WordPress › WordPress 3.2 now available

WordPress | 日本語 » WordPress 3.2 日本語版リリースのお知らせ

ファイルとデータベースのバックアップ後、管理画面からの自動更新でアップグレードを行いました。このバージョンから、PHP 5.2.4とMySQL 5.0以上が必須になっています。実行開始から数分待てば問題なくアップグレードが完了するはずです。

このバージョンからデフォルトのテーマがTwenty Elevenに代わり、よい機会なのでこちらを使ってみようと思ったのですが、投稿表示ページ(single.php)のレイアウトが１カラムだった…。管理画面でもデフォルトのレイアウトは選べる項目ありますが、トップページのレイアウトにしか反映されませんでした。

とりあえずsingle.phpのレイアウトを2カラムにして、右のカラムにおくサイドバーのwidthも広げてみました。

Twenty Elevenのレビュー記事はいくつかみかけますが、きちんとした日本語解説が探せなくてソース読んだり、ググったりの一進一退だったのですが、海の向こうでもやはり同じことを思った人がいたようで、それを見つけたらわりとグイグイいけました。

WordPress › Support » How can I show the sidebar on single posts?

Twenty Tenのときと同じように、子テーマを作ってstyle.cssをいじることでOKなもよう。
っていうか、もう配ってるひとがいた。

Add Sidebar Support in Posts for the Twenty Eleven Theme – Future Web Blog

こちらをインストールして有効に。そのあと調整していきました。

なお、このテーマをインストールして2カラムにできるのはこの記事を書いている時点では投稿表示ページだけみたい。ページ(page.php)ではサイドバーが表示されませんでした。

WordPress › Support » Twenty Eleven Theme

サイドバーも広げたかったので、↑のstacyvlasitsさんが言及してる箇所で数値を変更して対応。現状のstyle.cssはこんな感じになりました。

[css]#primary {
float: left;
margin: 0 -35.6% 0 0;
/* margin: 0 -26.4% 0 0; オリジナルの値*/
width: 100%;
}

#content {
margin: 0 34% 0 7.6%;
width: 49.2%;
/* width: 58.4%; オリジナルの値*/
}

#secondary {
float: right;
margin-right: 7.6%;
width: 28%;
/* width: 18.8%; オリジナルの値*/
}[/css]

#secondaryがサイドバー表示部分、#primaryが投稿表示部分です（サイドバーを右カラムにおく場合）。#secondaryでwidthを広げたら、その分を#primaryの右marginに加えて、#contentのwidthから減らします。

＃それっぽく書いてますが、たまたまできた感が強い点にご注意ください。

変更するstyle.cssはTwenty Eleven Child with Sidebar Supportのものではなくて、Twenty Elevenのものですので気をつけてくださいねー。

自戒を込めて。

OSC2010 Okinawa にいってきました。見たいセミナーも見れたし、お名前だけ見かけて知っている方にリアルでお会いできたりなかなか充実した１日でした。写真も何枚か撮ったけど使っていいのかわからないので無難なものだけで。以下、断片的なメモ。

セミナーで使われたスライドの一部がオープンソースカンファレンス2010 Okinawa – オープンソースの文化祭！で公開されています。

関連リンク

• オープンソースカンファレンス2010 Okinawa – オープンソースの文化祭！

言及されてるブログ

• Yuriko.Net » オープンソースカンファレンス 2010 沖縄 に出展
• オープンソースカンファレンス2010 Okinawaを先取り – あれとアレは混ぜるな危険
• 10月2日「オープンソースカンファレンス2010 in Okinawa」開催報告 – APEC沖縄情報･通信月間
• オープンソースカンファレンス沖縄で発表してきました！ | Mashup Award 6 (#MA6) on CREYLE
• Mozilla Japan ブログ – オープンソースカンファレンス沖縄に行ってきました！
• オープンソースカンファレンス 2010 Okinawa に行ってきました♪:きくちはじめ工房ブログ – 沖縄のコンピュータサービス
• Seeker’s eye: オープンソースカンファレンス沖縄2010

ハッシュタグ#osc10okでのツイート

• Togetter – 「OSC2010 Okinawa」

3年弱の間、coreserverでこのblogを運営してきましたが、そろそろ更新時期を迎えるのを機に、いい機会なのでレンタルサーバーの引っ越しをしてみたのでその記録。coreserverからチカッパ!へ引っ越しました。

引っ越した理由

• coreserverは1年契約だと1ヶ月あたりの料金が400円で済むのだけど、月ごとの契約だと500円くらいでチカッパと大差ない。
• paperboy&co.のレンタルサーバーは見た目かわいいけど今までサービス継続できてるのでそれなりのものではあるのだろうと推測。
• 無難にblogやってきたけど、どこかのサービスを使うのではなく、あえてドメインまでとってやってるのだから、こういうことやっておくのもいい勉強になると思った。

引っ越しの具体的な手順

1. WordPressからWXRでエクスポート
2. 移転先にWordPressインストール。このときは割り当てられたドメイン(http://skurima.digick.jp)を使う。（簡単インストールを使ったが、そこに罠が。後述。)
3. エクスポートされたWXRをインポート。記事中の画像などはうまくとりこめなかったので、転送ツールを使ってUPLOAD配下のファイルなどを転送しておく。すでにファイルがある場合はインポート時にチェックしてスルーしてくれる。
4. WordPressの管理画面で一般設定－サイトのアドレス(URL)で独自ドメイン(skurima.com)からレンサバ割り当てのドメイン(skurima.s14.coreserver.jp)に変更。この時点でhttp://skurima.comでアクセスできなくなる。
5. coreserverの管理画面で移転元のblogのドメインを独自ドメイン(skurima.com)からレンサバ割り当てのドメイン(skurima.s14.coreserver.jp)に戻す。
6. Value-Domainの管理画面でDNSがcoreserver割り当てIPでskurima.comからskurima.s14.coreserver.jpを参照するように変更。
7. nslookupで変更されていることを確認後、次へ。（伝播するのに３０分くらいかかった）
8. coreserverのblogがskurima.s14.coreserver.jpで正常に動作するのを確認。
9. Value-Domainの管理画面でDNSがskurima.comがチカッパのIPを参照するように変更。
10. nslookupで変更されていることを確認後、次へ。
11. blogのドメインをチカッパ割り当て(skurima.digick.jp)から独自ドメイン(skurima.com)に変更
12. http://skurima.comで正常に動作することを確認
13. 引っ越し完了。お疲れさまでした。

以下、やってみて気がついたこと。メリット、デメリットなど。

• チカッパで用意されているWordPress簡単インストールを使って複数回インストールした場合、新しいDBにするか前回と同じDBを使うか選べるが、新しいDBを使うが吉。このあたり、それまでにインストールしたファイルも環境を生かして再インストールするか、まっさらにしてからインストールするか選択できるとうれしいかも。インストールした回数分、履歴はちゃんと残ってるのよね。何の履歴かは未調査。popular postsプラグインで人気記事を表示させたら同じ記事が並んでしまう現象に見舞われ、解決がなかなか面倒でした。重複したレコードをselectするためそのようになっていると思われ。参照:http://mauyas.com/archives/2450

• お試し期間中(10日間)にチカッパに最新版のWordPressをインストール。coreserver、チカッパにそれぞれ同じバージョンのWordPressをインストール、記事もインポートして同数にし、プラグインもできるかぎりそろえた。その上でyslowを使ってそれぞれに何度かキャッシュクリアのうえでアクセスし、移転先が応答が速いことの根拠とした。けど、あんまり関係なかったかも(汗)

メリット

• レスポンスはよくなった（と思う）
• サポートがやさしそうｗ　coreserverもチカッパもどちらも実際にお世話になったことがないけど、coreserverの必要最小限初心者お断りなインターフェースよりは初心者に親切にしたいという姿勢はみえる。これは人それぞれだな。

デメリット

• SSHがなくなった。これが一番気がかりな点だったが、チカッパに用意されているwebインターフェースのファイルマネージャーで代替できるかなと。我慢できなくなったらそのときに考えることにする。

その他

• WordPressの応答速度はサーバー自体よりもテーマやプラグインで変わったりするものに感じる
• 初めてインポートするときにWordPress Importerのインストールを求められる。WPの指示に従えばよろし。
• かかる予定の費用が初期費用＋1ヶ月分で1500円ちょっと(9月末までの分)

メジャーバージョンアップで追加・変更された機能も多々あったので、今回はきちんとデータベースとファイルのバックアップをとったうえで、管理画面からアップデートを試みました。

**注意**
2.9 から MySQL バージョンのシステム要件が変更され、4.1.2 以上が必要になりました。

上の要件変更は使っているMySQLのバージョンを要確認ですね。コマンドたたくか、レンタルサーバーのサイトなどにインストールされているデータベースやソフトウェアのバージョンが書かれたページを確認。

変更、機能追加された箇所のリストです。

• SEO 強化のために rel=canonical に対応しました。
• 自動データベース最適化に対応しています。これは、wp-config.php ファイルに define('WP_ALLOW_REPAIR', true); と追加することで有効化できます。
• テーマが “投稿サムネイル” を登録し、投稿に画像を添付できるようになりました。特に、マガジン形式のテーマに便利でしょう。
• 新しい commentmeta テーブルを導入し、コメントに任意のキー/値ペアをつけられるようになりました。投稿と同じような感じなので、コメント構造の中でできることがかなり広がります。
• カスタム投稿タイプをアップグレードし、API サポートを改善することにより、post/page/attachment 以外の投稿タイプを扱いやすくなりました（3.0でもさらに拡張していく予定です）。
• カスタムテーマディレクトリを設定できるようになりました。これで、プラグインがテーマを同梱したり、サーバー上に複数の共有テーマディレクトリを置けるようになります。
• TinyMCE WYSIWYG エディタと Simplepie をアップグレードしました。
• サイドバーに説明を加え、どこでどんなふうに使われるのかがもっと分かりやすくなりました。
• カテゴリーテンプレートを ID だけでなくスラッグでも指定できるようになりました。これで、テーマ開発者がカテゴリー関連のカスタマイズをしやすくなります。投稿タイプと同様に！
• ユーザー登録およびプロフィールの拡張性を高め、追加情報を収集しやすくなりました。例えばユーザーの Twitter アカウントなど、好きなように使えます。
• XML-RPC API を拡張し、ユーザー登録オプションも許可するようになりました。また、Atom API 添付関連の問題もいくつか解決しました。
• 新たに追加したギャラリーショートコードの include/exclude 属性により、カスタムギャラリーを作れるようになりました。現在表示している投稿だけではなく、任意の投稿から添付ファイルを引っ張って来れるようになっています。
• テーマエディタやプラグインエディタでファイルを編集して保存したあと、編集していた行を思い出してそこへカーソルを戻すようにしました（ありがたいことに！）。
• Press This ブックマークレットを改善し、今まで以上にスピードアップしました。ネットのどこにいてもその場からブログが書けるので、試してみてください。
• カスタムタクソノミーを WXR エクスポートファイルに含め、インポート時に正しく処理されるようにしました。
• 抜粋、スマイリー、HTTP リクエスト、ユーザープロフィール、投稿者リンク、タクソノミー、SSL サポート、タグクラウド、query_posts、WP_Query 向けにフックとフィルターを改善しました。

ボールドにしたところは私でも確認できましたが、それ以外は使ってないのでよくわかりません。

自動データベース最適化の恩恵かどうかがつかめてないのですが、体感でレスポンスがよくなったように思います。「不要なものはできるだけ使わない」をポリシーにときどきプラグインやらブログパーツなど調整してますが、バージョンアップ後すぐに「お？」と思いました。

サイドバーに説明を加えた云々の箇所はウィジェット編集画面のことなのかなあ。テーマによって挙動が違う部分なんでしょうか。しばらく探してみたけど、これもよくわからず。

そんな私でも無事にバージョンアップを済ませることができるほど、よくできているなーといつもながら感動です。基本的には管理画面からのバージョンアップで問題ありませんでした。

開発に携わっている方たち、日本語版作業チームのみなさんに感謝。

WordPress | 日本語 » WordPress 2.8.6 日本語版リリースのお知らせ
WordPress | 日本語 » WordPress 2.8.6 セキュリティリリース

バージョン 2.8.6 では、投稿権限があるログイン中の登録ユーザーによって悪用される可能性があるセキュリティバグを2箇所修正しています。もしご利用中のブログに信用できない投稿者が存在する場合は、2.8.6 へのアップグレードをおすすめします。

一つ目の問題点は、ベンジャミン・フレッシュ氏が発見した「Press This」ブックマークレットの XSS 脆弱性です。二つ目の問題点はダウィッド・ゴランスキ氏が発見したアップロードファイル名のサニタイズに関するものです。ある Apache 設定のもとでは脆弱性があることが確認されました。

管理画面から実行できる自動アップデートで特に問題なくアップデートできてはいるのですが、やっぱりcoreserverだとタイムアウトして画面が真っ白になっちゃいます。（FTP & SSLでアップデートした場合）
管理画面に入り直せば、きちんとアップデートされているのは確認できますが、若干ビビります。

開発者のみなさんと日本語版作業チームの迅速な作業に感謝。

WordPress | 日本語 » WordPress 2.8.5 日本語版リリースのお知らせ
WordPress | 日本語 » WordPress 2.8.5: 強化リリース

* 現在見受けられるトラックバック DOS 攻撃に対する修正
* PHP の変数が評価されている部分のコードの除去
* 管理者を含むすべてのユーザーのファイルアップロード機能にスパムフィルターを利用
* 古いプラグインであるタグデータインポートツール2つの利用を終了

セキュリティ強化が主な内容のアップデートになります。古いバージョンには管理者アカウントのパスワードをリセットを試みられてしまうバグがあり、そのワームが広く出回ったことで2.8.4へのアップデートが強く呼びかけられてましたので、追従できるときにはそうしておいたほうが無難だと思われます。

バックアップは念のためとっておいたうえでアップデートしますが、これまで自動アップデートでトラブったことは皆無であります。
強いて言うなら、サーバ（coreserver）の方が重くてレスポンスを待ちきれずにアップデート中に真っ白なページのままになったりしますけど、きちんとアップデートはされます。

開発者のみなさんと日本語版作業チームに感謝。

WordPress | 日本語 » WordPress 2.8.4: セキュリティリリース
WordPress › Blog » WordPress 2.8.4: Security Release

昨日、脆弱性が見つかりました: 特別に作成された URL がリクエストされると、ユーザーがリクエストしたパスワードのリセットを確認するためのセキュリティチェックを攻撃者が回避できる可能性があります。その結果、データベースにキーを持たない最初のアカウント (通常は管理者アカウント) のパスワードがリセットされ、新しいパスワードがそのアカウントのメールアドレスに送られます。これによってリモートアクセスが可能になるわけではありませんが、かなり不愉快な思いをするでしょう。

私たちは昨晩この問題を修正し、この修正をテストして他に問題がないか確認しました。既知の問題をすべて修正したバージョン2.8.4はすでにダウンロードできるようになっていて、すべての WordPress ユーザーにアップグレードを強くおすすめします。

おお！このいたずら、まさに2.8.4がリリースされる前日にあいましたよ！
adminのパスワードリセットのメールがきていたので、何だろうと思ったけど実害はなかったのでとりあえず保留していたのですよ。
あちこちから報告があがったんですかね。オリジナル、日本語版とも仕事が早い早い。

今回ばかりは当該事象にあたってしまったので、本気でｗアップデート推奨ですね。
管理画面からの自動アップデートで問題なく動いています。

開発者のみなさんと日本語版作業チームに感謝。

WordPress | 日本語 » WordPress 2.8.3 セキュリティリリース
WordPress › Blog » WordPress 2.8.3 Security Release

によると、

残念なことに、2.8.1 の権限拡大問題を修正していた際、いくつか見落としていた点がありました。幸運なことに、頼りになる WordPress コミュニティが私たちの背後にいてくれています。コミュニティ内の数人が、さらに深く問題を追及し、見過ごした箇所を発見してくれました。彼らの協力により、2.8.3では残りの問題が修正されています。セキュリティ修正リリースのため、アップグレードを強くおすすめします。2.8.3をダウンロードするか、管理画面から自動アップグレードを行ってください。

とのことです。

引用の通り、管理画面からの自動アップデートで問題は出ていません。
微妙に管理画面のデザインが変わった(?)のと、レスポンスが速くなったような気がします。いずれもきちんと確認はしてませんけども。

例によって、WordPress2.8.3は順調に動作しています。
開発者のみなさんと日本語版作業チーム、WordPressコミュニティに感謝。

WordPress 2.8.2 では XSS の脆弱性を修正しています。コメント投稿者の URL が完全にサニタイズされずに管理画面に表示されていました。これは悪用されると、管理画面から別のサイトへリダイレクトされる可能性があります。2.8.2をダウンロードするか、管理画面のツール->アップグレードから自動アップグレードしてください。

直前のバージョンからそれほど間をおかずにリリースされたということは、緊急性の高いアップデートなのかな。

変更履歴にも特に機能追加などの記述は見つけられませんでした。管理画面からのアップデートで特に問題ないですね。

例によって、WordPress2.8.2は順調に動作しています。
開発者のみなさんと日本語版作業チームに感謝。

WordPress 2.8.1 は多くのバグを修正し、プラグイン管理画面のセキュリティを強めています。コア・セキュリティ・テクノロジーか ら、一部のプラグインによって追加される管理画面が権限のないユーザーによって表示でき、その結果、情報の漏洩する可能性があったことが報告されました。 すべてのプラグインにこの問題に対する脆弱性があるわけではありませんが、安全のため2.8.1にアップグレードすることをお勧めします。

今回のリリースはマイナーアップデート（といってもなかなかの数の修正項目がｗ）だったので、管理画面からの自動アップデートを試してみた。
このブログではあまりトリッキーなことをやっていないせいか、特に問題なく、2.8.1へアップデートできてます。

管理画面の脆弱性への対応もあるので、アップデートが推奨されています。

例によって、WordPress2.8.1はすこぶる順調に動作しています。
開発者のみなさんと日本語版作業チームに感謝。