Da qualche ora è disponile la versione di WordPress 3.1.4 si tratta di una release di mantenimento e sicurezza che quindi è “indispensabile” installare per garantire al sicurezza dei propri siti.

Questa release risolve un problema di sicurezza che permette ad un utente di livello Editore di ottenere ulteriori livelli di accesso al sito, il problema è stato segnalato da K. Gudinavicius di SEC Consult. La versione 3.1.4 aggiunge inoltre una serie ulteriore di correzioni e miglioramenti di sicurezza grazie al lavoro svolto dagli sviluppatori  Alexander Concha e Jon Cave del security team di WordPress. Per maggiori dettagli consultare il change log.

Scaricate WordPress 3.1.4 o aggiornatelo subito tramite il menu Bacheca ? Aggiornamenti presente nell’admin del vostro sito.

L’aggiornamento non comporta modifiche alle stringhe di traduzione e quindi è possibile utilizzare subito l’aggiornamento inglese nell’attesa che nei prossimi giorni venga rilasciata la versione italiana.

WordPress 3.2 Release Candidate 3

Oramai ci siamo quasi, la versione finale di WordPress 3.2 è alle porte. Ecco la terza release candidate che contiene tutte le correzioni della 3.1.4; alcune correzioni su RTL, JavaScript e l’interfaccia utente e fallisce gradevolmente quando la versione 3.2 viene eseguita sotto PHP4. Ricordiamo che con questa versione i requisiti minimi sono PHP 5.2.4 e MySQL 5.0.

WordPress 3.1.2 Da ieri pomeriggio appare sulle bacheche di WP il nuovo aggiornamento di sicurezza 3.1.2 in inglese che risolve un problema di sicurezza che permette ad utenti a livello di Contribuente di poter pubblicare articoli senza permesso, la falla di sicurezza è stata identificata dal securioty team di WordPress e precisamente da Andrew Nacin e Benjamin Balter.

Come sempre l’aggiornamento immediato delle vostre installazioni WordPress è fortemente consigliato sopratutto per siti che permettono la registrazione di utenti a livello Contribuente o che hanno utenti non affidabili. Aggiornando la versione in ignlese la traduzione non cambia in quanto in questa versione non vi sono stringhe modificate. Questa release corregge anche alcuni bachi che non erano stati risolti con la versione 3.1.1.

Nei prossimi giorni la versione italiana, come sempre richieste di supporto dovranno avvenire SOLO tramite il forum di supporto e non tramite commenti a questo articolo.

QUesta versione vede poche novità sul fontre della localizzazione essendo state incluse solo qualche nuova stringa tralasciata dagli sviluppatori nella versione precedente, mentre abbiamo effettuato alcune correzioni e modifiche ad alcune stringhe, a tal proposito un grazie a Claudio (flyingstar16) e a Fabio Mora per le segnalazioni ed i suggerimenti su errori o sviste nella traduzione 3.0. Come sempre richieste di aiuto o altro NON dovranno essere indirizzate tramite commenti a questo articolo ma utilizzando il forum di supporto.

Vengono corretti due bug di sicurezza:

Il primo è un problema di sicurezza XSS nel “press this” o “pubblicalo” nella versione italiana

Il secondo riguara i file caricati su particolari configurazioni di Apache.

Entrambi i bug sono utilizzabili solo da utenti registrati con permessi di pubblicare, quindi se avete utenti dei quali non vi fidate aggiornate immediatamente.

Potete come sempre utilizzare la funzione di aggiornamento automatico.

A breve seguirà la versione italiana.

Download WordPress 2.8.6

Fonte: WordPress.org

Segnalato il problema ieri su Lorelle On WordPress e oggi in maniera indiretta da Matt sul blog ufficiale, questa vurnerabilità trova la sua unica soluzione nell’aggiornare la propria installazione di WP all’ultimissima versione (la 2.8.4) che è esente da questo problema. Tale vurnerabilità ha due sintomi precisi:

1. La presenza nei permalink di una strana stringa di codice, ad esempio http://www.sito.com/2009/09/05/titolo-post/%&(%7B$%7Beval(base64_decode($_SERVER%5BHTTP_REFERER%5D))%7D%7D|.+)&%/,  o altre similari che abbiano comquneu al loro interno il termine eval e/o il termine base64_decode.
2. La presenza di un utente amministratore con nomi strani tipo “Administrator(2)” che risulta impossibile cancellare.

La soluzione all’infezione non è semplicissima, aggiornare NON serve a nulla a questo punto così come eventuali backup potrebbero non essere utili se si è stati “infettati” già da tempo (ma potete sempre provare a ripristinare un backup precedente e verificare se i permalink o l’admin sono corretti) la soluzione più sicura è l’esportazione dei dati tramite le funzioni di export di WP la reinstallazione di WP su un database pulito e vuoto e la successiva reimportazione dei contenuti.

Questo episodio evidenzia ancora una volta come garantire la sicurezza del proprio sito richieda un approccio multiplo e sopratutto meno pigrizia, la strategia corretta è:

1. Backup automatici regolari del DB possibilmente spediti per email su un proprio account e di cui si tiene un archivio vecchio anche di qualche settimana
2. Backup o copia locale dei file e/o immagini caricate in modo da poterle ripristinare facilmente
3. Aggiornamento del blog appena appare una versione nuova di WP, il continuo aggiornamento non ci esenta da problemi di sicurezza nuovi ma ci garantisce che le falle conosciute siano state chiuse, in ogni caso ogni provblema di sicureza recente è sempre stato corretto rapidamente solitamente nelle 24 ore successive alla scoperta, confermando quindi che l’aggiornamento continuo (ora sempliificato dal sistema automatico di aggiornamento) garantisce un elevata sicureza del proprio blog.

Quindi aggiornate, aggiornate, aggiornate… e non dite che non ve lo avevamo detto…

In tutti i casi il problema nasce dalla presenza di index.php nei permalink.

Il bug verrà risolto con le prossime versioni.

Soluzioni:

Se stai usando Linux/apache in realtà non ti serve avere index.php perchè è stato pensato per le installazioni su server windows/IIS, togliendolo il problema si risolve.

Il problema si risolve anche rimettendo i permalinks standard.

Un altra soluzione è quella di aggiungere qualcosa nei campi tag e categoria, “tag” e “categoria” vanno benissimo.

In pratica quando si tentava di aggiornare i plugin si riceveva questo messaggio di errore :

“Si è verificato un errore connettendosi al server, verificare che le impostazioni siano corrette.”

Questo succede se per sbaglio durante la richiesta delle informazioni di accesso FTP scegliete SSL e il vostro server non supporta ftp via SSL.

Infatti per un bug anche se riportate il selettore su NO l’ftp rimane settato su SSL e quindi non riuscirete a connettervi.

La soluzione è semplice, nel vostro wp-config.php aggiungete questa riga:

define('FTP_SSL', false);

e tutto tornerà alla normalità.

In pratica se chiedete l’azzeramento della password riceverete l’email di conferma e il link per attivare l’azzeramento e la creazione di una password nuova, però clikkando sul link riceverete l’errore “la ciave di attivazione non è corretta” (può capitare che al primo invio funzioni ma poi non funziona più.

La soluzione, se non volete aspettare il nuovo aggiornamento è quella di modificare 2 file:

wp-login.php e /wp-includes/pluggable.php

Le istruzioni per le modifiche da apportare le trovate qui. La parte evidenziata in rosso è quella da sostituire, la parte evidenziata in verde è il codice corretto.

Può capitare che anche dopo le modifiche il tutto non funzioni, in quel caso dovete entrare nel database, tabella wp_users e svuotare il campo user_activation_key se è presente qualche chiave vecchia di attivazione.

Come spiega nel suo blog ci sono dei problemi al momento che verranno però risolti con l’aggiornamente del 1 giugno.

Quindi per ora aggiornate alla vecchia maniera