1週間ぶりに投稿しようと開いてみたら、自動アップデートの催促が来ていました。
トーマス・マッケンジー氏によって、ログインしている場合、他のユーザーによってゴミ箱に入れられた投稿を見ることができてしまうという問題が指摘されました。ブログに信用出来ないユーザーが登録されており、ゴミ箱内に公にすべきでない投稿がある場合は、2.9.2 へのアップグレードをおすすめします。
他のユーザーは作っていないし、ゴミ箱に捨てた投稿もないので、あまり関係ないのですが、なんとなくアップデートしてみました。相変わらずformatting.phpは前ヴァージョンからの使いまわしですー。
WordPress 2.9.1の日本語版が出たので、早速自動アップグレードしてみました。
通常の使用で不具合はまったく無かったので、アップグレードしなくてもいいかなと思ったのですが、予約投稿は頻繁に使っているのでトラブル予防のために早々に手を打ったというわけです。
だって、「かなり面倒な問題を解決」とか書かれたら、気になるよねー。
ところでカスタマイズしているformatting.phpはWordpress 2.9のものを流用しています。たぶん問題ないとは思うケド。
WordPress 2.8.5や2.8.6を放置しているうちに、WordPress 2.9が出てきました。いつもはしばらく様子を見るところですが、「ゴミ箱」機能や画像編集機能が気になるので、今回は早々にアップグレードしました。
自動アップグレードはすぐに終わるのですが、文字置換系のformatting.phpをいじっているので、Dreamweaverを起動してこそこそと修正です。
一応バックアップは取ってから作業しましたが、特にトラブルはなかったのでホッとしましたー。
昨日、脆弱性が見つかりました: 特別に作成された URL がリクエストされると、ユーザーがリクエストしたパスワードのリセットを確認するためのセキュリティチェックを攻撃者が回避できる可能性があります。その結果、データベースにキーを持たない最初のアカウント (通常は管理者アカウント) のパスワードがリセットされ、新しいパスワードがそのアカウントのメールアドレスに送られます。
この内容ではさすがに放置しておくこともできず、早々にアップグレードしました。これだけ頻繁に更新されると、なんだかWordPress 2.8はハズレっぽい気がします。新機能には魅力的な点もありますが、新機能のために重くなったり、不安定になったりしてしまうのは、個人的にハズレ扱いです。(Windows2000信者の視点だと、XPやVistaがハズレに見えてしまう論理です。)
毎回自分用カスタマイズのためにformatting.phpを修正していますが、今回は2.8.3のときのファイルをきちんと保存しておかなかったので修正点がわからず、ちょっと難儀でした。たぶんできているはずですが。
残念なことに、2.8.1 の権限拡大問題を修正していた際、いくつか見落としていた点がありました。幸運なことに、頼りになる WordPress コミュニティが私たちの背後にいてくれています。コミュニティ内の数人が、さらに深く問題を追及し、見過ごした箇所を発見してくれました。
ということで、Wordpress 2.8.3に急遽アップグレードしました。どこにどんな問題があるのかさっぱり理解していないですが…。