Archivio Tag: Sicurezza WordPress

Ancora un aggiornamento di sicurezza per WordPress (aggiornato)

È stata da poco resa disponibile la versione 3.0.2 in italiano di WordPress (la versione nativa in inglese è uscita una settimana prima), ecco che per il nostro CMS preferito è richiesto un altro aggiornamento di sicurezza.

Le problematiche riguardano la funzionalità di pubblicazione remota, che potrebbe in talune occasioni permettere ad alcuni utenti di pubblicare, modificare o cancellare dei post impropriamente.

In attesa che esca la versione localizzata di questo ultimo aggiornamento, per pararsi il di dietro basta disabilitare temporaneamente, qualora fossero attivate, le funzionalità di pubblicazione remota nel controllo Impostazioni >  Scrittura

I file toccati da questo aggiornamento sono:

wp-includes/version.php
xmlrpc.php
readme.html
wp-admin/includes/update-core.php

Aggiornamento: questa volta i (bravi) ragazzi della localizzazione italiana sono stati particolarmente celeri, e da stamattina è già possibile aggiornare anche WordPress nella lingua di Dante.

WordPress 3.0.2 risolve problemi di sicurezza (update: anche in italiano)

Una nuova release di WordPress, il nostro CMS preferito, è disponibile per il download ed anche tramite aggiornamento automatico.
Questo aggiornamento è definito come aggiornamento di sicurezza, nessuna modifica funzionale o estetica, consigliabile quindi  effettuare l’aggiornamento con celerità.

Al momento tramite l’aggiornamento automatico di WordPress è disponibile solo la versione in inglese, per le versioni localizzate c’è da aspettare (motivo per cui converrebbe sempre installare WordPress nella versione originale anglosassone).

Aggiornamento: a distanza di una settimana è comparso anche l’aggiornamento localizzato per la versione italiana di WordPress.

WordPress in sicurezza: un plugin per limitare l’accesso agli amministratori del blog tramite controllo IP

WordPress e Sicurezza

Tra le tante possibilità per mettere in sicurezza un’installazione di WordPress ho trovato interessate un plugin, WP Login Security di Joshua Scott, che permette di limitare il login agli utenti amministratori solo da IP conosciuti, una sorta di whitelist per gli amministratori del blog basata sul controllo dell’indirizzo IP di provenienza.

Naturalmente questo plugin torna utile quando l’amministratore del blog dispone di un IP statico.

Non è l’unico plugin del genere, ed è pure un po’ “acerbo” come versione se vogliamo, ma mi è piaciuto per la semplicità.

WordPress in sicurezza: cambiare il prefisso delle tabelle del database

Quello dei prefissi delle tabelle del database di WordPress è uno dei punti fondamentali della sicurezza di WordPress, stando a quanto si legge in giro. WordPress di default applica alle sue tabelle il prefisso “wp_”, ed è consigliabile cambiarlo in qualcosa di meno riconoscibile, una stringa a casaccio e complicata tipo “ehd045s_”. Questo dovrebbe aumentare la sicurezza del beneamato blog in caso di attacchi malevoli di vario tipo, soprattutto SQL injection.

WordPress prima installazione

Sapendolo prima è tutto molto facile, prima di procedere con l’installazione vera e propria del CMS basta impostare il valore desiderato nel file di configurazione di WordPress, wp-config.php.

Per farlo si modifica la riga:

$table_prefix  = 'wp_';

in

$table_prefix  = 'ehd045s_';

Tutto fatto, lo script di installazione è istruito a dovere e le tabelle assumeranno il prefisso desiderato, e non ci si deve più preoccupare.

WordPress già installato

In questo caso la faccenda si complica, bisogna intervenire su un database già formato e magari zeppo di dati, qualsiasi errore e il beneamato blog diventa una poltiglia inutilizzabile.

Prima di qualsiasi intervento su un database in uso, è indispensabile fare un backup del database! Poi non venite a piangere se succede qualcosa…
Fatto il backup del database, vediamo come si procede alla rinomina dei prefissi delle tabelle. Continua a Leggere →

WordPress in sicurezza: proteggere la configurazione

SicurezzaQualcuno mi disse che essere fanatici della sicurezza è tempo perso. Per certi versi è vero, o si è dei geni dell’informatica oppure la sicurezza è quasi un eufemismo. Qualcosina però possiamo fare nel nostro piccolo, come ad esempio proteggere da occhi indiscreti il file di configurazione di WordPress, wp-config.php, dove sono ricavabili informazioni delicate, come l’utente e la password del database.

Non c’è nulla di sicuro, fatto salvo forse una mezza manciata di certezze esistenziali, comunque discutibile. I server web in particolare non sono sicuri, possono esserlo in modo ragionevole a seconda di chi li mantiene.
Non preoccupiamoci dei server, almeno in questa fase, diamo per scontato che il nostro amato blog risieda su una piattaforma più sicura possibile, gestita da un amministratore di sistema consapevole e premuroso, preoccupiamoci solo della nostra installazione di WordPress.

WordPress è un CMS molto diffuso e apprezzato, condizione che però riguarda anche chi cerca di violarlo per far danni o per puro (misero) divertimento. È una legge ben nota dell’informatica: più un prodotto è noto, sistema operativo o software  che sia, più sono gli hacker che cercano di scoprirne le vulnerabilità, maggiori sono i rischi che queste scoperte si trasformino in tentativi di violazione. Anche casuali, così per il gusto di farlo…

Personalmente non ho mai avuto grossi problemi di sicurezza con WordPress (sgrat sgrat!). Di tanto in tanto leggo di qualche falla, risolta in tempi tutto sommato rapidi, ed il più delle volte quando ne sono venuto a conoscenza avevo già aggiornato WordPress alla versione successiva, in cui la falla è stata tappata.

Però è sempre bene fare il possibile affinché la nostra installazione sia il più sicura possibile, si tratta di poche cose da applicare facilmente, come i permessi alle cartelle, il prefisso delle tabelle del database, l’uso di password difficili etcetera etcetera…

Volendo fare i precisini possiamo cercare di proteggere il nostro file di configurazione, wp-config.php, affinché sia maggiormente distante da occhi discreti.
Il file in questione è già abbastanza protetto di suo, difficile che qualcuno riesca a guardarci dentro, ma se proprio vogliamo darci un’ora di sonno tranquilla in più possiamo barricarlo grazie ai permessi del server web.
Ecco come fare. Continua a Leggere →

Ciao, come posso aiutarti?
Powered by