Ars Longa, Vita Brevis » Плагины WordPress

Обход плагина WP Hashcash

Vladimir — Mon, 26 Dec 2011 05:43:11 +0000

Не так страшен JavaScript, как его малюют…

WP Hashcash — очередной плагин WordPress для борьбы со спамом. Принцип работы основывается на том, что спам-боты не умеют исполнять JavaScript. Идея в том, что если пользователь открыл сайт из браузера, браузер выполнит некоторый хитрый код JavaScript, и реузльтат работы этого скрипта будет передан назад на сервер в качестве доказательства «человечности» комментатора.

Недостаток этого подхода заключается в том, что используемый JavaScript является довольно-таки простым; как следствие, его можно «понять» даже из PHP-скрипта.

Пример кода JavaScript, генерируемого плагином:

Такой JavaScript весьма похож на PHP Как следствие, идея обхода плагина заключается в том, чтобы преобразовать JavaScript в PHP и выполнить получившийся PHP-код.

Итак:

В PHP нет ключевого слова var (строго говоря, оно там есть, только имеет другое назначение).
В PHP несколько другой синтаксис объявления массива
Идентификаторы в PHP начинаются с доллара
Операция сдвига выглядит как >>, а не >>>.
В PHP нет классов Array, String, но никто не мешает их написать

Наша задача состоит в преобразовании кода, приведённого выше, в нечто подобное:

Это достигается таким набором правил str_replace():

$x = array(
'wphc_data' => '$wphc_data',
'var $' => '$',
'var ' => '$',
'];' => ');',
'= [' => '= array(',
'new Array($wphc_data.length)' => 'array()',
'$wphc_data.length' => 'count($wphc_data)',
' i<' => ' $i<',
'[i]' => '[$i]',
'i++' => '$i++',
'>>>' => '>>',
'a[$i] =' => '$a[$i] =',
'String.' => '',
'eval' => '',
"a.join('')" => 'join("", $a)',
);

$s = str_replace(
array_keys($x),
array_values($x),
$s
);

При желании правила можно попытаться оптимизировать, но мне было лень — скрипт ломался на коленке за 10 минут.

Реализация функции fromCharCode:

function fromCharCode($a, $b, $c, $d)
{
return chr($a) . chr($b) . chr($c) . chr($d);
}

После замены результат нужно вычислить при помощи eval(). После чего получим такой результат:

function wphc_compute(){return 43448 * 43448 + 75878; } wphc_compute();

Как можно заметить, этот код является одновременно и PHP-кодом, и JavaScript-кодом.

Следующий шаг —

$s = str_replace('wphc_compute();', '', $s);
eval($s);
echo wphc_compute(), "\n";

Результатом выполнения будет число 1887804582.

Как видим, для обхода такой простой защиты не нужен даже интерпретатор JavaScript

При использовании материалов блога наличие активной не закрытой от индексирования ссылки на источник обязательно.

Межсайтовый скриптинг в Register Plus

Vladimir — Sun, 13 Feb 2011 12:59:36 +0000

Патч, исправляющий уязвимости XSS и FPD

В плагине Register Plus 3.5.1 обнаружена уязвимость, позволяющая провести удалённому пользователю XSS-атаку.

Уязвимость связана с отсутствием экранирования специальных символов при выводе данных, полученных от пользователя, что позволяет злоумышленнику выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

Судя по дате последнего изменения, плагин автором больше не поддерживается; тем не менее, пользователи не оставляют попытки использования плагина с новыми версиями WordPress.

Тем же исследователем была обнаружена уязвимость типа full path disclosure (ей подвержены очень многие плагины и сам WordPress в том числе).

Скачать патч для плагина Register Plus.

Межсайтовый скриптинг в плагине Accept Signups 0.1

Vladimir — Wed, 09 Feb 2011 04:10:34 +0000

Исправление OSVDB-70101 для плагина Accept Signups

В плагине Accept Signups 1.0 обнаружена уязвимость, позволяющая провести удалённому пользователю XSS-атаку.

Уязвимость связана с отсутствием обработки входных данных в параметре email, передаваемом файлу wp-content/plugins/accept-signups/accept-signups_submit.php, а также с отсутствием экранирования специальных символов при выводе данных в wp-content/plugins/accept-signups/accept-signups.php.

Уязвимость позволяет при помощи специально сформированного URL выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

Патч для плагина Accept Signups 0.1:

diff -uwdBrN accept-signups.orig/accept-signups.php accept-signups/accept-signups.php
--- accept-signups.orig/accept-signups.php 2010-12-21 11:07:21.000000000 +0200
+++ accept-signups/accept-signups.php 2011-02-09 06:06:33.612991546 +0200
@@ -223,7 +223,7 @@
$r = $wpdb->get_results($sql, ARRAY_A);
$xml = '';
foreach($r as $k=>$v) {
- $xml .= '["email"] . '" ip="' . $v["ip"] . '" timestamp="' . $v["timestamp"] . '" />';
+ $xml .= '($v["email"]) . '" ip="' . $v["ip"] . '" timestamp="' . $v["timestamp"] . '" />';
}
$xml .= '';
file_put_contents(ABSPATH . 'wp-content/plugins/accept-signups/accept-signups.xml', $xml);
@@ -290,7 +290,7 @@
if (strpos($v1, '@')) {
$email = $v1;
}
- $html .= ' ' . $v1 . ' ';
+ $html .= ' ' . esc_html($v1) . ' ';
}
$html .= '($email) . '" id="acceptSignupsDeleteCB">';
$html .= '';
diff -uwdBrN accept-signups.orig/accept-signups_submit.php accept-signups/accept-signups_submit.php
--- accept-signups.orig/accept-signups_submit.php 2010-12-21 11:07:21.000000000 +0200
+++ accept-signups/accept-signups_submit.php 2011-02-09 06:03:04.017742924 +0200
@@ -1,6 +1,5 @@
-require_once('../../../wp-config.php');
-require_once('../../../wp-includes/wp-db.php');
+require_once('../../../wp-load.php');

if (true) {
if (isset($_GET['email'])) {
@@ -9,6 +8,16 @@
if (hasEmail($_GET['email'])) {
echo get_option('accept-signups-email-already-exists');
} else {
+ $email = stripslashes($_GET['email']);
+ if (function_exists('filter_var')) {
+ if (!filter_var($email, FILTER_VALIDATE_EMAIL)) {
+ die('-1');
+ }
+ }
+ elseif (!preg_match('/^([a-z0-9_\-\.])+\@([a-z0-9_\-\.])+\.([a-z]{2,4})$/i', $email)) {
+ die('-1');
+ }
+
saveEmail($_GET['email']);
echo get_option('accept-signups-email-saved');
}

Помимо OSVDB-70101, данный патч исправляет еще пару мелких недочётов.

Межсайтовый скриптинг в WordPress BezahlCode-Generator 1.0

Vladimir — Wed, 09 Feb 2011 03:13:15 +0000

Патч для BezahlCode-Generator, исправляющий уязвимость

В плагине BezahlCode-Generator 1.0 обнаружена уязвимость, позволяющая провести удалённому пользователю XSS-атаку. Уязвимость связана с отсутствием обработки входных данных в параметрах gen_name, gen_account, gen_BNC, gen_amount, gen_reason в bezahlcode-generator/der_generator.php.

Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

Патч для BezahlCode-Generator 1.0:

--- der_generator.orig.php 2011-02-09 04:52:27.000000000 +0200
+++ der_generator.php 2011-02-09 05:00:20.457537559 +0200
@@ -16,15 +16,15 @@
($_REQUEST['gen_type']=="singlepaymentspende") echo 'checked="checked"'?>/> Spendenzahlung

($_REQUEST['gen_type']=="singledirectdebit") echo 'checked="checked"'?>/> Lastschrift

-Name:
(this, 'dtaus')" name="gen_name" maxlength="27" value="($_REQUEST['gen_name'])?$_REQUEST['gen_name']:""?>">
+Name:
(this, 'dtaus')" name="gen_name" maxlength="27" value="($_REQUEST['gen_name'])?esc_attr($_REQUEST['gen_name']):""?>">

-Kontonummer:
1234" id="gen_account" onblur="checkInput(this, 'ganzzahl')" name="gen_account" value="($_REQUEST['gen_account'])?$_REQUEST['gen_account']:""?>" >
+Kontonummer:
1234" id="gen_account" onblur="checkInput(this, 'ganzzahl')" name="gen_account" value="($_REQUEST['gen_account'])?esc_attr($_REQUEST['gen_account']):""?>" >

-BLZ:
1234" id="gen_BNC" onblur="checkInput(this, 'ganzzahl')" name="gen_BNC" value="($_REQUEST['gen_BNC'])?$_REQUEST['gen_BNC']:""?>" >
+BLZ:
1234" id="gen_BNC" onblur="checkInput(this, 'ganzzahl')" name="gen_BNC" value="($_REQUEST['gen_BNC'])?esc_attr($_REQUEST['gen_BNC']):""?>" >

-Betrag in Euro (z.B. 1234,50)
1234,50" onblur="checkInput(this, 'dezimalzahl')" id="gen_amount" name="gen_amount" value="($_REQUEST['gen_amount'])?$_REQUEST['gen_amount']:""?>" >
+Betrag in Euro (z.B. 1234,50)
1234,50" onblur="checkInput(this, 'dezimalzahl')" id="gen_amount" name="gen_amount" value="($_REQUEST['gen_amount'])?esc_attr($_REQUEST['gen_amount']):""?>" >

-Verwendungszweck:
(this, 'dtaus')" name="gen_reason" maxlength="54" value="($_REQUEST['gen_reason'])?$_REQUEST['gen_reason']:""?>" >
+Verwendungszweck:
(this, 'dtaus')" name="gen_reason" maxlength="54" value="($_REQUEST['gen_reason'])?esc_attr($_REQUEST['gen_reason']):""?>" >

ICS Security Fixes: исправление уязвимостей в прошлых версиях WordPress

Vladimir — Thu, 02 Dec 2010 14:10:06 +0000

Попытка сделать старые версии WordPress безопаснее.

Многие блоггеры не торопятся с обновлением WordPress, особенно когда дело касается новых релизов WordPress: по традиции, каждый новый релиз потребляет больше памяти, чем предыдущий, создаёт бóльшую нагрузку на базу и содержит новые, мало кому нужные функции А еще говорят, что нельзя обновляться до версии x.y.0, нужно обязательно ждать x.y.1

Что же, доля истины во всём этом есть, но есть и одно большое НО: все эти обновления, включая новые релизы, обычно содержат важные исправления безопасности, причём иногда разработчики об этом могут не догадываться.

К сожалению, разработчики не делают бэкпорты исправлений в старые ветки, и те, кто по тем или иным соображениям остаётся на старом WordPress, остаются уязвимыми.

Вчера судьба меня свела с человеком с ником M4g, обладающим отменными знаниями уязвимостей WordPress самых различных версий. Он любезно предоставил ссылки на свои статьи, касающиеся уязвимостей WordPress. Своё профессиональное знакомство с WordPress я начинал с версии 2.5, поэтому в статьях обнаружил достаточно много откровений для себя. Но дело не в этом. От прочитанного в голову пришла мысль написать плагин, максимально совместимый с предыдущими версиями WordPress, который бы пытался исправить известные уязвимости, не заставляя пользователя при этом обновлять WordPress.

Естественно, что таким образом можно исправить далеко не всё (например, уязвимость в Snoopy на FreeBSD так не исправить), но отфильтровать параметры запросов или запросы к базе данных вполне реально (хотя тоже не всегда).

Так родился плагин ICS Security Fixes.

Версия 0.1 содержит следующие исправления:

отключение whitelisting’а для трэкбэков/пингбэков (то, что было сделано в 3.0.2 и тянется с 1.x);
попытка борьбы с SQL truncation attack при регистрации пользователя;
исправления, призванные не допустить SQL injection attack при обработке трэкбэков;
исправление CVE-2008-4769;
Old slug redirect bug fix;
Попытка исправления ошибки cURL, связанной с перенаправлением на URI с протоколами file:// и scp:// (трудно сказать про работоспособность, ибо такой древний cURL найти трудно);
Исправление SQL injection в wp_insert_attachment();
Тупой способ для борьбы с подменой фидов;
Защита от атаки на генератор псевдослучайных чисел (надеюсь, что получилось — сгенерировать 80-гигабайтные радужные таблицы нет возможности);
Попытка защиты от 2.7.x/2.8.x admin remote code execution exploit;
Исправление Wordpress 2.5 Cookie Integrity Protection Vulnerability;
Исправление ошибки со сбросом пароля в 2.5.1.

Версия 0.2:

Исправление ошибок, связанных с активацией плагина;
Установка версии по умолчанию для скриптов и таблиц стилей в 0.0.

Версия 0.3:

Исправление ошибок в предыдущих версиях (спасибо Сергею Бирюкову за патч);
Сокрытие версий используемых таблиц стилей и скриптов (удаление параметра ver из строки запроса; кстати, Google рекомендует не использовать строку запроса в URL статических ресурсов);
Частично закрыта уязвимость SA23621 — пользователь получает одно и то же сообщение об ошибке и при неверном имени пользователя, и при неверном пароле. Тем не менее, проверка существования пользователя возможна путём использования функции напоминания пароля;
По многочисленным просьбам добавлено сокрытие версии плагина All in One SEO Pack.

Версия 0.4:

Закрытие уязвимостей, исправленных в WordPress 3.0.5 (r17393, r17387, r17400, r17406).

Хочу выразить большую благодарность Сергею Бирюкову за тестирование и патч, исправляющий ошибки. Спасибо!

Дальнейшее направление работы:

Бэкпортирование патчей уязвимостей для серии 3.x;
Бэкпортирование патчей и закрытие незакрытых уязвимостей для серии 2.x.

У кого есть ссылки на рабочие эксплойты для WordPress любых версий и кто может ими поделиться, а также те, кто готов помочь с тестированием — you are welcome!

Скачать последнюю версию ICS Security Fixes

Внимание: перед обновлением плагин должен быть деактивирован, после обновления — активирован. Это связано с некоторыми неприятными особенностями WordPress 3.1, а также тем, что для некоторых версий WordPress подменяются функции проверки cookies.

UPDATE Feb 15, 2010:
Страница плагина теперь живёт здесь: http://blog.sjinks.pro/wordpress-plugins/ics-security-fixes/
Страница плагина на wordpress.org: http://wordpress.org/extend/plugins/ics-security-fixes/

SJ Object Cache: еще более быстрое объектное кэширование для WordPress

Vladimir — Thu, 14 Oct 2010 06:34:35 +0000

Делаем WordPress еще быстрее

После года тестирования наконец-то вышла первая стабильная версия плагина SJ Object Cache.

SJ Object Cache — альтернатива плагину WP File Cache, поддерживающая APC, eAccelerator, xCache, Zend Disk Cache, Zend Shared Memory Cache, memcache и memcached.

В отличие от WP File Cache, SJ Object Cache ориентирован на VPS/VDS и выделенные сервера.

Одним из недостатков WP File Cache является то, что он смещает нагрузку с базы данных на файловую систему. Хотя это может быть не сильно критично для хорошего shared-хостинга, на виртуальных серверах и серверах со слабой дисковой подсистемой это может быть критично (виртуализация очень часто негативно сказывается на скорости ввода/вывода, в результате процессор может проводить много времени в ожидании окончания ввода/вывода). Вдобавок ко всему при включённом open_basedir файловые операции осуществляются медленнее из-за лишних проверок (привет всем, использующим Plesk).

Решением данной проблемы является использование разделяемой памяти (shared memory). Так как многие администраторы для повышения производительности ставят на выделенных серверах акселераторы (APC, xCache, eAccelerator), SJ Object Cache использует их интерфейс (API) для работы с выделенной памятью.

Функциональность SJ Object Cache

реализация долговременного кэширования на уровне запросов;
возможность отключения кэширования (в том числе и встроенного в WordPress);
возможность отключения межсессионного кэширования;
полная совместимость с интерфейсом класса WP_Object_Cache WordPress;
использование памяти под сессионный кэш для увеличения производительности;
сессионное кэширование часто изменяющихся объектов;
возможность задания групп, не подлежащих межсессионному кэшированию (может быть полезно для обеспечения совместимости со сторонними плагинами);
модульная архитектура, позволяющая добавлять новые кэширующие движки;
хранение настроек в коде плагина.

Кэширующие движки

Base Cache — аналог объектного кэша WordPress без возможности сохранения данных между сессиями; по тестам показывает чуть большую производительность, чем встроенный в WordPress кэш;
Alternative PHP Cache (APC);
eAccelerator (внимание: eAccelerator 0.9.6 не поддерживается, так как из него убрали функции кэширования пользовательских данных);
xCache
Zend Disk/Shared Memory Cache (данный движок не тестировался, но работать должен);
File Cache — модифицированная версия движка WP File Cache;
File Group Cache — модифицированная версия File Cache, оптимизированная под слабую дисковую подсистему (при доступе к кэшу читается сразу вся группа, что приводит к минимизации числа обращений к диску и увеличению объема потребляемой памяти);
Memcache;
Memcached;
Версия 1.2 плагина полностью совместима с WordPress 3.x (в том числе с 3.1).

Замечания по установке

Плагину при активации/сохранении настроек должен быть доступен на запись каталог wp-content: в него копируется файл object-cache.php.

В настройках акселератора (APC, eAccelerator, xCache) нужно отвести достаточно места под пользовательский кэш. WordPress весьма прожорлив!

Настройки, контролирующие размер кэша APC: apc.shm_segments, apc.shm_size.

Настройки, контролирующие размер кэша xCache: xcache.var_size. xCache — единственный из трёх рассматриваемых акселераторов, имеющий раздельные кэши для опкода и пользовательских данных.

Настройки, контролирующие размер кэша eAccelerator: eaccelerator.shm_size.

Для APC и eAccelerator размер кэша должен учитывать кэш опкода. По скромным подсчётам, WordPress 2.9.2 без плагинов (PHP 5.1.22, amd-64) занимает порядка десяти мегабайт. Для настройки размера кэша очень рекомендую воспользоваться утилитами, входящими в дистрибутив акселератора: они позволяют оценить объем занятой памяти, фрагментации кэша и просматривать различную статистику. Если с первого раза оптимальный размер кэша подобрать не удаётся, это нормально

Memcache и Memcached требуют наличия установленных расширений PHP из PECL (Memcache и Memcached соответственно).

На данном сервере (пять разных WordPress с разным наборов плагинов (SJ Object Cache настроен на трёх из них), три Simple Machines Forum, куча всего по мелочи, ~~кэш eAccelerator для хранения сессий~~) размер кэша колеблется в пределах 128–192 мегабайт. Север выдерживает больше тысячи одновременных посетителей, порядка 100,000 посетителей в сутки и генерирует в среднем 64 гигабайта трафика в сутки — и это безо всяких страничных кэшей типа WP Super Cache, Hyper Cache, W3 Total Cache, MaxSite Cache и т.п. Не без напильника, но тем не менее.

Удаление/деактивация плагина

Для успешной деактивации каталог wp-content должен быть доступен на запись — требуется удаление файла wp-content/object-cache.php.

Для версии 1.2 плагина на запись должен быть доступен каталог плагина — настройки плагина теперь хранятся в файле options.php (специально для тех, кто не хотел держать wp-content открытым на запись).

Скачать SJ Object Cache 1.0.
Экспериментальная версия SJ Object Cache 1.1 с поддержкой WordPress MU.
Экспериментальная версия SJ Object Cache 1.2 с поддержкой Memcache/Memcached

Как заставить Google XML Sitemaps дружить с WordPress MultiSite

Wandering Soul — Mon, 23 Aug 2010 15:35:56 +0000

Не умеешь — научим, не хочешь — заставим

При попытке использования плагина Google XML Sitemaps с WordPress 3.0 в конфигурации multisite, плагин обижается и работать категорически отказывается:

Google XML Sitemaps is not multisite compatible.
Unfortunately the Google XML Sitemaps plugin was not tested with the multisite feature of WordPress 3.0 yet. The plugin will not be active until you disable the multisite mode. Otherwise go to active plugins and deactivate the Google XML Sitemaps plugin to make this message disappear.

Это раздражает. Но к счастью, проблема решаема.

Открываем файл wp-content/plugins/google-sitemap-generator/sitemap.php, ищем строки:

//Check for 3.0 multisite, NOT supported yet!
if((defined('WP_ALLOW_MULTISITE') && WP_ALLOW_MULTISITE) || (function_exists('is_multisite') && is_multisite())) {
if(function_exists('is_super_admin') && is_super_admin()) {
add_action('admin_notices', array('GoogleSitemapGeneratorLoader', 'AddMultisiteWarning'));
}
return;
}

и комментируем их. Должно получиться нечто такое:

/*
//Check for 3.0 multisite, NOT supported yet!
if((defined('WP_ALLOW_MULTISITE') && WP_ALLOW_MULTISITE) || (function_exists('is_multisite') && is_multisite())) {
if(function_exists('is_super_admin') && is_super_admin()) {
add_action('admin_notices', array('GoogleSitemapGeneratorLoader', 'AddMultisiteWarning'));
}
return;
}
*/

Сохраняем, наслаждаемся.

Deferred RSS 1.1

Vladimir — Thu, 11 Feb 2010 19:07:19 +0000

Новая версия плагина Deferred RSS

Вышла новая версия плагина Deferred RSS (1.1). Плагин предназначен для отложенной публикации фидов для того, чтобы поисковые системы проиндексировали сайт-источник первым.

Изменения в данной версии:

добавлена украинская локализация — во многом благодаря Google Translate;
добавлена возможность указания ссылки на оригинал статьи;
исправлены мелкие недочёты в коде.

Практические рекомендации:

При использовании режима замены кириллических букв английскими убедитесь, что поисковым системам запрещено индексировать ваш фид.
Хотя плагин умеет добавлять в фид ссылку на оригинал статьи, сплоггеры могут заменить её внутренней ссылкой. Поэтому будьте креативнее: плагины для замены ссылок не всегда могут заменить все варианты ссылок. Например:

При использовании материалов блога наличие ссылки на <a
href="%4$s"
>источник</a>

обязательно.

Данный код является корректным HTML, но далеко не всякий парсер, использующий регулярные выражения, сможет его понять.

Скачать плагин Deferred RSS 1.1.

В ближайшем времени (если заявку одобрят), плагин переедет жить на wordpress.org (сюда), обновляться можно будет через панель управления. Русскоязычное описание плагина будет доступно здесь (комментарии и пожелания просьба оставлять там же).

Simple Tags 1.7.4.2

Vladimir — Wed, 03 Feb 2010 10:27:37 +0000

Недавно вышла очередная версия плагина Simple Tags. Проблема с UTF-8/многобайтными строками осталась (нужно бы написать автору ещё раз). Вдобавок появилась проблема с вызовом register_uninstall_hook() при каждой загрузки страницы (я исправлял аналогичную проблему с NextGen Gallery).

Из плюсов: Simple Tags 1.7.4.2 нормально работает с WordPress 3.0.

Исправленная версия плагина Simple Tags 1.7.4.2 (я убрал их исходного архива скриншоты — вряд ли кто их смотрит).

Патч:

diff -uwdBrN simple-tags.orig/inc/base.php simple-tags/inc/base.php
--- simple-tags.orig/inc/base.php 2010-02-02 22:39:08.000000000 +0200
+++ simple-tags/inc/base.php 2010-02-03 11:26:48.000000000 +0200
@@ -41,6 +41,7 @@
*
*/
function installSimpleTags() {
+ register_uninstall_hook (WP_PLUGIN_DIR . '/simple-tags/simple-tags.php', array('SimpleTagsBase', 'uninstall') );
$options_from_table = get_option( STAGS_OPTIONS_NAME );
if ( $options_from_table == false ) {
$this->resetToDefaultOptions();
diff -uwdBrN simple-tags.orig/inc/client.php simple-tags/inc/client.php
--- simple-tags.orig/inc/client.php 2010-02-02 22:39:08.000000000 +0200
+++ simple-tags/inc/client.php 2010-02-03 11:39:18.000000000 +0200
@@ -141,8 +141,9 @@
}

$filtered = ''; // will filter text token by token
- $match = "/\b" . preg_quote($term_name, "/") . "\b/".$case;
- $substitute = '( sprintf( __('Posts tagged with %s', 'simpletags'), $term_name ) )."\">$0";
+ $quoted = preg_quote($term_name, "/");
+ $match = "/(\PL|\A)(" . preg_quote($term_name, "/") . ")(\PL|\Z)/u".$case;
+ $substitute = '$1( sprintf( __('Posts tagged with %s', 'simpletags'), $term_name ) )."\">$2$3";

// for efficiency only tokenize if forced to do so
if ( $must_tokenize ) {
diff -uwdBrN simple-tags.orig/simple-tags.php simple-tags/simple-tags.php
--- simple-tags.orig/simple-tags.php 2010-02-02 22:39:08.000000000 +0200
+++ simple-tags/simple-tags.php 2010-02-03 11:42:14.000000000 +0200
@@ -3,7 +3,7 @@
Plugin Name: Simple Tags
Plugin URI: http://redmine.beapi.fr/projects/show/simple-tags
Description: Extended Tagging for WordPress 2.8 and 2.9 ! Suggested Tags, Mass edit tags, Autocompletion, Tag Cloud Widgets, Related Posts, Related Tags, etc!
-Version: 1.7.4.2
+Version: 1.7.4.2.1
Author: Amaury BALMER
Author URI: http://www.herewithme.fr
Text Domain: simpletags
@@ -23,6 +23,7 @@
Contributors:
- Kevin Drouvin (kevin.drouvin@gmail.com - http://inside-dev.net)
- Martin Modler (modler@webformatik.com - http://www.webformatik.com)
+- Vladimir Kolesnikov - http://blog.sjinks.pro/

Todo:
Both :
@@ -53,7 +54,6 @@

// Activation, uninstall
register_activation_hook(__FILE__, array('SimpleTagsBase', 'installSimpleTags') );
-register_uninstall_hook (__FILE__, array('SimpleTagsBase', 'uninstall') );

// Init ST
function simple_tags_init() {

WP File Cache 1.2.1

Vladimir — Thu, 14 Jan 2010 13:51:26 +0000

Теперь точно последний :-)

Я нарушил своё обещание и написал новую версию плагина WP File Cache — 1.2.1. Но эта версия будет последней (скорее всего).

Что изменилось:

оптимизирован PHP-код, ускорена работа методов класса FileCache (лишние проверки перенесены в функции wp_cache_xxx, что позволило избежать повторного исполнения одного и того же кода);
блокировка файла при записи;
плагин требует PHP версии не ниже 5.1.0;
добавлена совместимость с WP 2.6;
запись файла стала чуть быстрее;
плагин не убьёт WordPress, если каталог wp-content/plugins/file-cache удалён, а wp-content/object-cache.php по тем или иным причинам остался.

Скачать плагин WP File Cache

Большое спасибо Алексею Лободину за тестирование!