media-new.php) in Editorja (novost – shrani/posodobi vsebino brez da bi rabili osvežiti stran).
  • Močna gesla – večja varnost
    Varnost je ena izmed večjih težav WordPressa, zato se je ekipa osredotočila tudi na to težavo. Prihajajo nove prilagoditve kako izbrati močno geslo;
    * WordPress naj bi privzeto generiral močno geslo za uporabnika (še vedno bo obstalaja možnost, da si uporabik sam nastavi geslo)
    * Generirano geslo bo vidno kot tekst (s tem bi se radi znebili slovničnih napak in ponovnih potrjevanj gesel)
    *Wordpress naj bi uporabniku pomagal izbrati dobro geslo, če ga bo ta želel nastaviti ročno (le ta bo prejel komentar ob vpisu gesla oz. feedback)
    * Dvojno potrjevanje za šibka gesla – če se bo uporabnik kljub vsem nasvetom odločil ignorirati sistem, ga bo le ta nenehno spraševal “are you sure?”, dokler se uporabnik ne bo odločil uporabiti ustreznega – močnega gesla.
    Poleg tega pa je ekipa predlagala tudi sledeče spremembe, ki bi močno izboljšale varnost (ali bodo sprejete ali ne, pa bomo videli šele v novi različici):
    *ko se ustvari račun za drugega uporabika se geslo avtomatsko generira.
    * pri resetu gesla, naj le ta prejme novo geslo, ki ga je generiral WP in ne sam uporabnik. Če bo uporabnik želel spremeniti geslo, bo to še vedno lahko storil.
    * reset link za geslo naj ne deluje več po določenem času.
    * v primeru spremembe gesla ali emaila, naj uporabnik prejme obvestilo tudi na stari emal naslov.
  • Tako imenovani Costumizer se bo konstanto izboljševalj in dodajale se mu bodo nove funkcije
    Kakšne izboljšave/spremembe so predlagali?
    *osveži naj se samo področje kjer so narejene spremebe (sedaj se mora osvežiti celotna stran)
    *priprava/razporejanje in določanje nastavitev
    *zaklepanje popravkov. S tem se želijo izogniti, da bi več uporabnikov lahko popravljalo vsebino naenkrat in s tem povzorčilo, da X uporabnik povozi popravke Y uporabnika.
  • svoje menije boste lahko sedaj urejali in dodajali kar v costumizerju. S tem boste zadevo videli, kako bo izgeldala na strani še preden jo boste objavili.
  • Favicon oz. ikona spletne strani
    Enostavo: Settings >> General >> Site Icon. Tako boste lahko naložili t.i favicon  (navadno je to logo vašega podjetja) čisto enostavno. Prej ste logo morali naložiti v vaš root directory preko FTPja.

Povzetek iz:
http://www.sitepronews.com/2015/07/22/wordpress-4-3-what-will-it-offer-you/

Oglejte si še:
http://www.cloudways.com/blog/wordpress-4-3-beta-review/

Beta verzija WP 4.3.:
https://wordpress.org/news/

Ranljivost nekaterih WP vtičnikov

Včeraj so t.i. WP Security varuhi imenovani Sucuri, opozorili na pomanjkljivo varnost nekaterih WP vtičnikov (plugins).

Problem je nastal pri tem, da WordPress Official Documentation (WP uradna dokumentacija) za funkciji (add_query_arg() and remove_query_arg() functions) ni bila dovolj jasno spisana, zato so jo nekateri programerji uporabljali na ne najbolj varen način pri nekaterih vtičnikih.

Torej, če imate nameščene sledeče vtičnike:

  • Jetpack
  • WordPress SEO
  • Google Analytics by Yoast
  • All In one SEO
  • Gravity Forms
  • Multiple Plugins from Easy Digital Downloads
  • UpdraftPlus
  • WP-E-Commerce
  • WPTouch
  • Download Monitor
  • Related Posts for WordPress
  • My Calendar
  • P3 Profiler
  • Give
  • Multiple iThemes products including Builder and Exchange
  • Broken-Link-Checker
  • Ninja Forms

JIH POSODOBITE!

Sucuri pravi, da bi nove, varne posodobitve že morale biti na voljo za vse uporabnike.
Prav tako pa opozarjajo, da redno posodabljajte svoj WP in tudi ostale vtičnike.

Vir: https://blog.sucuri.net/2015/04/security-advisory-xss-vulnerability-affecting-multiple-wordpress-plugins.html?utm_campaign=Security%20Advisory&utm_content=14396847&utm_medium=social&utm_source=twitter