Yesterday a vulnerability was discovered: a specially crafted URL could be requested that would allow an attacker to bypass a security check to verify a user requested a password reset. As a result, the first account without a key in the database (usually the admin account) would have its password reset and a new password would be emailed to the account owner. This doesn’t allow remote access, but it is very annoying.

We fixed this problem last night and have been testing the fixes and looking for other problems since then. Version 2.8.4 which fixes all known problems is now available for download and is highly recommended for all users of WordPress.

大概意思是，昨天检查出一个漏洞，攻击者可以通过一个特定的网址绕过安全检查，验证用户并且重设密码。结果会导致数据库中第一个账户（通常是管理员帐户）的密码被重置，并且一个新的密码会被电邮至帐户所有者。这并不允许远程访问，不过也是很讨厌的。昨晚我们已经修复了这个问题，并且不断测试其他可能会出现的情况。现在提供的WordPress2.8.4已经修复了所有已知的问题，强烈建议所有WordPress用户更新。

Unfortunately, I missed some places when fixing the privilege escalation issues for 2.8.1.  Luckily, the entire WordPress community has our backs.  Several folks in the community dug deeper and discovered areas that were overlooked.  With their help, the remaining issues are fixed in 2.8.3.  Since this is a security release, upgrading is highly recommended.  Download 2.8.3, or upgrade automatically from your admin.

也就是修复了个权限升级的问题吧，这是作者在2.8.1中遗漏的，既然是安全更新，建议大家实时跟进。

WordPress 2.8.2 fixes an XSS vulnerability. Comment author URLs were not fully sanitized when displayed in the admin. This could be exploited to redirect you away from the admin to another site.  Download 2.8.2 or automatically upgrade from the Tools->Upgrade page of your blog’s admin.

WordPress修补了一个XSS漏洞，评论作者的网址如果没有经过完全审查便显示在管理页面时，很可能让你从管理页面跳转到另外的网址。虽然没有遇到过这样的情况，看了下大家，基本上都升级了，所以~还是建议没升级的去下载或者是自动升级吧！（当然是选自动啦，多方便，hoho）

找图片插件的时候发现了这个→Lightbox2，效果确实很酷，点击图片的时候可以放大至完整大小而且不离开当前页面，缺点是加载可能会稍微有点慢..

效果嘛，请痛点下面这个小正太看看吧~~关闭放大效果的close在图片右下角~

下载插件Lightbox2   （官方最新版本2.8.2）

使用方法（真是超级简单啊~）

1、在后台启用插件Lightbox2

2、添加图片时设置链接图片至原图片地址

试试看~是不是很酷呀~

WordPress 2.8.1 fixes many bugs and tightens security for plugin administration pages. Core Security Technologies notified us that admin pages added by certain plugins could be viewed by unprivileged users, resulting in information being leaked. Not all plugins are vulnerable to this problem, but we advise upgrading to 2.8.1 to be safe

这是官方的升级说明，大概翻译过来就是：

WordPress的2.8.1修正了许多bug，加强了插件管理页面的安全性。Core Security Technologies通知官方，管理页面添加某些插件可以被认为是无特权的用户而导致信息泄漏。虽然并不是所有的插件都会遇到这个问题，但建议升级到2.8.1来保证安全。

官方都这么建议了，所以~大家还是与时俱进吧~hoho

1、下载XAMPP软件（选择XAMPP Lite（精简版）—EXE（7-zip）（17MB）这个版本就可以）

2、解压缩至D:\Program Files下

3、打开D:\Program Files\xampplite，运行 setup_xampp.bat

4、运行xampp-control.exe，选择Apache、Mysql后的Start，看到Running表示在运行了（Apache要用到80端口，所以Start前请关闭迅雷、Skype等一些应用软件，否则Apache会显示busy）

5、打开浏览器，在地址栏输入 http://localhost/ 或者 http://127.0.0.1/，选择语言后进入主界面

6、如果要设置密码的话，点击左侧导航栏的“安全”，选择

要解决对于mysql, phpmyadmin以及xampp目录的问题, 您只需简单的执行

=> http://localhost/security/xamppsecurity.php <=   [只允许localhost]

       需要设2个密码，第一个是Mysql的密码（用户名默认是root），第二个是进入localhost时输入的用户名和密码

7、创建数据库

回到localhost，左侧导航栏—工具—phpMyAdmin，输入刚才设的密码（用户名为root），新建一个数据库，例如wordpress

8、将WordPress文件夹放在D:\Program Files\xampplite\htdocs\ 目录下，编辑wp-config-sample.php

define(‘DB_NAME’, ‘wordpress’);     （刚才建的数据库名称）

define(‘DB_USER’, ‘root’);                （Mysql用户名，默认就是root）

define(‘DB_PASSWORD’, ‘12345′)  （在第6步时你自己设的密码，默认是空的）

define(‘DB_HOST’, ‘localhost’)          （不需要改）

这里需要注意，用记事本编辑的话，请一定要另存为ANSI编码，否则安装过程中会出现警告 Warning: Cannot modify header information（图） 这是utf8编码问题，如果你用的是UltraEdit等编辑器就没问题。

9、运行 http://localhost/wordpress/wp-admin/install.php hoho~熟悉的安装界面出来咯~填入博客标题和电子邮件，安装过程就完成了

是不是很简单~DiDi第一次装时在Apache端口（开着迅雷= =）和编码那里卡了一下，其他都没什么问题。没有空间的朋友也可以在本地装一个XAMPP玩一玩WordPress啊，就当练手啦~~友情提醒哦，登陆后第一件事先改系统生成的那一串随机密码，查看博客的页面是 http://localhost/wordpress/

呆了数秒后提示我升级成功了~ 这期间我一直张大嘴巴看着..囧（没想到自动升级这么方便）

印象中我只修改了主题文件，所以如果你对WP文件修改比较多的话，建议还是暂时别升，或者备份好你修改过的文件后再升级..

猛点我去官方看更新日志

Windows Live Writer出了点问题，于是就在后台发布页面，修改预览再修改，几次一看，一堆修订版本，我当场那个Orz啊~照此下去，我写100篇文章，是不是相当于发布了几千篇？……太恐怖了

于是启用Delete-Revision这个插件！ 下载

Revision Post 是 WordPress 在2.6版之后加入自动保存日志修订版造成，您每修改一次日志，就会增加一个 revision ， 如果您修改多次，数篇日志之后，这将是一个很可怕的数量！

您如果有上百篇的日志，您的冗余 revisiong 可能会有上千篇之多！

对于个人博客来讲，很多的一个文章存在很多的修订版，无疑是一种资源浪费，过多的 revision 还会增加数据库负担，减慢 wordpress 运行速度~！或许 revision 对于团队博客来说，有一定的用处。大多数人，还是删了的好。

Revision Manager 正是为此而来，删除大量冗余 revision 对提高 SQL 语句执行速度，提升 WordPress 运行速度有很大的好处！

使用很简单，下载—解压—上传至插件目录—后台启用—设置—扫描后删除即可～

果然扫了不少垃圾出来～ ＝ ＝｜ 建议每隔一段时间，使用 Delete revision 清理一次数据库~

插件简介:
在您的定制页面显示对搜索引擎友好的树形结构存档列表.

使用方法：

1、下载、解压、上传至/wp-content/plugins下并在后台启用

2、复制正在使用的主题文件page.php，另存为archivespage.php

在文件最前面添加

<?php
/*
Template Name: Archives Page
*/
?>

3、将如下代码

<?php the_content(); ?>

替换为

<?php wp_easyarchives(); ?>

4、将archivespage.php上传至主题文件夹目录

5、添加新页面时选择模板“Archives Page”，根据自己需要修改页面标题和缩略名，发布

我以为Akismet自动屏蔽垃圾留言，我就不需要做其他事了。今天心血来潮点了下垃圾评论看看都是些什么，发现Akismet居然把一些请求友链的留言也当做垃圾了~（囧）

然后我就在垃圾箱躺着的几百条垃圾里捞啊捞……（握拳）

各位朋友，如果发现您的留言（特别是友链申请）发表24小时后仍没有显示出来，请速呼叫 tinyariel囧gmail.com