Approfondimenti e Strategie di Web Marketing

Archivio per la tag 'wordpress 2.2'

WordPress 2.2: nuova release, nuova vulnerabilità

Rilasciata da un paio di settimane, la release 2.2 di wordpress è affetta da una nuova vulnerabilità del tipo SQL Injection e inerente il file xmlrpc.php.

La severità del problema non è grave come la falla inerente wordpress 2.1.3. Questo perchè, per poter sfruttare la vulnerabilità e quindi ricavare l’hash delle password di tutti gli utenti registrati al blog (admin compreso), l’attaccante dovrà essere registrato al blog ed avere almeno il ruolo di “Subscriber” (ruolo di default assegnato agli utenti registrati).

La falla si risolve semplicemente sostituendo nel file xmlrpc.php la riga

$max_results = $args[4];
con
$max_results = (int) $args[4];

Quindi se permetti ai tuoi lettori di registrarsi al blog, il consiglio è quello di fare questa piccola modifica al codice.

Grazie ad Agerry per la segnalazione. Post su Blogsecurity. Exploit.

Aggiornamento a WordPress 2.2 e problemi di sicurezza in WordPress 2.1.3

Dopo undici giorni dal rilascio di WordPress 2.2, mi sono deciso ad aggiornare il blog alla nuova release. Stavo aspettando ad aggiornarlo perchè non è stata ancora rilasciata da Worspress Italia la localizzazione in italiano di WP 2.2.

I motivi che mi hanno spinto ad aggiornare WP dalla versione 2.1.3 alla 2.2, anche in assenza della localizzazione in italiano, sono dovuti principalmente ad un paio di bachi che compromettevano la sicurezza del Blog.

Il primo dei bachi, riguarda Akisket, plugin per bloccare lo spam. Il secondo baco, molto più pericoloso del primo, riguarda una falla nel file “admin-ajax.php” che è possibile sfruttare con la tecnica SQL injection. Per quest’ultimo baco, circola da qualche giorno un exploit (che per ovvie ragioni non linko) che potrebbe far ricavare al vostro aggressore la password di admin della vostra utenza.

Quindi, prima aggiornate meglio è!

Nota: K2 sembrerebbe funzionare correttamente con la sua gestione dei widgets. Per fare questo ho utilizzatto il plugin Disable WordPress Pugin. Senza questo pugin, la gestione dei widgets sarebbe demandata al core di WP.

Disabilitare gli Widgets di WordPress 2.2 e utilizzare i moduli di K2

Con il rilascio di WordPress 2.2, una delle maggiori novità riguarda l’inclusione dei widgets direttamente nel core di wordpress. Se utilizzi il tema K2 e vuoi continuare ad utilizzare la gestione dei widgets tramite il tema K2, questo plugin ti sarà utile.

[php]

[/php]

Scarica Disable WordPress Widgets, copialo nella directory plugin e attivalo.