คลังเก็บป้ายกำกับ: WORDPRESS

John Maeda แห่ง WordPress ชวนมองงาน design บริษัทไอทีวันนี้ต้องเปลี่ยน


John Maeda เป็นหัวหน้าดูแลฝ่ายออกแบบให้กับบริษัท Automattic ซึ่งเป็นบริษัทแม่ของแพลตฟอร์มระบบหลังบ้านเว็บไซต์ยอดฮิตอย่าง WordPress วันนี้โลกกำลังตกตะลึงเพราะนักออกแบบอย่างเขาเอ่ยปากพูดเองว่า “ในความเป็นจริง การออกแบบไม่ได้สำคัญขนาดนั้น” โดย John Maeda คิดว่านักออกแบบทุกคนควรเป็นเหมือนนักแสดงสนับสนุนที่จะหนุนส่งตัวละครหลักในบริษัทไอที อย่างนักพัฒนาและผู้จัดการผลิตภัณฑ์ (developer และ product manager) ให้โดดเด่นยิ่งขึ้น

John Maeda แสดงแนวคิดนี้ไว้ในรายงานเรื่อง Design in Tech report เพื่อสะท้อนบทบาทของการออกแบบในธุรกิจที่เปลี่ยนไป ที่ผ่านมา นักออกแบบของหลายบริษัทมีส่วนสนับสนุนจนมีอำนาจในการตัดสินใจมากขึ้น โดยเฉพาะกับบริษัทที่มีเป้าหมายในการสร้างผลิตภัณฑ์ที่เน้นให้บริการผู้ใช้ แทนที่จะเน้นเรื่องความก้าวหน้าทางเทคโนโลยีเพียงอย่างเดียว

ปัจจุบัน มีบริษัทนับไม่ถ้วนที่ต้องการวางตำแหน่งตัวเองเป็น “ผู้นำด้านการออกแบบ” หรือ design-led จนทำให้บริษัทใหญ่หลายรายตัดสินใจซื้อกิจการบริษัทออกแบบอิสระในช่วงไม่กี่ปีที่ผ่านมา แต่ John Maeda ซึ่งเป็นนักออกแบบกลับมองว่าหลายปีที่ผ่านมา ตัวเขาตระหนักแล้วว่าการเป็น design-led นั้นไม่สำคัญ เพราะสิ่งที่สำคัญจริงๆ กลับเป็นการสนับสนุนทีมมากกว่า

แทนที่จะเป็น design-led หรือการให้งานออกแบบเป็นตัวนำ แต่ Maeda คิดว่าการออกแบบควรมีบทบาทรองลงมา โดยเฉพาะในบริษัทด้านเทคโนโลยี ในรายงานประจำปีของ Maeda จึงระบุว่า นักออกแบบในบริษัทไอทีควรจะเป็นเหมือนนักแสดงสมทบ ที่สนับสนุนให้ตัวละครหลักในบริษัทมีประสิทธิภาพยิ่งขึ้น เพราะหากปล่อยให้นักออกแบบมีบทบาทนำ นักออกแบบส่วนใหญ่อาจจะพูดว่า “อย่ามาขวาง ฉันเป็นเจ้านายที่ทุกคนต้องฟังฉัน”

ความคิดว่า “I’m the boss” ถูกมองว่าเกิดขึ้นกับนักออกแบบหลายคน เพราะนักออกแบบมักมองว่าตัวเองมีสุนทรียศาสตร์สูง และยังเข้าใจภาษาที่ไม่มีใครมองออกเกี่ยวกับงานออกแบบที่ดี ประสบการณ์และชื่อเสียงของนักออกแบบแต่ละคนมีแนวโน้มที่จะทำให้คนกลุ่มนี้ได้รับสิทธิพิเศษ

Maeda ยังบอกว่าแนวคิด design-led ยังทำให้เกิดอุปสรรคในการทำงานร่วมกัน เนื่องจากนักออกแบบเกินครึ่งต้องการสร้างสิ่งที่สวยงาม แต่กลับไม่สามารถทำได้ด้วยตัวเอง ซึ่งในมุมเจ้าของกิจการนั้นมองว่าไม่เป็นไร เชิญออกแบบไป ขณะที่นักพัฒนา จะรู้สึกกดดันว่า “ฉันต้องสร้างมันขึ้นมา”

ทางออกที่ Maeda มองเห็น คือการคิดว่า designer ควรจะโฟกัสที่การเป็นเพื่อนร่วมทีมที่ดีแทนที่จะเป็นผู้นำ ความกังวลมากเกินไปว่าสินค้าจะมีการออกแบบที่ดีไม่พอนั้นอาจเบี่ยงเบนความคิดให้ผิดไปไกลจากความเป็นจริง นั่นคือการสร้างผลิตภัณฑ์ที่ยอดเยี่ยมเพื่อแก้ปัญหาให้ผู้คน

แนวคิดของ Maeda ถือว่าน่าสนใจเพราะที่ผ่านมา ผู้นำอุตสาหกรรมการออกแบบมักโต้เถียงกันในเรื่องนี้จนการออกแบบกลายมาเป็นสิ่งที่ทรงพลังมากขึ้น แต่สถานการณ์นี้กำลังไม่เหมาะสมในโลกยุคใหม่ ซึ่งเป็นยุคที่นักออกแบบไม่ควรเป็นผู้พิพากษาและเรียกร้องมากเกินไป นำไปสู่ค่าใช้จ่ายที่บานปลาย และการไม่สอดคล้องกับความเป็นจริงของธุรกิจในแต่ละวัน

Maeda ทิ้งท้ายด้วยการยกตัวอย่างกรณีความเสียหายที่เกิดจากการปล่อยให้งานออกแบบครอบงำจนพลาดการตอบโจทย์ธุรกิจที่แท้จริงไป นั่นคือแบรนด์หูฟัง Jawbone ซึ่งครั้งหนึ่งเคยมีมูลค่า 1,500 ล้านเหรียญสหรัฐ แต่ผลิตภัณฑ์ Jawbone UP สายรัดข้อมือสำหรับติดตามข้อมูลการออกกำลังกายกลับล้มเหลวไม่เป็นท่า

ดังนั้นไม่ว่าจะเรียกว่า design-led, design-driven หรือ design อะไรก็ตาม Maeda มองว่าสิ่งสำคัญคืองานออกแบบในบริษัทไอทีคือแรงส่งสนับสนุนดาราหลักของเรื่อง ว่าทำได้สำเร็จหรือไม่มากกว่า

ที่มา: : FastCompany

 
Source: thumbsup

from:https://thumbsup.in.th/2019/03/john-maeda-wordpress/

โฆษณา

พบช่องโหว่ใหม่บน WordPress เสี่ยงถูกแฮ็กโดยไม่ต้องพิสูจน์ตัวตน

Simon Scannel นักวิจัยด้านความมั่นคงปลอดภัยจาก RIPS Technologies GmbH ออกมาแจ้งเตือนถึงช่องโหว่ใหม่บนซอฟต์แวร์ CMS ยอดนิยมอย่าง WordPress ซึ่งช่วยให้แฮ็กเกอร์สามารถลอบรันคำสั่งแปลกปลอมและเข้าควบคุมไซต์ได้โดยไม่ต้องแม้แต่พิสูจน์ตัวตน แนะนำให้ผู้ดูแลระบบรีบอัปเดตแพตช์โดยเร็ว

ช่องโหว่ที่ค้นพบนี้เป็นช่องโหว่ Cross-site Request Forgery (CSRF) บนฟีเจอร์ Comment ของ WordPress ซึ่งเป็นส่วนประกอบหลักที่ถูกเปิดใช้งานโดย Default ซึ่งช่วยให้แฮ็กเกอร์สามารถโจมตีแบบ Remote Code Execution จากระยะไกลโดยไม่จำเป็นต้องพิสูจน์ตัวตนได้

Scannel ได้ให้ความเห็นว่า ช่องโหว่นี้มีสาเหตุมาจากการที่ WordPress ไม่มีการตรวจสอบ CSRF เมื่อผู้ใช้โพสต์ Comment ใหม่ลงไป ช่วยให้แฮ็กเกอร์สามารถโพสต์ข้อความในฐานะ Admin ของไซต์ได้ รวมไปถึงสามารถใส่แท็ก HTML หรือแม้แต่ JavaScript ลงไปใน Comment ได้ด้วย นอกจากนี้ Frontend ของ WordPress ยังไม่มีการป้องกัน X-Frame-Options Header เมื่อนำช่องโหว่ทั้งหมดมารวมกัน ทำให้แฮ็กเกอร์สามารถแอบยิง Stored XSS Payload ไปยังเว็บไซต์เป้าหมายโดยหลอกให้ผู้ดูแลระบบที่ล็อกอิน WordPress ค้างไว้อยู่แล้ว เข้าถึงเว็บไซต์ของตนที่เตรียม Exploit Code ไว้ได้ ผลลัพธ์คือแฮ็กเกอร์สามารถเข้าควบคุมไซต์ WordPress ได้ทั้งหมดจากระยะไกล

ช่องโหว่นี้ส่งผลกระทบบน WordPress 5.1.0 และก่อนหน้านั้น แนะนำให้ผู้ให้อัปเดตแพตช์เวอร์ชัน 5.1.1 โดยเร็ว

ที่มา: https://thehackernews.com/2019/03/hack-wordpress-websites.html

from:https://www.techtalkthai.com/new-wordpress-flaw-allows-unauthenticated-hackers-to-hack-websites/

WordPress ออกอัพเดต 5.1 เพิ่ม Site Health ตรวจสอบความปลอดภัยและประสิทธิภาพ

WordPress ออกอัพเดตเวอร์ชัน 5.1 โค้ดเนม Betty (ที่มาจากศิลปินแจ๊ส Betty Carter) โดยมีรายการปรับปรุงที่สำคัญ ดังนี้

  • Site Health โดยจะขึ้นข้อความแจ้งเตือนผู้ดูแลที่เกี่ยวข้องกับความปลอดภัยและประสิทธิภาพของเว็บ ตัวอย่างเช่น เว็บรันอยู่บน PHP เวอร์ชันที่เก่าเกินไป ตลอดจนแจ้งเตือนหากปลั๊กอินที่ต้องการอัพเดตไม่เข้ากับ PHP เวอร์ชันที่ใช้งานอยู่
  • Editor Performance ปรับปรุงการทำงานของ Editor แบบบล็อครุ่นใหม่ที่เริ่มมาตั้งแต่เวอร์ชัน 5.0 โดยเริ่มต้นการทำงานเร็วขึ้น และการใช้ลื่นไหลมากขึ้น

ยังมีรายการอัพเดตเพิ่มเติมอีกหลายอย่าง สามารถดูได้จากที่มา

ที่มา: WordPress

WordPress

Topics: 

from:https://www.blognone.com/node/108262

Automattic เปิดตัว Newspack โซลูชั่นเพื่อการลงข่าวและทำเงินของสำนักข่าวบน WordPress.com

Automattic บริษัทแม่ของ WordPress.com ประกาศเปิดตัวบริการใหม่ Newspack by WordPress.com โดยเป็นระบบเพื่อการทำให้ WordPress เป็นโซลูชั่นสำหรับการลงข่าวและทำเงินจากคอนเทนต์ในช่องทางเดียว

ปัจจุบัน WordPress นั้นจะเป็นระบบจัดการคอนเทนต์ที่เน้นความสะดวกในการใช้งาน แต่หากต้องการทำระบบสมาชิกหรือระบบจ่ายเงินเพื่ออ่านคอนเทนต์อาจจะเป็นเรื่องยาก ซึ่ง Newspack จะเข้ามาช่วยแก้ปัญหาในจุดนี้ แต่ Automattic ยังไม่ได้ให้รายละเอียดของ Newspack มากนัก

Automattic ระบุว่า เป้าหมายของการพัฒนาระบบนี้ก็เพื่อองค์กรข่าวท้องถิ่นที่ไม่ได้มีทุนทรัพย์ในการพัฒนาเว็บไซต์สามารถทำระบบได้ง่ายขึ้น ซึ่งทั้ง Automattic, Spirited Media และ News Revenue Hub ได้ระดมทุน 2.4 ล้านดอลลาร์เพื่อโปรเจคนี้ และ Google ก็ร่วมทุนอีก 1.2 ล้านดอลลาร์ผ่าน Google News Initiative ด้วย

Automattic เริ่มเปิดให้ผู้สนใจเข้าร่วมทดสอบ Newspack แล้ว เข้าไปกรอกแบบฟอร์มได้ท้ายบทความที่เว็บไซต์ Newspack.blog (ปิดรับแบบฟอร์ม 2 กุมภาพันธ์ เวลา 11.59น. ตามเวลาประเทศไทย) ซึ่งกลุ่มเป้าหมายคือองค์กรที่เน้นทำข่าวดิจิทัลทั้งขนาดกลางและเล็ก โดยคาดว่า Newspack จะปล่อยให้ทดสอบช่วงเบต้าในช่วงปลายเดือนกรกฎาคมนี้

ในช่วงทดสอบ Newspack จะเปิดให้ใช้งานฟรีโดย Automattic จะรับผิดชอบค่าใช้จ่ายทั้งหมด ส่วนค่าใช้จ่ายเมื่อเปิดใช้งานจริงจะอยู่ราว 1,000-2,000 ดอลลาร์ต่อเว็บไซต์ต่อเดือน โดยคาดว่าจะเปิดให้ใช้งานจริงในเดือนมกราคมปีหน้า

ที่มา – TechCrunch, Newspack, WordPress

No Description

Topics: 

from:https://www.blognone.com/node/107568

WordPress ต้องการ PHP ขั้นต่ำเวอร์ชัน 5.6 มีผลเดือน เม.ย., ปลายปีจะต้องการ PHP 7

โครงการ WordPress ประกาศปรับเวอร์ชันขั้นของซอฟต์แวร์ที่ต้องการใช้งาน โดยบังคับให้ใช้ PHP 5.6 ขึ้นไปและ MySQL 5.5 ขึ้นไป มีผลเดือนเมษายน 2019

เว็บไซต์ที่ยังอยู่กับ PHP 5.5 จะยังได้รับอัพเดตแพตช์ความปลอดภัยจาก WordPress ต่อไป แต่จะไม่สามารถอัพเกรดเป็น WordPress รุ่นใหญ่รุ่นใหม่ได้อีกแล้ว (คาดว่า WordPress 5.1 ที่จะออกช่วงนั้น คงจะเป็นตัวสุดท้ายที่ซัพพอร์ต PHP 5.5)

โครงการ WordPress ระบุว่าตอนนี้มีเว็บไซต์ที่รัน WordPress ประมาณ 85% ใช้งาน PHP 5.6 ขึ้นไปเรียบร้อยแล้ว และ 98.5% ใช้งาน MySQL 5.5 ขึ้นไป

ทางโครงการยังระบุว่าการซัพพอร์ต PHP 5.6 จะมีอายุค่อนข้างสั้น และมีแผนจะขยับเวอร์ชันขั้นต่ำเป็น PHP 7 ในเดือนธันวาคม 2019

PHP 5.x หมดระยะซัพพอร์ตจากโครงการ PHP ไปตั้งแต่สิ้นปี 2018 นั่นแปลว่าต่อให้ใช้ WordPress รุ่นล่าสุดบน PHP 5.6 ก็มีโอกาสจะถูกโจมตีจากช่องโหว่ของ PHP ได้ ดังนั้นถ้าไม่ติดขัดอะไรก็ควรอัพเกรดเป็น PHP 7.x กันได้เลย

ที่มา – WordPress

No Description

Topics: 

from:https://www.blognone.com/node/107518

บริษัทวิจัยพบการโจมตี WordPress แบบ brute-force ติดบอทเน็ตแล้วกว่า 2 หมื่นเว็บ

บริษัทวิจัยความปลอดภัย WordFence รายงานพบการโจมตีเว็บไซต์ที่ใช้ WordPress แบบ brute-force ด้วยการสุ่มยูสเซอร์เนมและพาสเวิร์ดเพื่อฝังบอทเน็ต โดยตอนนี้มีเว็บไซต์ติดบอทเน็ตแล้วกว่า 2 หมื่นเว็บซึ่งถูกใช้เป็นฐานแพร่บอทเน็ตไปเว็บอื่นๆ ต่อไปด้วย

แฮกเกอร์จะอาศัยการ brute-force ผ่านฟีเจอร์ XML-RPC ที่เปิดให้เว็บอื่นเรียกใช้งาน WordPress โดย WordFence ระบุว่าวิธีนี้มีโอกาสสำเร็จมากขึ้นเมื่อเป็นการโจมตีแบบเหวี่ยงแหทีละหลายๆ เว็บไซต์ เมื่อแฮกเกอร์สามารถเข้าถึงบัญชี WordPress ได้แล้วจะฝังบอทเน็ตที่สั่งงานจากเซิร์ฟเวอร์ C2 4 ตัวผ่านพร็อกซี่เอาไว้

WordFence แนะนำให้เว็บไซต์ที่ใช้ WordPress จำกัดจำนวนครั้งในการล็อกอิน, ตั้งพาสเวิร์ดที่ยากต่อการเดา, ตั้งค่าการยืนยันตัวตนหลายขั้น (MFA, 2FA) ไปจนถึงจำกัดการเข้าถึงแอคเคาท์เฉพาะบาง IP หรือใบรับรองดิจิทัลบางตัวเท่านั้น

ที่มา – NakedSecurity

No Description

from:https://www.blognone.com/node/107011

WordPress ออกแพตช์แก้ไขช่องโหว่ในเวอร์ชัน 5.0.1

เมื่อไม่กี่วันก่อนทาง WordPress เพิ่งปล่อยเวอร์ชัน 5.0 ออกมาซึ่งในวันนี้ได้เริ่มแพตช์ช่องโหว่จำนวน 7 รายการในเวอร์ชัน 5.0.1 แล้ว โดยช่องโหว่ประกอบด้วย XSS และการตรวจเช็ค MIME ให้รัดกุมมากขึ้น เป็นต้น แนะนำผู้ใช้ควรอัปเดต

การแก้ไขช่องโหว่ในแพตช์มีดังนี้

  • แก้ไขการตรวจสอบ MIME สำหรับการอัปโหลดไฟล์คือเวอร์ชันก่อนหน้านั้นไฟล์ที่อัปโหลดอาจจะมีเนื้อไม่ตรงกับ Extension ได้ (.Docx, jpg หรืออื่นๆ) ในแพตช์ใหม่นี้จึงเพิ่มความสามารถตรวจสอบความตรงกันของเนื้อหาและ Extension หลังจากที่ช่องโหว่ XSS ถูกค้นพบโดย Tim Coen และ Slavo Mihajloski
  • Tim Coen และ Slavo Mihajloski ยังได้ค้นพบช่องโหว่ XSS อีกจุดหนึ่งคือผู้ใช้งาน WordPress อาจถูกแก้ไขคอมเม้นต์ใหม่ได้จากผู้ใช้งานระดับสูงกว่าซึ่งการเป็นช่องทางให้นำไปสู่ช่องโหว่ดังกล่าว อย่างไรก็ตาม Coen ระบุว่าตัว WordPress เองไม่ได้รับผลกระทบโดยตรงแต่จะมีผลกับ Plugin บางตัวเท่านั้น
  • RIPS Technologies ได้เครดิตรายงาน Bug 2 รายการว่า Author สามารถแก้ไข Meta Data เพื่อลบไฟล์ที่ตัวเองไม่มีสิทธิ์ อีกช่องโหว่คือการสร้างโพสต์ทั้งที่ตัวเองไม่มีสิทธิ์เช่นกัน

นอกจากนี้ยังมีรายงานจากผู้เขียน Plugin ยอดนิยมของ WordPress อย่าง Yoast SEO ได้ไปพบว่าในหน้า Activation ของผู้ใช้งานสามารถถูก Google ทำ index ได้และอาจนำไปสู่การเผยข้อมูลอย่างที่อยู่อีเมลหรือรหัสผ่านเดิมที่ถูก Generate มาแต่ทางนักพัฒนาของ WordPress กล่าวว่า “เป็นกรณีที่เกิดขึ้นได้น้อยมากๆ” สำหรับผู้ที่ยังไม่ได้อัปเดตเวอร์ชัน 5.0 ก็มีแพตช์ก็มีในเวอร์ชัน 4.9 หรือก่อนหน้าด้วยเช่นกัน ผู้สนใจสามารถอ่านรายละเอียดของแพตช์เพิ่มเติมได้ที่นี่

ที่มา : https://www.securityweek.com/several-vulnerabilities-patched-release-wordpress-501 และ https://www.zdnet.com/article/wordpress-plugs-bug-that-led-to-google-indexing-some-user-passwords/

from:https://www.techtalkthai.com/wordpress-patch-via-version-5-0-1/