WordPress 4.3
[autoinstalls/wordpress.git] / wp-admin / network / sites.php
index 4dddfcfda312e66632e3fb1b50e265fbadda578e..733383acad6e5e6b24bc905e2416caa783c3bf05 100644 (file)
@@ -14,7 +14,7 @@ if ( ! is_multisite() )
        wp_die( __( 'Multisite support is not enabled.' ) );
 
 if ( ! current_user_can( 'manage_sites' ) )
-       wp_die( __( 'You do not have permission to access this page.' ) );
+       wp_die( __( 'You do not have permission to access this page.' ), 403 );
 
 $wp_list_table = _get_list_table( 'WP_MS_Sites_List_Table' );
 $pagenum = $wp_list_table->get_pagenum();
@@ -22,7 +22,7 @@ $pagenum = $wp_list_table->get_pagenum();
 $title = __( 'Sites' );
 $parent_file = 'sites.php';
 
-add_screen_option( 'per_page', array( 'label' => _x( 'Sites', 'sites per page (screen options)' ) ) );
+add_screen_option( 'per_page' );
 
 get_current_screen()->add_help_tab( array(
        'id'      => 'overview',
@@ -42,7 +42,7 @@ get_current_screen()->add_help_tab( array(
 
 get_current_screen()->set_help_sidebar(
        '<p><strong>' . __('For more information:') . '</strong></p>' .
-       '<p>' . __('<a href="http://codex.wordpress.org/Network_Admin_Sites_Screen" target="_blank">Documentation on Site Management</a>') . '</p>' .
+       '<p>' . __('<a href="https://codex.wordpress.org/Network_Admin_Sites_Screen" target="_blank">Documentation on Site Management</a>') . '</p>' .
        '<p>' . __('<a href="https://wordpress.org/support/forum/multisite/" target="_blank">Support Forums</a>') . '</p>'
 );
 
@@ -52,8 +52,33 @@ if ( isset( $_GET['action'] ) ) {
        /** This action is documented in wp-admin/network/edit.php */
        do_action( 'wpmuadminedit' );
 
+       // A list of valid actions and their associated messaging for confirmation output.
+       $manage_actions = array(
+               'activateblog'   => __( 'You are about to activate the site %s' ),
+               'deactivateblog' => __( 'You are about to deactivate the site %s' ),
+               'unarchiveblog'  => __( 'You are about to unarchive the site %s.' ),
+               'archiveblog'    => __( 'You are about to archive the site %s.' ),
+               'unspamblog'     => __( 'You are about to unspam the site %s.' ),
+               'spamblog'       => __( 'You are about to mark the site %s as spam.' ),
+               'deleteblog'     => __( 'You are about to delete the site %s.' ),
+               'unmatureblog'   => __( 'You are about to mark the site %s as mature.' ),
+               'matureblog'     => __( 'You are about to mark the site %s as not mature.' ),
+       );
+
        if ( 'confirm' === $_GET['action'] ) {
-               check_admin_referer( 'confirm' );
+               // The action2 parameter contains the action being taken on the site.
+               $site_action = $_GET['action2'];
+
+               if ( ! array_key_exists( $site_action, $manage_actions ) ) {
+                       wp_die( __( 'The requested action is not valid.' ) );
+               }
+
+               // The mature/unmature UI exists only as external code. Check the "confirm" nonce for backward compatibility.
+               if ( 'matureblog' === $site_action || 'unmatureblog' === $site_action ) {
+                       check_admin_referer( 'confirm' );
+               } else {
+                       check_admin_referer( $site_action . '_' . $id );
+               }
 
                if ( ! headers_sent() ) {
                        nocache_headers();
@@ -64,40 +89,39 @@ if ( isset( $_GET['action'] ) ) {
                        wp_die( __( 'You are not allowed to change the current site.' ) );
                }
 
+               $site_details = get_blog_details( $id );
+               $site_address = untrailingslashit( $site_details->domain . $site_details->path );
+
                require_once( ABSPATH . 'wp-admin/admin-header.php' );
                ?>
                        <div class="wrap">
-                               <h2><?php _e( 'Confirm your action' ); ?></h2>
-                               <form action="sites.php?action=<?php echo esc_attr( $_GET['action2'] ) ?>" method="post">
-                                       <input type="hidden" name="action" value="<?php echo esc_attr( $_GET['action2'] ) ?>" />
+                               <h1><?php _e( 'Confirm your action' ); ?></h1>
+                               <form action="sites.php?action=<?php echo esc_attr( $site_action ); ?>" method="post">
+                                       <input type="hidden" name="action" value="<?php echo esc_attr( $site_action ); ?>" />
                                        <input type="hidden" name="id" value="<?php echo esc_attr( $id ); ?>" />
                                        <input type="hidden" name="_wp_http_referer" value="<?php echo esc_attr( wp_get_referer() ); ?>" />
-                                       <?php wp_nonce_field( $_GET['action2'], '_wpnonce', false ); ?>
-                                       <p><?php echo esc_html( wp_unslash( $_GET['msg'] ) ); ?></p>
+                                       <?php wp_nonce_field( $site_action . '_' . $id, '_wpnonce', false ); ?>
+                                       <p><?php echo sprintf( $manage_actions[ $site_action ], $site_address ); ?></p>
                                        <?php submit_button( __( 'Confirm' ), 'button' ); ?>
                                </form>
                        </div>
                <?php
                require_once( ABSPATH . 'wp-admin/admin-footer.php' );
                exit();
+       } elseif ( array_key_exists( $_GET['action'], $manage_actions ) ) {
+               $action = $_GET['action'];
+               check_admin_referer( $action . '_' . $id );
+       } elseif ( 'allblogs' === $_GET['action'] ) {
+               check_admin_referer( 'bulk-sites' );
        }
 
        $updated_action = '';
 
-       $manage_actions = array( 'deleteblog', 'allblogs', 'archiveblog', 'unarchiveblog', 'activateblog', 'deactivateblog', 'unspamblog', 'spamblog', 'unmatureblog', 'matureblog' );
-       if ( in_array( $_GET['action'], $manage_actions ) ) {
-               $action = $_GET['action'];
-               if ( 'allblogs' === $action )
-                       $action = 'bulk-sites';
-
-               check_admin_referer( $action );
-       }
-
        switch ( $_GET['action'] ) {
 
                case 'deleteblog':
                        if ( ! current_user_can( 'delete_sites' ) )
-                               wp_die( __( 'You do not have permission to access this page.' ) );
+                               wp_die( __( 'You do not have permission to access this page.' ), '', array( 'response' => 403 ) );
 
                        $updated_action = 'not_deleted';
                        if ( $id != '0' && $id != $current_site->blog_id && current_user_can( 'delete_site', $id ) ) {
@@ -178,8 +202,9 @@ if ( isset( $_GET['action'] ) ) {
                break;
        }
 
-       if ( empty( $updated_action ) && in_array( $_GET['action'], $manage_actions ) )
+       if ( empty( $updated_action ) && array_key_exists( $_GET['action'], $manage_actions ) ) {
                $updated_action = $_GET['action'];
+       }
 
        if ( ! empty( $updated_action ) ) {
                wp_safe_redirect( add_query_arg( array( 'updated' => $updated_action ), wp_get_referer() ) );
@@ -227,8 +252,8 @@ if ( isset( $_GET['updated'] ) ) {
                        /**
                         * Filter a specific, non-default site-updated message in the Network admin.
                         *
-                        * The dynamic portion of the hook name, $_GET['updated'], refers to the non-default
-                        * site update action.
+                        * The dynamic portion of the hook name, `$_GET['updated']`, refers to the
+                        * non-default site update action.
                         *
                         * @since 3.1.0
                         *
@@ -239,7 +264,7 @@ if ( isset( $_GET['updated'] ) ) {
        }
 
        if ( ! empty( $msg ) )
-               $msg = '<div class="updated" id="message"><p>' . $msg . '</p></div>';
+               $msg = '<div class="updated" id="message notice is-dismissible"><p>' . $msg . '</p></div>';
 }
 
 $wp_list_table->prepare_items();
@@ -248,20 +273,20 @@ require_once( ABSPATH . 'wp-admin/admin-header.php' );
 ?>
 
 <div class="wrap">
-<h2><?php _e( 'Sites' ) ?>
+<h1><?php _e( 'Sites' ); ?>
 
 <?php if ( current_user_can( 'create_sites') ) : ?>
-       <a href="<?php echo network_admin_url('site-new.php'); ?>" class="add-new-h2"><?php echo esc_html_x( 'Add New', 'site' ); ?></a>
+       <a href="<?php echo network_admin_url('site-new.php'); ?>" class="page-title-action"><?php echo esc_html_x( 'Add New', 'site' ); ?></a>
 <?php endif; ?>
 
 <?php if ( isset( $_REQUEST['s'] ) && $_REQUEST['s'] ) {
        printf( '<span class="subtitle">' . __( 'Search results for &#8220;%s&#8221;' ) . '</span>', esc_html( $s ) );
 } ?>
-</h2>
+</h1>
 
 <?php echo $msg; ?>
 
-<form action="" method="get" id="ms-search">
+<form method="get" id="ms-search">
 <?php $wp_list_table->search_box( __( 'Search Sites' ), 'site' ); ?>
 <input type="hidden" name="action" value="blogs" />
 </form>