A pochi giorni dal rilascio della versione 3.1 si inizia a pianificare la futura versione, la 3.2, dal blog di sviluppo di WP Mark Jaquith ci informa che mentre questa settimana si definiranno le scadenze e le assegnazioni dei compiti, le principali linee di sviluppo della futura versione sono ormai delineate e punteranno a due obbiettivi fondamentali, la leggerezza e la velocità ecco le principali linee guida della prossima versione:

• Tempi di irlascio più rapidi rispetto alla 3.1 — una release più focalizzata, si decideranno gli sviluppi con maggior precisione e ci si assicurerà che le persone si mantengano su questi obbiettivi per non cadere nella fase “ancora una cosa soltanto”.

• IL tema principale sarà “veloce, leggero”— Si abbandonerà il supporto a tecnologie obsolete. CI si concentrerà per rendere le cose più veloci e sopratutto nel rendere il alvoro di scrittura dei contenuti più semplice e veloce.
• Miglioramenti API List Tables — si finalizzerà la API per l’utilizzo da parte di terzi rendendola anche più flessibile.
• Caricamento XHR delle Tabelle — da analizzare con attenzione dopo aver stabilitto le List Table API. Verificare che sia un vero miglioramento prima di dedicare tempo al suo sviluppo completo.
• PHP 5.2—(nello specifico 5.2.4) come requisito minimo. SI abbandonerà al compatibilità precedente ma senza aggiungere molto codice specifico di PHP5. Lo scopo di questa release sarà quello di abbandonare il vecchio e non aggiungere grosse novità.
• MySQL 5— come requisito minimo. Modifica che non comporterà particolare lavoro se nonq uello di cambiare i requisiti minimi. Non verranno modificate le query (N.d.t. Anche inq uesto caso si abbandonano vecchi requisiti ma senza introdurre grandi novità, un lavoro di pulizia più che di costruzione).
• IE6 EOL (End Of Life) per l’admin — Se BrowseHappy verrà aggiornato in tempo, si considererà la possibilità di aggiungere un avvertimento “use a real browser” per gli utenti IE6. Ciò non permetterà di scartare molto dei CSS per IE6 perchè IE7 ne condivide buona parte dei problemi. Si tratta di una operazione sopratutto simbolica e riduce la combinazione di piattaforme da utilizzare nei test. Ciò comporterà anche che i problemi di sicurezza che dovessero verificarsi solo in relazione a IE6 potranno avereuna priorità più bassa nella loro risoluzione.
• Distrazioni nella scrittura (di articoli) — Lo scopo è far dire: “ooh, che bello”. L’idea è rimpiazzare la versione corrente a tutto schermo conq ualche cosa di più bello, utilizabile (in termini di lunghezza di linea e di dimensione dei caratteri) e di semplice (limitatamente alla funzionalità dell’edito visuale). Per una idea di quello che vorremo si veda WriteRoom, OmmWriter, http://www.quietwrite.com/. Si sta analizzando la cosa e probabilmente verrà realizato un plugin come primo passo per lo sviluppo di questa parte.
• Miglioramenti sull’aggiornamento — Gli aggiornamenti del tipo Solo-i-file-modificati possono venir eseguiti senza modifiche ai file di core di WordPress. Come primo passo si pensa di eseguire gli aggiornamenti solo da una versione alla successiva di una versione principale. Quindi ad esempio da  3.2 a 3.2.1 e dalla 3.2.1 alla 3.2.2. Come opzione si potrà pensare di eseguire una scansione completa dei file per identificare le modifiche e offrire la possibilità di un aggiornamento completo sovrascrivendo i soli file modificati. Inoltre, durante gli aggiornamenti, si escluderà completamente la directory wp-contents directory (nessun aggiornamento del tema standard e dei plugin a corredo).
• Miglioramenti nella velocità — Vi è una enorme serie di cose che si possono fare per rendere WordPress più veloce nel caricamento o al limiti farlo “apparire” più veloce. SI sta considerando il PHP lazy loading. SI sta inoltre lavorando ad una modifica per rendere il caricamento del menu di amministrazione più veloce facendone l’espansione in PHP. Vorremmo rendere la bacheca più veloce non eseguendo richieste asincrone quando la cache è ancora calda. Stiamo anche lavorando a miglioramenti sull’FTP che dovrebbero rendere gli aggiornamenti più veloci per chi utilizza alcuni tipi di server FTP.

Come vedete questa release, oltre ovviamente alla correzione dei ticket aperti si concentra su due obbiettivi che pure non introducendo eclatanti novità “visuali” o funzionalità innovative dovrebbe rendere l’uso giorno per giorno di WordPress più semplice veloce e produttivo, preparando il campo ad ulteriori migliorie una volta abbandonate vecchie tecnologie e requisiti oramai obsoleti, che permetteranno con le future lrealese di introdurre effettive migliori a livello di codice php o di query SQL.

Voi che ne pensate? Quale altre cose avreste voluto vedere in questa versione? Quali pensate saranno gli sviluppi futuri?

Il nostro hoster ci comunica che mercoledì 12 dicembre fra le 12:30 AM e le 2:30 AM PST quindi dalle 9.30 del mattino sino alle 11.30 fra vari server SQL in manutenzione ci sarà anche il nostro.

La manutenzione richiederà 15 minuti per ciascuna macchina ma non sappiamo in che ordine verranno messe offline.

Paiono invece risolti i problemi di riavvio dei server che ci ospitano, visgo che da due giorni non ricevo notifiche di server down.

Un utente ci ha segnalato un, credo, suo articolo dove si parla di exploit di WP 2.5, in sintesi uno permetterebbe la creazione di utenti da parte di utenti che non hanno il permesso per farlo, il secondo una molto più grave possibilità di SQL injection tramite il modulo per i commenti. La prima lettura effettivamente da l’idea di una cosa molto grave, sopratutto la seconda… ma… vediamole singolarmente.

Il primo problema riguarda il fatto che la possibilità di creare un nuovo utente viene verificata controllando se l’utente ha la capacita di “edit_users” invece di quella corretta di “create_users”. Non è un serio problema perchè solo utenti di un certo livello hanno questa capacità, un utente normale ha una sola capacità che è quella di leggere il blog e modificare i propri utenti, gli altri livelli sono solitamente assegnati dall’amministratore il quale dovrebbe autorizzare vari livelli di interazione col proprio blog solo ad utenti minimamente affidabili. Esiste già una patch per la 2.5.1 e l’autore dell’articolo fornisce i file modificati per la 2.5 aggiornarli non fa male ma davvero si corrono rischi minimali. Infatti a differenza di altre volte non abbiamo previsto file di aggiornamento proprio per la bassa rischiosità del tutto, anche se l’autore dell’articolo tiene a sottolineare come a questa cosa sia assegnato il livello critical, cosa normale per la tipologia di problema ma che ripeto richiede ad esempio di dover essere utenti registrati, in blog come il nostro ad esempio il problema non sussiste non avendo la registrazione utenti e per chi avesse invece la registrazione utenti per ad esempio l’invio di newsletter questi utenti spero abbiano il livello minimo (oltre non servirebbe) e quindi non possono sfruttare il problema. Leggi il resto »

Ancora una settimana di intenso lavoro su WordPress 2.5, ecco le principali modifiche della settimana:

• Introduzione dei primi elementi del sistema di aggiornamento dei plugin (#5586).
• Modifiche per consentire agli upload di venir memorizzati al di fuori del path di WP ed avere URL personalizzate ([6780]).
• Una correzione sul tempo compensato in formato leggibile per gli articoli futuri (#5817).
• Modifica per utilizzare durante le modifiche l’abbreviazione completa anzichè quella abbreviata (#5816).
• Riduzione del numero di query SQL fatte da wp_count_posts() (#5820).
• Modifiche per far si che una mancata corrispondenza di un nonce fallisca anzichè visualizzare un messaggio di “Sei sicuro?” (#5838).
• Miglioramento dei metatdati per la ricerca dei commenti nei feed atom (#5493).
• Possibilità per is_single(), is_category()e is_tag() di accettare un array di elementi da verificare (#5593).
• Aggiunta di uan opzione di ordinamento casuale per wp_tag_cloud() (#5726).
• Correzioni al codice generato dalla Walker class in modo da corrispondere a quella della 2.3 (#5844).
• Aggiunta delle cancellazioni di massa per il gestore di link ([6842]).
• Miglioramenti nelle prestazioni di generic_ping() (#5855).
• Modifiche per assicurarsi che gli articoli privati rimangano tali quando vengono pubblicati ( #5881, #4206).
• Introduzione di email di moderazione più specifiche per i {ping|track}back. (#4986).

Oltre a tutto questo, nella settimana, vi è stato un intenso lavoro di rifinitura del nuovo design del pannello di amministrazione.

Per ulteriori informazioni su altri piccoli cambiamenti avvenuti in settimana potete leggere il weekly trac timeline, oppure guardare il changelog completo per la trunk o vedere il diffstat dei cambiamenti.

Tagged with: ays, nonce, plugin, security, sql, wordpress-2.5

[Via westi on owrdpress]

Altra settimana di intenso sviluppo per WordPress 2.5, ecco le modifiche della settimana:

• Modifiche all’importatore per blogger per avere una migliore dichiarazione dei requisiti (#5220).
• Aggiornamento a get_sidebar() per consentire sidebar multiple con nome (#5615).
• Rimozione dei controlli lenti e ridondanti su $now nelle query SQL in get_lastcommentmodified() (#5650).
• Modifiche alla sanitizzazione delle url per consentire le parentesi (#5668).
• Correzioni a url_to_postid() per assicurarsi che non si pasticci con l’url di cui si cerca la corrispondenza (#5661).
• Rifacimento del codice di amministrazione per rendere la classe WP_User_Search disponibile agli autori di plugin  (#5111).
• Modifiche a wp_tag_cloud() per garantirsi che la funzione ritorni un array se viene specificato il parametro 'format=array' (#5155).
• Estensione dei tag e degli attributi HTML che kses permette all’interno degli articoli (#5617).
• Aggiornamento della libreria jQuery alla versione 1.2.2 (#5492).
• Miglioramenti al codice di identificazione di errori nei plugin per garantire che gli errori siano correttamente visualizzati  (#5673, #5658).
• Documentazione aggiornata per kses.php e pluggable.php (#5641, #5509).
• Inizio migrazione a TinyMCE v3.0 RC1 (#5674).
• Nuove funzionalità per consentire la modifica dello slug degli articoli  (#5679).
• Aggiunta della chiamata do_action alle funzioni xmlrpc (#5686).
• Modifiche all’implementazione APP per assicurarsi che sia possibile aggiornare il timestamps degli articoli già pubblicati (#5680).

Per ulteriori informazioni su altri piccoli cambiamenti avvenuti questa settimana potete leggere l’intera weekly trac timeline.

[Via westi on wordpress]