Nuovo aggiornamento di sicurezza per WordPress.

Vengono corretti due bug di sicurezza:

Il primo è un problema di sicurezza XSS nel “press this” o “pubblicalo” nella versione italiana

Il secondo riguara i file caricati su particolari configurazioni di Apache.

Entrambi i bug sono utilizzabili solo da utenti registrati con permessi di pubblicare, quindi se avete utenti dei quali non vi fidate aggiornate immediatamente.

Potete come sempre utilizzare la funzione di aggiornamento automatico.

A breve seguirà la versione italiana.

Download Wordpress 2.8.6

Fonte: WordPress.org

Articoli correlati

• WordPress 3.0: come usare il nuovo tema Twenty Ten (16)
• WordPress 3.0, altre novità (11)
• WordPress 3.0, 2 grandi novità (16)
• WordPress 2.9.2 in italiano (8)
• BuddyPress finalmente può essere installato anche su una normale installazione di WordPress (6)

Da ieri circolano strane voci su bachi di sicurezza di WP, bene è vero, quello che non è vero è che il baco interessa l’ultima versione di WP, la 2.8.4. La vurnerabilità interessa solo le precedenti versioni di WP e permette di creare un amministratore fantasma e quindi aprire il proprio blog a qualsiasi altro tipo di abuso.

Segnalato il problema ieri su Lorelle On WordPress e oggi in maniera indiretta da Matt sul blog ufficiale, questa vurnerabilità trova la sua unica soluzione nell’aggiornare la propria installazione di WP all’ultimissima versione (la 2.8.4) che è esente da questo problema. Tale vurnerabilità ha due sintomi precisi:

1. La presenza nei permalink di una strana stringa di codice, ad esempio http://www.sito.com/2009/09/05/titolo-post/%&(%7B$%7Beval(base64_decode($_SERVER%5BHTTP_REFERER%5D))%7D%7D|.+)&%/,  o altre similari che abbiano comquneu al loro interno il termine eval e/o il termine base64_decode.
2. La presenza di un utente amministratore con nomi strani tipo “Administrator(2)” che risulta impossibile cancellare.

La soluzione all’infezione non è semplicissima, aggiornare NON serve a nulla a questo punto così come eventuali backup potrebbero non essere utili se si è stati “infettati” già da tempo (ma potete sempre provare a ripristinare un backup precedente e verificare se i permalink o l’admin sono corretti) la soluzione più sicura è l’esportazione dei dati tramite le funzioni di export di WP la reinstallazione di WP su un database pulito e vuoto e la successiva reimportazione dei contenuti.

Questo episodio evidenzia ancora una volta come garantire la sicurezza del proprio sito richieda un approccio multiplo e sopratutto meno pigrizia, la strategia corretta è:

1. Backup automatici regolari del DB possibilmente spediti per email su un proprio account e di cui si tiene un archivio vecchio anche di qualche settimana
2. Backup o copia locale dei file e/o immagini caricate in modo da poterle ripristinare facilmente
3. Aggiornamento del blog appena appare una versione nuova di WP, il continuo aggiornamento non ci esenta da problemi di sicurezza nuovi ma ci garantisce che le falle conosciute siano state chiuse, in ogni caso ogni provblema di sicureza recente è sempre stato corretto rapidamente solitamente nelle 24 ore successive alla scoperta, confermando quindi che l’aggiornamento continuo (ora sempliificato dal sistema automatico di aggiornamento) garantisce un elevata sicureza del proprio blog.

Quindi aggiornate, aggiornate, aggiornate… e non dite che non ve lo avevamo detto…

Articoli correlati

• Nessun articolo correlato.

Stamane accedendo al vostro WP vedrete che fra i plugin da aggiornare c’è anche Akismet, se aggiornate, il pluginc ontinuerà a funzionare contro lo spam ma non permetterà di cancellare tutti i commenti dmarcati come spam, si tratta di un piccole baco che penso verrà risolto in giornata… comunque apparirà presto un nuovo aggiornamento a riguardo.

Articoli correlati

• WordPress 2.9, Carmen, è stata rilasciata in inglese. (40)
• Rilasciato WordPress 2.8.6 (11)
• WordPress 2.8.5 in inglese (11)
• Wp Plugin | Delicious Wishlist for WordPress (1)
• Wp Plugin | Twitter Widget Pro in italiano (2)

Molti utilizzatori hanno lamentato error 404 dopo l’aggiornamento a WP 2.6 clikkando sui permalink.

In tutti i casi il problema nasce dalla presenza di index.php nei permalink.

Il bug verrà risolto con le prossime versioni.

Soluzioni:

Se stai usando Linux/apache in realtà non ti serve avere index.php perchè è stato pensato per le installazioni su server windows/IIS, togliendolo il problema si risolve.

Il problema si risolve anche rimettendo i permalinks standard.

Un altra soluzione è quella di aggiungere qualcosa nei campi tag e categoria, “tag” e “categoria” vanno benissimo.

Articoli correlati

• Rilasciato WordPress 2.8.6 (11)
• WordPress 2.8.5 in inglese (11)
• WordPress 2.8.1 Beta 1 (6)
• WordPress per iPhone 1.2 disponibile su App Store (2)
• WordPress cerca validi programmatori PHP (1)

Il buon Napolux ha scovato la soluzione al problema che alcuni si trovavano quando tentavano di aggiornare automaticamente i plugin via ftp dalla bacheca.

In pratica quando si tentava di aggiornare i plugin si riceveva questo messaggio di errore :

“Si è verificato un errore connettendosi al server, verificare che le impostazioni siano corrette.”

Questo succede se per sbaglio durante la richiesta delle informazioni di accesso FTP scegliete SSL e il vostro server non supporta ftp via SSL.

Infatti per un bug anche se riportate il selettore su NO l’ftp rimane settato su SSL e quindi non riuscirete a connettervi.

La soluzione è semplice, nel vostro wp-config.php aggiungete questa riga:

define('FTP_SSL', false);

e tutto tornerà alla normalità.

Articoli correlati

• Rilasciato WordPress 2.8.6 (11)
• WordPress 2.8.5 in inglese (11)
• WordPress 2.8.1 Beta 1 (6)
• WordPress per iPhone 1.2 disponibile su App Store (2)
• WordPress cerca validi programmatori PHP (1)