Upyou.it The Blog

Il plugin Login Lockdown serve per ridurre le possibilità di attacchi di tipo bruteforce agli account del vostro blog. In pratica quello che fa il plugin è di limitare i possibili tentativi di login con lo stesso nome utente e imporre un blocco dell’indirizzo IP se il numero di tentativi di login falliti in un certo lasso di tempo supera un valore impostato. Di default l’IP viene bloccato dopo 3 tentativi falliti in 5 minuti.

Continue

Piccolo aggiornamento per WordPress rilasciato da qualche ora.

Note di aggiornamento qui.

Correte ad aggiornare la vostra piattaforma.

Dopo aver cercato di capire se il problema dei pingback non ricevuti potesse essere relativo ad un file .htaccess troppo restrittivo e aver visto che così non era mi sono messo al lavoro e con un po’ di buona volontà e tanto, tantissimo debug, sono giunto alla conclusione che il problema stava nel plugin OpenID per WordPress. Una volta disattivato il problema è stato subito risolto.

Per chi volesse approfondire la versione da noi usata di WordPress è la 2.8.2 ( l’ultima disponibile ) mentre quella di OpenID è la 3.2.3 ( anche questa l’ultima disponibile ). Come si può vedere anche dalla pagina dedicata del plugin l’ultima versione indicata come compatibile è la 2.7, fattore che già di per se dovrebbe far pensare a possibili problemi con la versione più recente della piattaforma di blogging.

Continue

E è stato da poco rilasciato un minor update per WordPress, più precisamente la versione 2.8.2 che fixa una vulnerabilità di tipo XSS.

Tutti i dettagli dell’aggiornamento li trovate sul blog di sviluppo di WordPress.

L’aggiornamento è caldamente raccomandato a tutti gli utilizzatori della piattaforma.

Sul sito wordpress.org è stato annunciato, con questo comunicato, il rilascio della prima versione di mantenimento del ramo 2.8 di WordPress. Si tratta di WordPress 2.8.1.

Tale nuova versione risolve i piccoli problemi riscontrati dagli utenti nell’ultima versione tra cui il problema dell’utilizzo eccessivo di memoria da parte della DashBoard ( problema di cui abbiamo parlato qui ) e la vulnerabilità di sicurezza scoperta da Core Security pubblicata qui. Leggo inoltre nel changelog, con dispiacere, che è stata disabilitata la colorazione della sintassi nell’editor interno di temi e plugin per evitare problemi di compatibilità con i browser; speriamo che venga reintrodotta al più presto.

Il mio consiglio è ovviamente quello di aggiornare la piattaforma, a meno che non abbiate qualche plugin fondamentale che non è compatibile con l’ultimo rilascio. In quest’ultimo caso potrebbe interessarvi questo post sul come proteggere la cartella wp-admin di WordPress con una password per evitare di essere vittima di exploit.

NOTA:

Adottare una soluzione di questo tipo potrebbe avere effetti sull’utilizzo del blog da parte dei vostri utenti. Ci sono infatti dei file che vengono richiamati in pagine accessibili normalmente dagli utenti ( come quella di registrazione ) che necessitano di alcuni fogli di stile CSS dalla cartella wp-admin. Tali file non saranno disponibili ai vostri utenti dato che non hanno la password per entrare in wp-admin causando possibili fastidi. Sto provando a cercare soluzioni che siano meno invasive ma non sarà facile

Ho appena visionato una advisory pubblicata da Core Security sulla mailing list Full Disclosure, una delle più importanti mailing list nel mondo della sicurezza informatica. L’advisory in oggetto riguarda alcune vulnerabilità di WordPress 2.8, l’attuale versione stabile che sta per essere sostituita dalla nuova 2.8.1 ( la quale dovrebbe anche risolvere i problemi rilevati da Core Security ).

Continue