bufferOverflow

Come promesso nel precedente post, ecco la procedura da seguire per sincronizzare i file del proprio blog WordPress su Dropbox, utilizzando come “bridge” Linux. Nel caso che sto per descrivere prenderò come esempio Ubuntu 9.10 ma la procedura è facilmente replicabile su qualsiasi distribuzione.

Innanzitutto vediamo gli strumenti di cui avremo bisogno:

1. curlftpfs, un filesystem basato su FUSE che permette di montare uno spazio FTP in una cartella
2. Ovviamente Dropbox installato su Ubuntu

Continua a leggere il post »

Esistono plugin che effettuano periodicamente il backup del database di WordPress ma nessuno che consenta di salvare tutti i file del proprio blog da FTP sincronizzandoli con Dropbox. Cercando in giro ho trovato un solo plugin, Dropbox Sync, non aggiornato alle ultime versioni di WP, che permette di salvare in automatico su Dropbox le immagini caricate in “wp-content”.

Ho deciso quindi di ingegnarmi per trovare una soluzione efficace che mi permetta di risolvere il problema sfruttando Dropbox, di seguito descriverò il metodo che ho utilizzato su Windows. Alla procedura su Linux dedicherò, a breve, un altro post.

Continua a leggere il post »

Lo sviluppo di WordPress 3.0 si sta concentrando in questi giorni sulla gestione dei menu (in modo simile a quanto era possibile con plugin come PageMash) e sul nuovo template di default Twenty Ten 0.7, che consente il cambiamento dell’immagine nell’header dall’amministrazione e la scelta di un’immagine di background.

Ho realizzato un breve screencast che mostra queste novità presenti in WordPress 3.0 alpha:

Lo screencast è stato realizzato con Screenr ed è visualizzabile anche qui.

Da qualche giorno sto facendo delle prove, alla portata di tutti, su alcuni tra i blog tecnici più noti nella blogosfera italiana, il mio obiettivo è stato quello di capire quanta attenzione alla sicurezza del proprio blog ci sia. Mi sono concentrato in particolare sui blog che utilizzano WordPress, e mi è bastato controllare due cose che possono costituire un punto debole sfruttabile da un eventuale attaccante: la presenza del numero di versione di WP e l’accesso non protetto alla pagina di login all’area amministrativa.

Le linee guida pubblicate sulle pagine ufficiali del Codex parlano chiaro in termini di “Hardening di WordPress“, eppure sono puntualmente disattese dai blogger per quanto riguarda i due aspetti che ho preso in esame.

Nessuno dei blog presi in esame rimuove il numero di versione “<meta name=”generator” content=”WordPress 2.X” />”, la cancellazione del numero di versione è un espediente non decisivo per evitare attacchi inferti da cracker esperti ma di sicuro un buon metodo per disorientare “script kiddies” che scarichino ed eseguano exploit, trovando la strada spianata nell’individuazione della versione del bersaglio. In alcuni casi poi, cosa forse ancor più grave, le versioni di WordPress non sono neppure aggiornate…

La seconda carenza in termini di sicurezza, questa volta molto più seria, è la mancanza di un .htaccess nell’area amministrativa (“wp-admin”). In questo caso si lascia la pagina di login “scoperta” e direttamente accessibile ad attacchi di tipo brute force (molto frequenti negli ultimi tempi). Anche in questo caso, i blog presi in esame ignorano la possibilità di un .htaccess a protezione.

Continua a leggere il post »

Da qualche giorno sto cercando di velocizzare il caricamento delle pagine del blog, mi sono accorto che, pur utilizzando un tema minimalista che non fa uso di JavaScript e non ha neppure un’immagine nell’header, i benchmark effettuati con strumenti automatizzati come YSlow e PageSpeed di Google evidenziano una lentezza generale. In particolare PageSpeed mi ha “bacchettato” per non utilizzare la compressione gzip delle pagine e per la mancata ottimizzazione di JavaScript e dei CSS, a suo dire non ridotti all’osso per garantire una sufficiente velocità di caricamento.

Inizialmente ho cercato di porre rimedio selettivamente ai problemi riscontrati, per esempio installando su WordPress il plugin Gzip output per comprimere le pagine, oppure andando a ridurre il peso dei CSS eliminando commenti e righe superflue. Mi sono stancato presto, e sono andato a cercare una soluzione nella directory dei plugin di WP dove ho trovato una soluzione, che credo potrà servire anche ad altri utenti WordPress: Web Optimizer.

Continua a leggere il post »

Da qualche giorno sto utilizzando su questo blog WPsyslog2, un plugin per WordPress realizzato dal team di OSSEC, uno tra i più noti intrusion detection open source. WPsyslog2 permette di loggare tutta una serie di eventi (impostabili nelle configurazioni) come ad esempio un login fallito, la cancellazione di un post, la creazione di una nuova regola di URL rewrite.

I report del plugin vengono salvati in una tabella MySQL, consultabile dalla dashboard di WP, ma anche localmente sulla macchina dove il plugin è installato. Nel caso di una macchina Linux, i log vengono inviati al “log server” di default, cioè syslogd (o rsyslogd nel caso di distro aggiornate come Ubuntu 9.10), e salvati in /var/log/syslog o /var/log/messages, in caso ci si trovi su Windows il plugin va a scrivere nell’Event log.

Purtroppo non è stata inclusa la possibilità di inviare i log a un server syslog remoto, cosa che sarebbe stata molto comoda per chi ha il proprio blog su un hosting (e quindi non ha completo accesso ai log della macchina su cui è ospitato il blog né ha controllo sul file /etc/syslogd.conf). L’invio a un demone syslogd remoto è molto utile per chi abbia una macchina Linux (reale o virtualizzata) che si occupi soltanto della raccolta dei log di altri sistemi.

Continua a leggere il post »

Molto spesso le funzionalità di base offerte da WordPress non bastano, soprattutto se si vuole mettere in piedi un blog che abbia funzionalità simili a un vero e proprio CMS. In giro si trovano parecchi post sull’argomento, molti elencano liste di plugin più o meno utili.

Ecco la mia personale lista dei migliori plugin per “trasformare” WordPress in un CMS:

• Exec PHP: plugin indispensabile per includere codice PHP nei post, pagine e nei widget. Utilissimo per sfruttare la versatitilità di PHP in WordPress.
• Role Manager: consente di modificare i privilegi dei ruoli predefiniti di WordPress o creare nuovi ruoli personalizzati secondo le proprie esigenze
• Stealth Publish: consente di pubblicare qualsiasi post senza farlo passare dalla home page, visualizzandolo direttamente nell’archivio per categoria. Il plugin si avvale di un custom field per il suo funzionamento.

Continua a leggere il post »