2017年7月4日火曜日

【注意】WordPress プラグイン「Responsive Lightbox by dFactory」にXSS脆弱性あり(要更新)

JVN#39819446
WordPress 用プラグイン Responsive Lightbox におけるクロスサイトスクリプティングの脆弱性 が出てるよ〜うち入れてたっけ?

という同僚の声が聞こえてきたので、早速先日導入した WP-CLIのエイリアス機能を使って調べてみました。
手持ちのMacマシンから、

  1. ターミナル起動
  2. script check-plugins-wps.txt
  3. wp @all plugin list
  4. exit

で、check-plugins-wps.txt をテキストエディタで開き、lightboxは使われていないことを確認。

  • wp @all plugin list |grep lightbox 

だけでもいけるが、じっくり見たほうが良さげかなぁと思って一度ファイルへプラグインリストを書き出してみた。

プラグインアップデートは、

wp @all  plugin update responsive-lightbox 

をすれば一発でできちゃいますね!
このアップデート状況を保存しておきたければ、 script を使って

script update-responsive-lightbox.txt
wp @all  plugin update responsive-lightbox 
exit

ってしておけば、exitするまでにターミナルに出てくる文字や入力した文字も含めて、 update-responsive-lightbox.txt に保存できるから、後から見直すのが楽です。

もし該当プラグインが入ってなければ、
Warning: The 'responsive-lightbox' plugin could not be found.
Error: No plugins updated.
が出るので一括でやってしまっても問題なし。

便利なエイリアスについては


に纏めてます。

2017年7月4日 @kimipooh

2017年6月30日金曜日

【備忘録】WP-CLI エイリアスを利用したリモートサーバーの WordPress 管理 #wckyoto2017

WordCamp Kyoto 2017 のセッション「WP-CLI入門」で miya0001 氏が、「WP-CLIのエイリアスを使ったら管理楽だよ〜」っておっしゃっていたのをついに実現。そのときのスライドは下記の通り。



発表動画はこちら(wordpress.tv) >>> 

これ知っていたら、バックアップ > プラグイン更新 > コア更新 という一連の流れについてわざわざ独自スクリプト作る必要なかったじゃんって感じですね。

以下前提として、WP-CLI の wpコマンドの最新版が入ってることを前提とします。

準備(パスワード確認をスルーして ssh接続)


2017年6月26日月曜日

WordCamp Kyoto 2017 に参加して #wckyoto2017

今年は職場である京都大学(国際科学イノベーション棟)でやるってことで、実行委員の会場チームに入って会場周りのサポートをしていました。まだ出来て2年ほどしかたっていないこともあり、機能的でバリアフリーでなかなかよいところです。




出町柳から京都大学へ。このまままっすぐ進むと正門に到達します。
会場では京都らしい傘が用意されてました。



大盛り上がり!!


開始直後こそ、パラパラときていた参加者も少し立てば大混雑。
セッションも全部立ち見がでるぐらいだったそうな。



今年のスタッフ Tシャツ


今年のスタッフ Tシャツは、なかなかユニークです。さらに手ぬぐいもありますね!


昼食&懇親会は無料だぜ!


昨年の WordCamp Kansai 2016同様、ランチは無料提供です!
さらに懇親会まで無料。委員長挨拶で、参加者一人当たりにかかった費用は 7000円を超えるということでした。それがすべて無料にできるほどスポンサーも集まり、また参加チケットもあっという間に無くなるぐらいの盛況ぶりでした。



懇親会も賑わってました!


二日目は、カンフォーラにいってステーキカレーを初めて食べました。
ココナッツミルクの入っていないタイカレーみたく辛かったのですが、美味しかったです。

コントリビューターDAY(2日目)


先にコントリビューターDAYの話をします。
コントリビューターDAYへの参加者の約半数が、初めて参加ということに驚きました。


私は当初の予定通り、プラグインチームに入って、自身の公式プラグイン(Google Calendar List View)の利用マニュアルを中心に、問題点の改善に取り組みました。結局、日英のマニュアルを整備できたところで終わりましたが、次の点を改善できました。

コード自体は、帰ってからと翌日かけて修正しました.. よしこれでつかえるぜ〜。

翻訳コードの部分は、変数を入れたらダメ


printf, sprintf などを使って、翻訳コードのための関数(__や_e)に渡す引数は文字にしてしまうこと。。という基本的なことを理解できたのが良かったです。

つまり例を上げると
  • _e ('hogehoge ' . $hogege . ' dayo.',  'hohoho');
なコードはGlotPressでの翻訳をしても適用されないってことです。
  • _e (printf('hogehoge %s dayo.',  $hogege),  'hohoho');

にしろってことですね。
同じく __ をつかう場合には

  • $hoge = __('hogehoge ' . $hogege . ' dayo.',  'hohoho');
ならば
  • $hoge = __(sprintf('hogehoge %s dayo.',  $hogege),  'hohoho');
ってな感じですね。

WordPress Importer でアップロード失敗する問題


プラグインチームの1つの柱として別の人があれこれやっていたら、「それって、ブラウザのタイムアウトなんかの問題じゃない?」ってツッコミが。たしかにいくらサーバーのアップロード制限を緩和したところで、ブラウザのタイムアウトを超えるデータ通信をするとどうにもなりませぬな。。ってことで終了したのでした。。。

あと初めてプラグイン開発をした方が、
  • ギャラリーの挙動変更(スライドさせたり〜)
  • エディタの文字に対して Google検索のサジェスト候補がでてくるようにする
なんてのを開発されていました。後者は申請まで出来たとか!

他のチームの発表をみていると、

WordPress ユーザーズマニュアル
https://wckansai2016.github.io/wordpress-document/

を含めて、皆さんかなり濃密な一日を過ごされたようです。
はしゃいでいる声もすくなく、結構もくもくと作業されているのが印象的でした。
もちろん歓談を楽しんでいた方もいて、全体的によい雰囲気でした!

 WP-CLI入門(の呪い)


一日目ガッツリ聞いたのは、このセッションでした。

ここで話に出てきた、WP-CLIで valet を操作しようでハマってしまい、いつも速攻でブログ書いているのに書けませんでした.. これは、普段 MAMP を対応している筆者に、MAMPはダメダメ〜って miya0001 から何度か言われている筆者への呪いということにしておきましょう (^^;  その後解決〜。

VCCWWP Total Hack でも有名な miya0001 さんが登壇。WP-CLIでもかなり貢献されています。WP-CLIは、WordPress をコマンドラインで自由自在に操作できる、インフラを含む WordPress 管理者によっては、WP-CLIは救世主ツールです。

筆者も、バックアップ → プラグイン更新 → コア更新 → 言語更新 という一連の流れを WP-CLIで実装したり、WordPressの新規構築の初期設定を一括処理するときにも重宝超重宝しています。ただ、細かい機能については追っていなかったので、ここで話をお聞き出来たのはよかったです。

ここでは備忘録として残しておきたいものをメモしておきます。

WP-CLI で valet を操作しよう!


ズボラな筆者は、MAMPばっかり使っては miya0001 さんに突っ込まれたりしてましたが、そろそろ環境を変えてみようかなということで、valet を使って見ることに。

valet インストール と W-CLI連携


MacOS Sierra な環境では
  1. Homebrew の導入
     https://brew.sh/index_ja.html (bash シェルをつかうこと)
  2. valet のインストール
    https://laravel.com/docs/5.4/valet#installation を参考に
    1. brew install homebrew/php/php71
    2. brew install homebrew/php/composer
    3. composer global require laravel/valet
    4. brew install mysql
    5. brew services start mysql 
    6. ~/.composer/vendor/bin と /usr/local/opt (mysql用)のパスを入れる
      1. echo 'export PATH="~/.composer/vendor/bin:/usr/local/opt:$PATH"' >>  ~/.bash_profie
      2. 一旦ターミナルを閉じて開き直す
    7. brew link php71
       エラーがでたら、sudo chown -R 自分のユーザ名 /usr/local/ に権限を与えておく(これは、valet install で[DomainException] Brew was unable to install [nginx] とエラーがでるときの対処)
    8. valet install
    9. ~/.bash_profile に
      export WP_CLI_PHP_ARGS='-d memory_limit=-1'
      alias wp="php -d memory_limit=-1 /usr/local/bin/wp"
      を入れておく。
      ※あとからmiya0001 さんからの指摘:WP-CLI でメモリ不足のエラーが出る時の対処法(Qiita - miya0001)
      open -a textedit  /usr/local/php/etc/7.1/conf.d/php-memory-limits.ini
       ; memory_limit = 128M
      memory_limit = 512M
    10. wp package install aaemnnosttv/wp-cli-valet-command

<ハマった点>

wp package install aaemnnosttv/wp-cli-valet-command をしたときに、
Fatal error: Allowed memory size of 134217728 bytes exhausted (tried to allocate 1028096 bytes) in phar:///UNIX/local/bin/wp/vendor/composer/composer/src/Composer/Util/RemoteFilesystem.php on line 386

とエラーが出てしまう。/usr/local/php/etc/php.ini のmemory_limit をいじってもダメだったこと。

wp valet new demo


  1. mkdir demo
  2. cd demo
  3. valet park
  4. wp valet new demo

ちゃんと wpコマンドに valet が紐付いていたら、

Don't go anywhere, this should only take a second...
Success: demo ready! https://demo.dev

と出るはず。もし、wp core download せよとかいっていたら、紐付いていないという証拠。

https://demo.dev
404 - Not Found

telnet demo.dev 443 は接続できるのに何故だ。
~/.valet 内の nginx 設定をみても間違いが探せぬ。
ping demo.dev は 127.0.0.1 だし。。
これは miya0001さんの呪いと命名しよう(時間切れ)。

2日後にわかったが、valet park を叩いて、該当フォルダを valet として使えるように pathに含めておかねばならなかった。

なお、 nginx の restartは
sudo brew services restart nginx
でできるみたい。brew はあまり本格的に使っていなかったのでした。

また削除は
wp valet destroy demo
とかでできる。

MAMPと併用するためには(追記)


もし MAMPを 80/tcp で動作させている場合には、nginx とバッティングします。
  • valet stop 
でnginxも自動停止しますので、使わない時には上記コマンドを叩いておきましょう。
ただ brewで起動した mysqld は残ります。若干でもバッテリーを気にするなら、
  • brew services stop mysql  

としてサービスを停止しておきましょう。
次に利用する時には

  • valet start
  • brew services start mysql 
で利用できます。



2017年6月26日 @kimipooh

2017年6月14日水曜日

【備忘録】PHP 7.1.x で、PHP Fatal error: Uncaught Error: [] operator not supported for strings エラーがでたら・・・

手持ちの MAMP 環境を久々に更新し、PHP 5.6.30 / 7.1.1 へ切り替える設定にしました。現在のメイン PHP 利用環境は、7.0.x 系なのですが、そろそろ 7.1系でもテストしないとなぁと思い立ちました。 WordPress 4.8 でましたしね!

で、自前開発のWordPress プラグインも 最近出した Google Calendar List View 以外、 7.1系でチェックするのサボってました @@!

ということで環境変更です・・・完了。

そしてテスト開始。最初に遭遇したのが、

Uncaught Error: [] operator not supported for strings エラー


でした。
これは、 $sample[] = $sample_data; など、配列にデータを追加するに当たって、配列の初期化の型がおかしい場合におきるようですね。PHP 7.0.x まではエラーにはなりませんでした。

PHP 7.0.x まで許容


$sample = "";
$sample[] = $sample_data;

PHP 7.1.x より


$sample = array();
$sample[] = $sample_data;

ということだったのです。これは早速自前プラグインを修正し、かつ コードチェックしてくれる TRAVIS-CI の方も 7.1 を追加しないとですね〜。

ってことで手持ちのプラグインについて、 WordPress 4.8 と PHP 7.1 で動作チェック完了し、アップデート完了。

2017年6月14日 @kimipooh

2017年4月30日日曜日

WordCamp Kyoto 2017 の参加登録が開始されてるよ! #wckyoto2017

WordCamp Kyoto 2017 の参加登録が始まっているよ!


是非参加登録して、京都へ行くぜ〜って表明してみてはいかがでしょうか。
2日目はコントリビューター Dayということで、テーマやプラグイン、翻訳や WordPress本体のコアコントリビューションなど、普段体験したことのない何かを会得するにはとてもよい機会が設けられていると思います。

コントリビュートすることで得られる物


筆者はプラグインの作成方法を知ったことで、ちょっとした機能を WordPress に追加するのにプラグインを作成できることでとっても楽になりました。何か外注するときにもプラグインは筆者自身が開発したり、あるいは開発してもらうにしてもいろいろ外注先と技術的なやり取りもできるようになりました。

筆者自身英語が苦手ですが、それでも翻訳することはおすすめです。翻訳によって翻訳対象にどういった機能があるのかより詳しく知ることが出来ました。よく使うプラグインやテーマ、ドキュメントの翻訳にチャレンジしてみてはと思います。

コントリビュートときくと何かちゃんと貢献しないといけない!そんなのは敷居が高すぎる!って思われるかもしれません。でも、恐れることはありません。気軽に参加して WordPress に関心のある方々とコミュニケーションしてみませんか。分からないなら聞けばいいのです。参加してみる、、、それだけでもきっと何かの役立つと思います!

2017年4月30日 @kimipooh



2017年4月12日水曜日

Welcome to WordCamp Kyoto 2017!! #wck2017

Let's go to Kyoto!!


WordCamp Kyoto 2017 will be held on 24-25 June, 2017 at Kyoto University, Japan. It's free for join! The website was opened to the public today!!  I'm looking forward to enjoy for sharing various knowledge with attenders!


12th April, 2017
@kimipooh

2017年4月9日日曜日

【プラグイン公開】Google Calendar List View - 公開Googleカレンダーの一覧表示ショートコードプラグイン

ちょっと探したけどなかったので自前で開発して、WordPress公式プラグインとして公開しちゃいました。ブログを読み返していて気づきましたが、2014年の時点で、WordBench大阪で若干開発していたのですね。こちらは複数のカレンダーをマージして一覧表示するものだったようです。これのソースは消しちゃったかもですね。。。まぁいつでも作成できるのでもういいんですけど..

日本語翻訳も作ったのですが、「#2750 Plugin Directory: Changelogs not updating on Rosetta plugin directories」でチケット化されましたが、 WordPress Translate がおかしいため、完全に翻訳されなかったりプラグインサイトの翻訳がおかしかったりしますねぇ。なのでここで詳細を説明します。また公式プラグインについては、下記の英語版が最新なのでこちらをみてください。


利用の仕方



2017年6月25日 マニュアルの英語版も用意して、場所変更 @kimipooh

Google+ Badge