Отвечу на ваши вопросы по WordPress

Уважаемы и всё знающие коллеги как правильно написать ?

<?php query_posts('showposts=4'&array('post__not_in' => $ids));?>

Скорее всего в вашей теме присутствует файл timthumb.php, его нужно заменить на версию посвежее отсюда http://code.google.com/p/timthumb/ и все.

С проблемой сталкивался. Причина была только в этом.

mr-basil добавил 13.10.2011 в 22:56

А чем произвольные поля не устраивают?

mr-basil добавил 13.10.2011 в 23:03

<?php query_posts('showposts=4'&array('post__not_in' => $ids));?>

Наверное так:

$args = array(

	'showposts' => 4,

	'post__not_in'  => $ids

);

query_posts($args);

90% всех взломаных WordPress'ов это вирусы на компьютере и украденные таким образом пароли от ftp, может быть давали кому-то пароль. Думаю, что если бы был баг в tinymce идущем с WordPress при чем такой баг, что можно заливать php файлы на хостинг - мы бы о нем знали.

Да и как взломщику обратится к tinymce если у него нет доступа к админке?

Я бы на вашем месте, как выше советовали, убрал бы вирус и поменял пароли.

weblad добавил 14.10.2011 в 06:22

Проблема с timthumb актуальна только для сайтов использующих timthums + на сайте разрешена загрузка картинок посетителями. 99% WordPress сайтов под эти условия не попадают.

weblad, только что есть вопрос :)

Произвольные поля к галерее? У меня не используется там галерея. Точнее используется, но для других страниц и других целей.

Напомню, вопрос звучит примерно так: Мне нужно выводить изменяемые через админку поля на странице показа медиафайла так, чтобы можно было написать индивидуальный код html к каждой картинке.

Просто у меня была ситуация 100% аналогично вышеизложенной (с теми же путями до вирусов). Помогло удаление папки с вирусами, смена паролей на фтп и замена timthumb.

папку wp-includes удаляем, ложим туда файлы чистые из сборки вашей версии WP

В папки wp-admin, wp-includes ложим файл .htaccess с записью

Order deny,allow

Deny from All

Allow from ВАШ IP

в папку плаганы

ложим плагин blockbadqueries.php

<?php

/*

Plugin Name: blockbadqueries

*/

global $user_ID;

if($user_ID) {

if(!current_user_can('level_10')) {

if (strlen($_SERVER['REQUEST_URI']) > 255 ||

strpos($_SERVER['REQUEST_URI'], "eval(") ||

strpos($_SERVER['REQUEST_URI'], "CONCAT") ||

strpos($_SERVER['REQUEST_URI'], "UNION+SELECT") ||

strpos($_SERVER['REQUEST_URI'], "base64")) {

@header("HTTP/1.1 404 Error");

@header("Status: 404 Error");

@header("Connection: Close");

@exit;

}

}

}

?>

всем спасибо за советы, сейчас буду работать с проблемой дальше

вирусы на компьютере вполне вероятно, но мне кажется что это все таки уязвимость

я посмотрел внешние ссылки по Яху сайтов которые "продвигаются" таким образом, там этих взломанных WP полно

дело поставлено на поток и выполняется в промышленных масштабах

Это так же справедливо для украденных паролей от ftp, таких сайтов тоже очень много

Если бы была реальная серьезная уязвимость я думаю вы бы без труда нашли о ней информацию

На что заменить htaccess такого вида :

# BEGIN WordPress

<IfModule mod_rewrite.c>

RewriteEngine On



RewriteBase /

RewriteRule ^index\.php$ - [L]

RewriteCond %{REQUEST_FILENAME} !-f

RewriteCond %{REQUEST_FILENAME} !-d

RewriteRule . /index.php [L]

</IfModule>



FileETag MTime Size

<ifmodule mod_expires.c>

 <filesmatch ".(jpg|gif|png|css|js)$">

 ExpiresActive on

 ExpiresDefault "access plus 1 year"

 </filesmatch>

</ifmodule>



# END WordPress

Чтобы с url вида : domain.ru

Шел редирект на : www.domain.ru

wordpress предпоследней версии.

С уважением, Михаил.