ArticoliNuovo aggiornamento di sicurezza per Wordpress 2.3.x: se non volete scaricare il pacchetto completo, aggiornate quantomeno il file xmlrpc.php. La versione in uso in Wordpress 2.3.2 permette a un utente registrato, attraverso una richiesta appositamente formata, di modificare i post scritti da qualsiasi altro utente del blog. Nella versione 2.3.3 vengono corretti anche altri piccoli problemi, ad esempio l’uso di GetText su sistemi a 64bit.
Qui potete trovare il diff tra la versione 2.3.2 e la versione 2.3.3 e il pacchetto con i soli file modificati: da utilizzare SOLO in presenza della versione 2.3.2, è possibile scaricarlo anche utilizzando il link Zip Archive sul fondo della pagina di Trac.
Attenzione anche al plugin WP-Forum: in questo caso il bug, confermato nella versione 1.7.4, è ben più grave in quanto consente, attraverso un attacco di tipo SQL-Injection, di recuperare il contenuto del database di Wordpress (e-mail, hash delle password, ecc. ecc.). In attesa di una soluzione, si consiglia di disattivare il plugin WP-Forum.
[Autore:PseudoTecnico]
Commenti dei Lettori
Grazie.
Tempestivi ed esaustivi, come sempre.
Per prima cosa grazie delle informazioni che sempre date a noi utenti..
Volevo chidervi una cosa..
io ho la versione 2.3.2 in italiano..
Per aggiornare alla nuova versione mi basta copiare o sovrascrivere i nuovi file con il pacchetto con i soli file modificati?
Perdo la lingua italiana in questo modo?
Grazie in anticipo per l’eventuale risposta.
Maulkek, avendo tu la versione 2.3.2 ti basta sostituire i files modificati nella versione 2.3.3 cosi’ come ha detto PseudoTecnico, io l’ho appena terminato e ti basta cancellare i vecchi 5 files nelle diverse cartelle e caricare quelli nuovi ed il gioco e’ fatto.
Non perdo la lingua vero?
no no, se non modifichi nient’altro oltre quei determinati files no, anch’io ho wp in italiano vai tranquillo
appena fatto..Grazie mille tutto ok!
ottimo il zip con i soli file modificati, del resto è piuttosto bruttino dover cancellare tutto e sostituirlo in presenza di tanti plugin.
ma sostituendo quei files nella cartella zip non bisogna usare la solita procedura, disattivare tutti i plugin ed aggiornare dal pannello di controllo??salvo quei files nuovi ed è tutto qui??
grazie
Isabella
Disattivare i plugin sarebbe sempre cosa buona e giusta….confesso che oggi però questo sito ed altri li ho aggiornati copiando i file e stop
Questo aggiornamento non è particolarmente “esteso” e le modifiche pur se importanti sono davvero minimali e non dovrebbero riguardare nulla a livello di interfaccia utente e gestione plugin ad esempio, non vi sono nuove funzioni etc… quindi è abbastanza sicuro farlo al volo.
no visto che sono stati modificati file che non intaccano il funzionamento di wp di per se, ma va a correggere determinate parti di codice di quei 5 files. quindi basta semplicemente cancellare quelli vecchi e uploadare i nuovi.
caso diverso se segui il post di Steve che ha messo a disposizione TUTTO il pacchetto di wp 2.3.3 che non e’ altro che quello vecchio con i nuovi files come detto tra l’altro nel suo stesso post!
ok grazie Arturo e Steve.. gentilissimi ^___^
Ho sostituito i files immediatamente.
Tutto a meraviglia.
Oggi, dopo tre giorni, l’interfaccia Admin porta un messaggio che mi invita a effettuare l’aggiornamento appena fatto.
Che cosa è successo?
FB
…aggiungo che anche l’aggiornamento di statpress viene proposto nuovamente…
FB
Non è che hanno ripristinato il tuo spazio web da un backup? apri il file wp-includes/version.pp e vedi quale versione risulta
Il fatto che anche un plugin ti venga richiesto di aggiornarlo suona come un segnale di ripristino da backup. Eventualmente chiedi conferma al tuo hoster
Statpress è stato modificato (cambiato il numero di voci per “categoria” la lato dettagli) e funziona perfettamente.
in sostanza, entrambi gli aggiornamenti sono attivi e funzionanti, ma è come se qualcosa dicesse a WP che esiste un nuovo aggiornamento.
E come si sono presentati oggi, gli inviti all’aggiornamento sono spariti senza fare nulla.
Quando si parla di misteri…
Saluti,
FB
Allora potrebbe essere sato un problema momentaneo sul server di WP per la verifica delle versioni. I miei blog non segnalano aggiornamenti da fare, correttamente.
Salve, qualcuno mi dice come si fa a mettere il titolo del post che si inserisce nel titolo dei motori di ricerca e non nella descrizione???
Trackback/Pingback