Archivio Tag: Sicurezza WordPress

C’è un problema di sicurezza per il tema Bridge

Vulnerabilità tema Bridge per WordPress

Wordfence ed altre fonti segnalano un problema di sicurezza riguardante il tema Bridge, un tema per WordPress molto venduto (oltre 120.000 licenze) e di conseguenza molto utilizzato.

Dato che anche diversi miei clienti utilizzano questo tema, ho pensato fosse cosa buona segnalare il problema.

La vulnerabilità di tipo Open Redirect riguarda la versione 18.2 del tema e 2.01 dei plugin (non è ben chiaro se tocca anche le versioni precedenti ma sembrerebbe di sì), ed è stata risolta con la versione 18.2.1, sempre del tema, e 2.0.2 dei plugin.

Bisogna prima aggiornare il tema, e di conseguenza viene proposto anche l’aggiornamento dei plugin, ma prima di tutto è bene fare un bel backup completo.

WordPress 5.2 e Recovery Mode, tra pochi giorni.

WordPress 5.2 Recovery Mode

Tra le novità che arriveranno con WordPress 5.2, molte delle quali riguardanti l’editor a blocchi Gutenberg, c’è un importante passo avanti sul fronte della sicurezza e della stabilità della piattaforma.

Site Health diventerà una nuova voce nel menù Strumenti, e prevederà un sistema di verifica per le criticità, una sorta di debug direttamente nell’interfaccia di amministrazione di WordPress.

Ci sarà pure il “Recovery Mode”, per gli errori irreversibili causati da temi o plugin. Continua a Leggere →

La rimozione manuale dei malware su WordPress

Eliminare malware e virus da WordPress

Se un sito WordPress viene infestato da un malware, i plugin di sicurezza contro virus e malware eventualmente installati sono compromessi, e soprattutto non più affidabili per cercare di risolvere il problema.

Esistono diversi plugin per la sicurezza di WordPress, il più noto probabilmente è Wordfence.

In genere questi plugin riescono a prevenire diversi tipi di intrusioni, specie quelle che cercano di sfruttare l’imperizia e la leggerezza di certi amministratori di siti, come gli attacchi di tipo brute force.

Il problema è che i malware davvero pericolosi sono quasi sempre un passo avanti, e succede che un sito WordPress viene violato ugualmente, magari per una falla di sicurezza sull’hosting o per l’uso di temi o plugin discutibili, nonostante la presenza di plugin per la sicurezza.

Qui cominciano i guai… Continua a Leggere →

Creare un amministratore temporaneo di WordPress senza password.

Accesso amministratore provvisorio per WordPress

Può succedere che ti venga chiesto di fornire un utente amministratore del tuo sito, magari per una verifica o per assistenza.

Io lo quasi chiedo sempre, ad ogni contatto che mi chiede aiuto, e capisco che fornire utente e password possa suonare per lo meno strano.

Capisco che fornire un accesso amministratore ad un estraneo possa creare qualche difficoltà. Nel mio caso però è spesso indispensabile, per poter guardare “sotto il cofano” delle installazioni ed individuare eventuali problemi.

Puoi fornire le tue credenziali personali di utente amministratore, ma questo lo sconsiglio caldamente.

Oppure puoi creare un utente apposito, ma poi devi ricordarti di cancellarlo.

Devi creare un account provvisorio, inviare utente e password a chi di dovere, aspettare che abbia finito di fare quello che deve fare, quindi cancellare l’account, perché lasciare attivo un utente amministratore, anche se inutilizzato, potrebbe essere molto pericoloso.

Altrimenti, puoi fornire un utente amministratore temporaneo senza password, che si disattiva automaticamente dopo un tempo stabilito. Ecco come fare… Continua a Leggere →

WordPress 4.9.7 importante aggiornamento di sicurezza

WordPress aggiornamento di sicurezza

WordPress è appena stato aggiornato alla versione 4.9.7, allo stesso tempo un aggiornamento di sicurezza e di mantenimento.

In primo luogo risolve un problema di sicurezza di cui si parla da diversi giorni, e solo per questo sarebbe bene aggiornare prima possibile, poi risolve diversi altri bug, meno pericolosi.

Se hai gli aggiornamenti automatici attivi, probabilmente il tuo sito è già aggiornato o lo sarà a breve, altrimenti procedi a farlo da te, ma non prima di aver effettuato un sano backup, che non si sa mai…

Ciao, come posso aiutarti?
Powered by