Il buon Napolux ha scovato la soluzione al problema che alcuni si trovavano quando tentavano di aggiornare automaticamente i plugin via ftp dalla bacheca.

In pratica quando si tentava di aggiornare i plugin si riceveva questo messaggio di errore :

“Si è verificato un errore connettendosi al server, verificare che le impostazioni siano corrette.”

Questo succede se per sbaglio durante la richiesta delle informazioni di accesso FTP scegliete SSL e il vostro server non supporta ftp via SSL.

Infatti per un bug anche se riportate il selettore su NO l’ftp rimane settato su SSL e quindi non riuscirete a connettervi.

La soluzione è semplice, nel vostro wp-config.php aggiungete questa riga:

define('FTP_SSL', false);

e tutto tornerà alla normalità.

Se avete installato wordpress 2.5 NON utilizzate l’aggiornamento automatico con gli ottimi plugin di Lester Chan.

Come spiega nel suo blog ci sono dei problemi al momento che verranno però risolti con l’aggiornamente del 1 giugno.

Quindi per ora aggiornate alla vecchia maniera

Oggi è la giornata della sicurezza WordPress, questa parrebbe invece una cosa seria, anche se di livello medio, in pratica con la nuova versione 2.5 si è introdotto un nuovo sistema di codifica delle password un componente delle quali è una chiave segreta da inserire nel file wp-config.php che si suggerisce di rendere molto lunga, varia e complessa.

Con il rilascio di WP 2.5 l’impostazione di questa chiave non è stato dato come “indispensabile” e pareva solo una ulteriore sicurezza, secondo il report di securitfocus invece parrebbe che senza quella si potrebbe forzare la password di admin. Non ho avuto modo di approfondire la cosa, causa mancanza di tempo, anche se mi è parso di capire che la forzatura potrebbe richiedere nel peggiore dei casi oltre un centinaio di giorni per una password di 7 caratteri ma anche solo una ventina di ore in casi fortunati. Per password più lunghe i tempi crescono. Inoltre per forzare una password di admin occorre disporre di un cookie di autenticazione per quel blog, quindi occorre essere utenti registrati.

Ecco perchè il probabile bug è considerato un problema di media gravità.

Sto indagando chiedendo ad esperti e direttamente agli sviluppatori e domani spero di avere aggiornamenti, nel frattempo suggerirei a chi ha aggiornato il proprio blog a WP 2.5 di aggiornare il proprio file wp-config aggiungendo le seguenti righe dopo i dati di accesso al database (si veda il file wp-config-sample.php per maggiori info)

// Modifica SECRET_KEY in una frase unica.  Non la si dovrà ricordare in seguito,
// quindi fatela lunga e complessa.  Si può visitare https://www.grc.com/passwords.htm
// per avere una frase generata automaticamente per voi, oppure createne una voi.
define('SECRET_KEY', 'inserire una frase univoca'); // cambiare in una frase univoca.

e sostituire

inserire una frase univoca

con una frase o serie di caratteri molto lunga, contenente lettere numeri e simboli, le stringhe proposte dal sito

https://www.grc.com/passwords.htm

sono ottime perchè perfettamente casuali ed esenti difetti crittografici oltre che essere garantite come univoche ad ogni generazione. Quindi usatelo serenamente… risparmierete tempo. Dopo la modifica verrà richiesto di rifare il login al primo accesso al vostro blog.

Appena disponibili aggiornamenti sul problema sarà mia cura segnalarli in coda a questo articolo.

Grazie a frasten per la segnalazione.

Aggiornamento: Ho avuto una chiara risposta da Mark Jaquith (uno degli sviluppatori di WP) che ha spiegato chelascinado la secret key vuota o con il valore predefinito questa non viene usata per “salare” la codifica delle password e quindi in tale caso la sicurezza delle password NON è compromessa ma ha lo stesso livello che aveva con le versioni precedenti di WP. La soluzione trovata è di generare una chiave segreta basata sulla data di modifica del file wp-config (basata su date e ora è un dato difficile da indovinare) solo nel caso tale chiave non sia stata impostata. È stato aperto un ticket a riguardo con una patch non ancora approvata che Ryan Boren proverà in questi giorni sui suoi blog.

Concludendo possiamo dire che il baco è meno grave di quanto sembri (al minimo si ha la medesima sicurezza pre 2.5, che usare una password non banale e abbastanza lunga, come sempre in ogni caso è una buona norma di “vita” e che è opportuno comunque aggiornare il proprio file wp-config aggiungendo il codice ed impostando la secret key come spiegato in questo articolo.

Un utente ci ha segnalato un, credo, suo articolo dove si parla di exploit di WP 2.5, in sintesi uno permetterebbe la creazione di utenti da parte di utenti che non hanno il permesso per farlo, il secondo una molto più grave possibilità di SQL injection tramite il modulo per i commenti. La prima lettura effettivamente da l’idea di una cosa molto grave, sopratutto la seconda… ma… vediamole singolarmente.

Il primo problema riguarda il fatto che la possibilità di creare un nuovo utente viene verificata controllando se l’utente ha la capacita di “edit_users” invece di quella corretta di “create_users”. Non è un serio problema perchè solo utenti di un certo livello hanno questa capacità, un utente normale ha una sola capacità che è quella di leggere il blog e modificare i propri utenti, gli altri livelli sono solitamente assegnati dall’amministratore il quale dovrebbe autorizzare vari livelli di interazione col proprio blog solo ad utenti minimamente affidabili. Esiste già una patch per la 2.5.1 e l’autore dell’articolo fornisce i file modificati per la 2.5 aggiornarli non fa male ma davvero si corrono rischi minimali. Infatti a differenza di altre volte non abbiamo previsto file di aggiornamento proprio per la bassa rischiosità del tutto, anche se l’autore dell’articolo tiene a sottolineare come a questa cosa sia assegnato il livello critical, cosa normale per la tipologia di problema ma che ripeto richiede ad esempio di dover essere utenti registrati, in blog come il nostro ad esempio il problema non sussiste non avendo la registrazione utenti e per chi avesse invece la registrazione utenti per ad esempio l’invio di newsletter questi utenti spero abbiano il livello minimo (oltre non servirebbe) e quindi non possono sfruttare il problema. Leggi il resto »

Il nuovo media manager ha problemi con IE7, il problema è conosciuto ed è stato aperto un ticket apposito (#6443) che propone una patch già acquisita nella trunk di sviluppo e che farà parte di WP 2.5.1, per chi non potesse assolutamente aspettare qui il file di diff con evidenziate le linee aggiunte, verdi,  e cancellate, rosse, si consiglia di applicare tale modifica solo se davvero necessaria (impossibilità di usare un altro browser nel frattempo) e solo se sapete quel che state facendo.