Qualche giorno fa vi ho parlato di un attacco ricevuto da un mio amico sul suo sito creato utilizzando l’ultima versione di wordpress disponibile in questo momento (2.9.2). Potete trovare l’articolo qui.
Nell’articolo inserisco anche il metodo provvisorio che si può utilizzare per evitare questa tipologia di attacchi… il metodo è stato direttamente ripreso dal sito del mio amico clshack.
Logicamente ho ringraziato cls che però mi ha detto che questo espediente funziona solo se l’attacco viene effettuato sulle pagine del sito (quelle caricate tramite il template) perché appunto si va a inserire il controllo nell’header del template.
Allora ho pensato… e se inseriamo il controllo all’interno di un plugin? Leggi il resto…

Be Sociable, Share!

• 

Già da ieri il mio amico clshack aveva pubblicato un articolo tramite il quale ci informava che la sua installazione di wp 2.9.2 era stata attaccata da uno spiderbot che tramite una falla dell’ultima versione di wp (ancora non si sà molto in merito) era riuscito ad inniettare del codice all’interno del file wp-config.php che provocava il redirect del visitatore verso un altro sito.
Oggi tramite un nuovo articolo che potete trovare qui fa luce sul meccanismo utilizzato durante l’attacco e per nostra fortuna ci suggerisce un workaround per impedire che anche il nostro sito venga bucato tramite questo espediente. Ripropongo lo snippet di codice qui per comodità ma vi suggerisco di leggere l’articolo di clshack che è molto più esaustivo. Leggi il resto…

Be Sociable, Share!

• 

Non so voi ma io ho ormai fatto cosi tante modifiche al mio template di wordpress che possiamo considerarlo quasi un piccolo frankstein! (: Una delle prima difficoltà che si incontrano quando si comincia a modificare un tema wordpress in modo “non banale” diciamo è quella di eseguire porzioni diverse di codice in base alla pagina che viene caricata.
Voi mi direte: “E’ si chissà ora che cavolo ci cacci fuori quando so anni che esistono i template di pagina su wp!”. Già ma se bisogna modificare una parte dell’header che di solito viene richiamato in tutti i template? Che? creiamo un header statico della pagina interessata? non penso sia una valida alternativa…. addio modulazione! No no!.
La soluzione più semplice quando si usano i permalink di wordpress (se non si usano i permalink si può richiamare o catturare in get l’id) è quella di controllare lo slug di pagina e comportarci in base a quest’ultimo. Leggi il resto…

Be Sociable, Share!

• 

Poco tempo fa in questo articolo vi ho parlato di un plugin di nome subscribe to comments che ci permette di automatizzare l’invio di email verso le persone che si iscrivono a un articolo per informarli che sono presenti dei nuovi commenti.
Questo meccanismo ha dalla sua parte il pro di riportare molti visitatori presso il nostro sito ma ha diversi aspetti negativi che non sempre si vanno a considerare:

1) In Primis va a utilizzare il database creando delle liste degli utenti interessati a un dato articolo e le loro relative email. L’immagazzinamento non crea troppo spreco di risorse ma molti utenti vedono a male occhio il salvataggio dei propri indirizzi email su un database (La mia esperienza di oltre 10 anni di utilizzo di un account email vi può confermare che molte email di spam possono giungere tramite questi apparenti innocui meccanismi di recupero email).

2) Quando si ha un sito su un hosting economico come un hosting condiviso le politiche del gestore sono molto restrittive. Non è raro vedere configurato dal proprio hoster un timeout di esecuzione php di poche decine di secondi. Ciò significa che se un qualsiasi script php supera questa soglia la sua esecuzione verrà automaticamente bloccata. Cosa potrebbe succedere quindi quando utilizzando un meccanismo di invio email molte persone s iscrivono allo stesso articolo? Semplicemente l’invio delle email potrebbe bloccarsi in un dato istante e non tutti riceverebbero l’email di notifica… Leggi il resto…

Be Sociable, Share!

• 

Ebbene si anche quest’anno è volato via! I 365 giorni ci sono scivolati via delle mani come granelli di sabbia ma non abbattetevi! Un nuovo anno sta per cominciare e insieme a lui arrivano anche alcuni miei consigli che spero vi aiuteranno ad aumentare le visite presso i vostri siti/blog wordpress (alcuni consigli possono essere adottati anche se si utilizza una piattaforma diversa da wp). Voglio precisare che non sono i soliti consigli buttati giù tanto per scrivere l’ultimo articolo dell’anno ma sono stati adottati da me su questo sito e ho riscontato un aumento di viste del 30-40%! (non male vero? :D).
Ovviamente non dovete aspettarvi che dopo aver adottato tutti gli accorgimenti presenti nell’articolo i visitatori vi sbuchino fuori da tutti i “pizzi” ma la lettura e la messa in atto di quello che andrò a descrivervi è senz’altro una buona base iniziale di lavoro che può essere via via migliorata grazie all’esperienza. Allora cominciamo!. Leggi il resto…

Be Sociable, Share!

• 

Durante l’upgrade alla nuova versione di wordpress mi sono imbattuto in questo interessante plugin. Cerca nei file presenti sul vostro sito web, negli articoli e nei commenti delle tabelle del database eventuali voci o codici sospetti, inoltre, verifica i plugin installati alla ricerca nomi di file inusuali, nel caso abbiate il sospetto che il vostro sito sia stato compromesso usare questo plugin per una prima analisi è una buona idea. Ci restituisce anche un prospetto di tutti gli utenti con permessi amministrativi per capire se è stato aggiunto a nostra insaputa un nuovo admin. Leggi il resto…

Be Sociable, Share!

• 

Salve a tutti ragazzi! Continua il mio lungo viaggio verso gli accorgimenti di security per quanto riguarda WordPress. Una delle cose più importanti che non dobbiamo dimenticare quando cerchiamo di mettere in sicurezza un blog realizzato con wordpress (ma questo vale anche per qualsiasi altro sito/applicazione web) e che la sicurezza stessa viaggia di pari passo con l’oscuramento di informazioni. Sappiamo tutti benissimo che se un attaccante vuole “bucare” il nostro sito è solo questione di tempo perché prima o poi ci riuscirà e tale lasso di tempo dipende principalmente da due variabili: Leggi il resto…

Be Sociable, Share!

• 

L’account Admin è l’account che viene creato automaticamente durante l’installazione del nostro wordpress. Come sappiamo questo utente può tutto: modificate ongi singolo articolo all’interno del blog fino a cancellare il blog stesso!. E’ buona norma quindi proteggere questo account con una password molto robusta!. Uno dei problemi di questo account è però la visibilità che ha all’esterno… mi spiego meglio: un qualsiasi malintenzionato che vuole attaccare il vostro sito sviluppato con wordpress sa che deve acquisire l’accesso tramite l’utente admin per poter liberamente manipolare il vostro sito. Perchè rendergli la vita cosi facile allora? Come si può complicargli un pò il lavoro da fare? Ma molto semplice! Eliminando l’account Admin!. Leggi il resto…

Be Sociable, Share!

• 

Bene, qualche settimana fa gironzolavo per la rete mentre finivo di cercare del materiale quando un pò per caso un pò per fortuna mi imbatto in questo plugin per wordpress: wp-security-scan. Leggo la descrizione “Perform security scan of WordPress installation.” e senza pensarci nemmeno due volte lo piazzo sopra la mia installazione di wordpress. Comincio a leggere le istruzioni di installazione è già qui la cosa mi comincia a puzzare:
1. Create backup. (che un backup dell’intero sito per installa un plugin!?).
2. Upload the zip file to the /wp-content/plugins/ directory (e fin qua ci stiamo).
3. Unzip. (si certo perchè io faccio l’upload del file zippato…)
4. Activate the plugin through the ‘Plugins’ menu in WordPress (grazie al ca**o).

Una volta attivato mi compare un nuovo menu “security” all’interno del pannello admin con molte voci e clicco sulla prima che mi fa una rapida scansione dello status del mio sito tutto ok con un bel testo verde fino alla voce di un rosso esagerato “Your table prefix should not be wp_. Click here to change it.”. Leggi il resto…

Be Sociable, Share!

• 

Girovagando nella rete mi sono imbattuto in un’interessante estensione per Dreamweaver che permette di creare e/o modificare in modo facile e snello temi per wordpress, questa estensione si chiama themedreamer ed è molto utile per chi maneggia molto con il codice.
Questa estensione ingloba tutte le api di wordpress e ne permette quindi l’utilizzo anche senza avere wordpress effettivamente installato e non è necessaria neanche una connessione permanente durante l’utilizzo. Inoltre quando vengono aperti file come index.php l’estensione si preoccupa di aprire e includere tutti i file che vengono inglusi come l’header e le sidebar in modo da ricreare un ambiente WYSIWYG. I cambiamenti come nell’html e css vengono elaborati istantaneamente cosi da poter avere immediatamente un riscontro visivo del lavoro.
In definitiva una bella estensione peccato però che sia a pagamento ma se si crea un tema con questa estensione non comprando un tema premium o si creano temi per venderli può essere un buon investimento.

Be Sociable, Share!

•