Da qualche ora è stato rilasciato WordPress 3.0, conoscendo la piattaforma e avendo testato dalle prime release alpha WP 3, ho deciso di effettuare subito l’upgrade.

Come al solito ho preferito effettuare un aggiornamento manuale di tutti i file non ricorrendo all’upgrade automatico e la procedura si è conclusa senza intoppi. Al momento ho riscontrato solo dei problemi nell’inserimento dei tag nei post non so se la cosa sia dovuta a un conflitto con qualche plugin causati da un conflitto con HeadSpace2. La cosa è risolvibile disattivando i “Tags” dai “Moduli Pagina” di HeadSpace 2.

Anche il template non sembra aver avuto problemi (cosa che avevo già potuto verificare in locale con le precedenti release candidate di WordPress 3.0), nonostante si tratti di un tema ormai abbastanza datato.

Vedrò nelle prossime ore se davvero è tutto ok

Grazie alla segnalazione di Weblogtools Collection ho scoperto iDrive for WordPress, un plugin che permette di effettuare un backup completo di un blog WordPress utilizzando un account iDrive. Per chi non conoscesse iDrive basta dire che si tratta di un’alternativa a Dropbox meno veloce e funzionante soltanto su Windows e Mac.

Tempo fa mi ero inventato un modo (molto artigianale) di fare un backup di un blog WordPress con Dropbox sia su Windows che su Ubuntu, non essendo disponibile alcun plugin per WordPress che consentisse di effettuare una sincronizzazione dei file del blog su Dropbox. Con iDrive for WordPress ho trovato quello che cercavo, anzi meglio sotto certi punti di vista.

Continua a leggere il post »

WordPress non ha integrata la possibilità di calcolare l’md5 dei file di installazione, una funzionalità che, se venisse integrata “built-in”, potrebbe rendere la vita molto più facile a chi voglia effettuare un controllo dell’integrità della propria installazione del blog engine.

L’ideale sarebbe avere una sorta di integrity check in WordPress che attraverso un cron job verifichi periodicamente l’hash md5 dei file e nel caso di variazioni provveda a notificare l’amministratore via mail. Una cosa di questo tipo era stata realizzata con il plugin TTC WordPress Tripwire Tool, purtroppo fermo come compatibilità a WP 2.5.1 e tutto sommato poco preciso e sicuro.

Per questo può essere utile ricorrere a una soluzione manuale che permetta di avere una firma univoca dei file di WordPress tramite hash md5 da verificare a mano in caso si sospetti una compromissione.

Continua a leggere il post »

Come promesso nel precedente post, ecco la procedura da seguire per sincronizzare i file del proprio blog WordPress su Dropbox, utilizzando come “bridge” Linux. Nel caso che sto per descrivere prenderò come esempio Ubuntu 9.10 ma la procedura è facilmente replicabile su qualsiasi distribuzione.

Innanzitutto vediamo gli strumenti di cui avremo bisogno:

1. curlftpfs, un filesystem basato su FUSE che permette di montare uno spazio FTP in una cartella
2. Ovviamente Dropbox installato su Ubuntu

Continua a leggere il post »

Esistono plugin che effettuano periodicamente il backup del database di WordPress ma nessuno che consenta di salvare tutti i file del proprio blog da FTP sincronizzandoli con Dropbox. Cercando in giro ho trovato un solo plugin, Dropbox Sync, non aggiornato alle ultime versioni di WP, che permette di salvare in automatico su Dropbox le immagini caricate in “wp-content”.

Ho deciso quindi di ingegnarmi per trovare una soluzione efficace che mi permetta di risolvere il problema sfruttando Dropbox, di seguito descriverò il metodo che ho utilizzato su Windows. Alla procedura su Linux dedicherò, a breve, un altro post.

Continua a leggere il post »

Lo sviluppo di WordPress 3.0 si sta concentrando in questi giorni sulla gestione dei menu (in modo simile a quanto era possibile con plugin come PageMash) e sul nuovo template di default Twenty Ten 0.7, che consente il cambiamento dell’immagine nell’header dall’amministrazione e la scelta di un’immagine di background.

Ho realizzato un breve screencast che mostra queste novità presenti in WordPress 3.0 alpha:

Lo screencast è stato realizzato con Screenr ed è visualizzabile anche qui.

Da qualche giorno sto facendo delle prove, alla portata di tutti, su alcuni tra i blog tecnici più noti nella blogosfera italiana, il mio obiettivo è stato quello di capire quanta attenzione alla sicurezza del proprio blog ci sia. Mi sono concentrato in particolare sui blog che utilizzano WordPress, e mi è bastato controllare due cose che possono costituire un punto debole sfruttabile da un eventuale attaccante: la presenza del numero di versione di WP e l’accesso non protetto alla pagina di login all’area amministrativa.

Le linee guida pubblicate sulle pagine ufficiali del Codex parlano chiaro in termini di “Hardening di WordPress“, eppure sono puntualmente disattese dai blogger per quanto riguarda i due aspetti che ho preso in esame.

Nessuno dei blog presi in esame rimuove il numero di versione “<meta name=”generator” content=”WordPress 2.X” />”, la cancellazione del numero di versione è un espediente non decisivo per evitare attacchi inferti da cracker esperti ma di sicuro un buon metodo per disorientare “script kiddies” che scarichino ed eseguano exploit, trovando la strada spianata nell’individuazione della versione del bersaglio. In alcuni casi poi, cosa forse ancor più grave, le versioni di WordPress non sono neppure aggiornate…

La seconda carenza in termini di sicurezza, questa volta molto più seria, è la mancanza di un .htaccess nell’area amministrativa (“wp-admin”). In questo caso si lascia la pagina di login “scoperta” e direttamente accessibile ad attacchi di tipo brute force (molto frequenti negli ultimi tempi). Anche in questo caso, i blog presi in esame ignorano la possibilità di un .htaccess a protezione.

Continua a leggere il post »