Aggiornato WordPress alla release 2.9 e prima dimostrazione della feature di “compatibility check” dei plugin

Dicembre 28th, 2009 glycerin

Finalmente ho upgradato il sito web alla fatidica versione 2.9. Ovviamente ho provato a simulare l’upgrade in un ambiente di test per poter controllare che non venga stravolto completamente il sito. Le paure che inizialmente avevo nutrito sono state poi un semplice falso allarme.
Devo rilevare che un plugin, prima funzionante ora non lo è più vista la nuova versione delle release e l’ottimizzazione nell’utilizzo dei plugin con il check della loro compatibilità. L’effetto ben evidente è che il plugiin “Simple Tags” viene segnalato come non compatibile per poi venir disattivato automaticamente.

Posted in Website | No Comments »

Disponibile la versione 2.9 di WordPress

Dicembre 20th, 2009 glycerin

E’ stata rilasciata la versione 2.9 di WordPress nominata Carmen, in onore di Carmen McRae una vocalist jazz, che porta alcuni cambiamenti. Stando al Changelog l’upgrade è facilmente raggiungibile attraverso le “tools options” della Dashboard ma in tutta sincerità farei un test in pre-produzione visto che a questa versione è stato rilasciato una release diversa …. la 2.9. In genere questi cambi corrispondono anche a dei cambi notevoli non solo a livello di codice.
Le novità principali riguardano l’undo feature riguardo alla gestione del…cestino. Ovvero se per caso si cancella un post o un commento di cui ci si pente allora è possibile recuperarlo ripristinandolo.
E’ stato anche inserito un editor grafico per poter manipolare delle immagini.
Un’ulteriore feature utile potrebbe essere la “batch plugin update and compatibility checking” che permette di upgradare 10 plugin alla volta e in più controlla la compatibilità del plugin verso la versione in funzione del WordPress.
Ulteriore feature è la possibilità di includere video … per ulteriori info meglio dare una maggiore occhiata al Changelog ….

Posted in News, Website | No Comments »

Cracking della password di admin di WordPress attraverso attacchi del tipo bruteforce

Novembre 30th, 2009 glycerin

Stando a quanto riportato da The Register, fonte l’istituto Sans.org sono stati ritrovati alcuni script in PHP su di una VPS (Virtual Private Server) con lo scopo di tentare un attacco del tipo Bruteforce verso le utenze di administrator di siti realizzati con Wordpress. L’attacco è di tipo distribuito verso più siti e il risultato del cracking viene memorizzato su di un DB MySQL permettendo all’attaccante di lanciare varie istanze dello script, e ovviamente avere le info in modo immediato su come entrare in un particolare sito con l’utenza di admin.
Come workaround per ovviare a questo problema direi che oltre che cambiare più frequentemente la password di admin, vi siano anche da adottare politiche di limitazione sui tentativi di inserimento password ad esempio utilizzando Fail2Ban o via ipt_recent di IPTABLES e, se possibile, utilizzare delle politiche di filtraggio su IP per la pagina di accesso alla login di administrator.

Posted in Linux, News, Security | 3 Comments »

Aggiornamento di WordPress alla 2.8.6

Novembre 14th, 2009 glycerin

Sono state fixate due vulnerabilità con il rilascio della nuova release di Wordpress, la 2.8.6.
L’update è particolarmente importante per quelle installazioni che permettono, a utenti non trustati, di uploadare contenuti o immagini. Uno dei bug consente la injection e la successiva execute di codice PHP arbitrario sul server. In pratica viene by-passato il meccanismo di sanitizing per evitare l’upload di codice php mascherandolo al seguente modo “vuln.php.jpg” per poi richiamarlo via HTTP facendo una richiesta diretta alla pagina http://vulnerable-wp/wp-content/uploads/2009/14/test-vuln.php.jpg.

Comunque il meccanismo non funziona su tutti i server, è stato notato che sulle configurazioni standard di Apache la richiesta non viene soddisfatta. Solo sui server che hanno installato  cPanel and WebHost Manager (WHM) vi sono le condizioni per la riuscita dell’attacco.

Il secondo fixing riguarda una vulnerabilità del tipo XSS.

Fonte notizia:

• http://www.h-online.com/security/news/item/WordPress-2-8-6-prevents-malicious-code-from-being-uploaded-859597.html
• http://wordpress.org/development/2009/11/wordpress-2-8-6-security-release/

Posted in News, Security | No Comments »

Wordpress 2.7.1

Febbraio 14th, 2009 glycerin

Finalmente sono riuscito ad upgradare il mio blog….ovviamente seguento le giuste precauzioni e consigli del sito per le operazioni di upgrade….http://codex.wordpress.org/Upgrading_WordPress

Posted in News, Website | No Comments »

Disponibile la nuova release di WordPress, la 2.6.3

Ottobre 27th, 2008 glycerin

Disponibile per il download la release 2.6.3 di WordPress. Per chi volesse semplificarsi la vita la cosa è facilmente e ottimamente reggiungibile con il plugin “Wordpress Automatic Upgrade“. Un ottimo plugin che svolge egregiamente il suo lavoro.

Posted in News, Security, Website | No Comments »