dogmap.jp

導入したばかりの Wordpress ですが、2.0.x系・2.1.x系では管理者パスワードが盗まれる脆弱性が存在するとの事。
2.1.x系はメンテナンスされないとのことなので、Wordpress 2.2へアップデートしました。

以下、手順を自分用にメモ。

• バックアップ
• 動作中のプラグインをすべて無効化する
• Wordpress ME 2.2 のソースですべて上書き
• ブラウザで wp-admin/upgrade.php にアクセスしてアップデート処理を行う
• プラグインの動作を検証しながら、一つずつ有効化していく

  ほとんどのプラグインは問題なく動作したが、以下の２つのプラグインで問題発生

  • Ultimate Tag Warrior 3

    ベースURLを変更しているとうまく動かないようなので、デフォルト設定に戻す。
    → 「パーマリンク設定」で「パーマリンク構造を更新」ボタンを押しなおせば良いだけでした。

  • WP-Amazon 2.0 Beta 1.1

    まともに動作しなくなったので旧バージョン 1.3.2 に戻す。
    #ただし、そのままでは Wordpress 2.2系では動作しないので多少の修正が必要。

以上

---

Wordpress 2.2 で、WP-Amazon 1.3.2 を動作させるには、以下の修正が必要です。

wp-amazon.php 31-33行目
修正前

include_once (ABSPATH . '/wp-includes/version.php');
require_once (ABSPATH . '/wp-includes/wp-l10n.php');
require_once (ABSPATH . '/wp-admin/admin-functions.php');

修正後

include_once (ABSPATH . 'wp-includes/version.php');
require_once (ABSPATH . 'wp-includes/l10n.php');
require_once (ABSPATH . 'wp-admin/admin-functions.php');

wp-amazon-plugin.php 218行目
修正前

if (!(strstr($_SERVER['PHP_SELF'], 'post.php') || strstr($_SERVER['PHP_SELF'], 'page-new.php')) || $_GET["action"] == 'editcomment')

修正後

if (!(strstr($_SERVER['PHP_SELF'], 'post.php') || strstr($_SERVER['PHP_SELF'], 'page-new.php') || strstr($_SERVER['PHP_SELF'], 'post-new.php') || strstr($_SERVER['PHP_SELF'], 'page.php')))

wp-amazon-plugin.php 240行目
修正前

if( (!strstr($_SERVER['PHP_SELF'], 'post.php') && !strstr($_SERVER['PHP_SELF'], 'page-new.php')) || $_GET["action"] == 'editcomment' )

修正後

if (!(strstr($_SERVER['PHP_SELF'], 'post.php') || strstr($_SERVER['PHP_SELF'], 'page-new.php') || strstr($_SERVER['PHP_SELF'], 'post-new.php') || strstr($_SERVER['PHP_SELF'], 'page.php')))

これで、動作するはず。
正式なパッチではないので、修正はオウンリスクでお願いします。

---

関連サイト：Standing Tall: WordPress で管理者パスワードが盗まれる恐れ