(photo credits Buou)

Mentre tutti eravamo ormai pronti all’aggiornamento a WordPress 3.1 con tutte le nuove funzioni promesse (su questo torneremo nei prossimi giorni) ecco che i ragazzi di WP se ne escono con un nuovo aggiornamento di sicurezza: WordPress 3.0.5.

In particolare se avete utenti registrati al sito (cioè se non siete gli unici con accesso al pannello di comntrollo) è importante aggiornare.

…io vado ad aggiornare!

Poichè si tratta, come per tutti gli aggiornamenti di WordPress, semplicemente di cliccare su un pulsante, il consiglio è di procedere al più presto con questo update.

Per ora WordPress 2.8.5 è disponibile solo in inglese ma se avete un WordPress in italiano, non appena sarà disponibile la versione localizzata, apparirà sul pannello di controllo l’annuncio per procedere con l’ulteriore installazione.

Il post originario con l‘annuncio in inglese è stato poi ripreso anche su WordPress Italy.

Non è facile individuare le tracce di queste “infiltrazioni” se non siete esperti di php e di gestione dei server, ma per fortuna Donncha O Caoimh, uno degli sviluppatori di WordPress, ha rilasciato un semplicissimo plugin che ci dà una mano, una specie di “antivirus” per WordPress.

WordPress Exploit Scanner infatti va alla ricerca di tracce sospette all’interno del nostro WordPress, fruga nel database, controlla temi e plugin e ci riporta un elenco degli indizi scovati. Attenzione: a quel punto sta a noi andare a rimuovere finte immagini, file compromessi ecc… ma almeno abbiamo una “mappa” dei punti sensibili.

Il plugin è ancora alla versione 0.1 e potrà di certo migliorare diventando ancora più efficace e “user friendly” ma già ora rende semplice e veloce il processo di verifica anche se, lo sottolineo, non è detto che il plugin possa individuare ogni attacco nè che tutto ciò che il plugin vi segnala sia necessariamente malevolo; diciamo che è un primo aiuto.

Si tratta davvero di una manna per tutti: io stesso ho scoperto backdoor su blog di cui mi fidavo quasi ciecamente.

Ma cosa fare se scopriamo di essere stati “infettati”? Correte a leggervi Il tuo WordPress è stato compromesso? pubblicato da Wolly su WordPress Italy e, con calma e senza panico, mettetevi al lavoro…

Un ultimo consiglio: verificate attentamente che tra gli utenti del Blog non ci siano “amministratori” indesiderati: la cosa migliore è controllare la tabella wp_user del database perchè quasi sempre non compaiono nell’elenco della bacheca di WP. Se trovate utenti imprevisti non fatevi scrupoli: eliminateli!

…di alcuni miei blog vi ho già detto… a voi come è andata? trovato qualche traccia di troppo?

La Guida alla sicurezza di WordPress è un agile pdf di circa 15 pagine realizzato da BlogSecurity.net e tradotto da Flavio Copes che vi accompagna ad analizzare i possibili punti deboli della vostra installazione e vi suggerisce come correggerli.

Certo, si va un po’ sul difficile, ma la guida è utile anche per questo. Illustra aspetti del vostro server, database e installazione di WordPress che difficilmente conoscereste.

Sulla guida si parla di:

• Cambiare il prefisso delle tabelle di WordPress
• Il plugin WP Prefix Table Changer
• Preparare il blog
• Cambiare lo username di Admin
• Creare un nuovo utente con permessi limitati
• Rendere più sicura l’installazione WordPress
• Limitare l’accesso alle cartelle wp-content e wp-includes
• Limitare l’accesso a wp-admin
• Bloccare tutti ad eccezione del vostro indirizzo IP
• Richiedere l’uso della password http: .htpasswd
• Spam
• Accesso al blog via ssl
• Plugin chiave
• Rimuovere la versione di WordPress
• Disabilitare la visualizzazione degli errori di WordPress
• WPISD – Intercettare le intrusioni
• WordPress Plugin Tracker
• WordPress Online Security Scanner

Ricordate sempre che la via maestra per la sicurezza di WordPress è aggiornare alle versioni più recenti non appena viene segnalato un bug importante!

Per quanto riguarda la guida, personalmente ritengo che alcuni accorgimenti siano superflui, altri inutili, ma molti mi sembrano davvero interessanti, che ve ne pare?

link: Guida alla sicurezza di WordPress

Con l’ultima versione infatti era possibile ad un utente registrato forzare il sistema e modificare qualunque post del vostro blog.

Per qualunque informazione aggiuntiva e soprattutto per scaricare l’aggiornamento vi consiglio di andare come sempre su WordPress Italia

Per quanto mi riguarda corro ad aggiornare i miei numerosi “cantieri aperti” in giro per il mondo

WordPress 2.3.2 è un aggiornamento di sicurezza urgente ed importante, corregge un bug relativo ai vostri post in bozza, inoltre elimina alcuni messaggi di errore che potevano esporre la struttura del vostro database più altre cosette.

E’ disponibile anche un pacchetto di aggiornamento con i soli file modificati, sempre in italiano…

Per ogni informazione in più vi raccomando la lettura dei post su WordPress Italy: WordPress 2.3.2 rilasciato e WordPress 2.3.2 in italiano