wordpress

iDrive, backup remoto di un blog WordPress

di

idrive for wordpress

Grazie alla segnalazione di Weblogtools Collection ho scoperto iDrive for WordPress, un plugin che permette di effettuare un backup completo di un blog WordPress utilizzando un account iDrive. Per chi non conoscesse iDrive basta dire che si tratta di un’alternativa a Dropbox meno veloce e funzionante soltanto su Windows e Mac.

Tempo fa mi ero inventato un modo (molto artigianale) di fare un backup di un blog WordPress con Dropbox sia su Windows che su Ubuntu, non essendo disponibile alcun plugin per WordPress che consentisse di effettuare una sincronizzazione dei file del blog su Dropbox. Con iDrive for WordPress ho trovato quello che cercavo, anzi meglio sotto certi punti di vista.

Leggi tutto

Verificare l’md5 di WordPress per individuare compromissioni

di

WordPress non ha integrata la possibilità di calcolare l’md5 dei file di installazione, una funzionalità che, se venisse integrata “built-in”, potrebbe rendere la vita molto più facile a chi voglia effettuare un controllo dell’integrità della propria installazione del blog engine.

L’ideale sarebbe avere una sorta di integrity check in WordPress che attraverso un cron job verifichi periodicamente l’hash md5 dei file e nel caso di variazioni provveda a notificare l’amministratore via mail. Una cosa di questo tipo era stata realizzata con il plugin TTC WordPress Tripwire Tool, purtroppo fermo come compatibilità a WP 2.5.1 e tutto sommato poco preciso e sicuro.

Per questo può essere utile ricorrere a una soluzione manuale che permetta di avere una firma univoca dei file di WordPress tramite hash md5 da verificare a mano in caso si sospetti una compromissione.

Leggi tutto

Backup di WordPress con Dropbox su Ubuntu

di

Come promesso nel precedente post, ecco la procedura da seguire per sincronizzare i file del proprio blog WordPress su Dropbox, utilizzando come “bridge” Linux. Nel caso che sto per descrivere prenderò come esempio Ubuntu 9.10 ma la procedura è facilmente replicabile su qualsiasi distribuzione.

Innanzitutto vediamo gli strumenti di cui avremo bisogno:

  1. curlftpfs, un filesystem basato su FUSE che permette di montare uno spazio FTP in una cartella
  2. Ovviamente Dropbox installato su Ubuntu

    3. Leggi tutto

Backup di WordPress con Dropbox su Windows

di

Esistono plugin che effettuano periodicamente il backup del database di WordPress ma nessuno che consenta di salvare tutti i file del proprio blog da FTP sincronizzandoli con Dropbox. Cercando in giro ho trovato un solo plugin, Dropbox Sync, non aggiornato alle ultime versioni di WP, che permette di salvare in automatico su Dropbox le immagini caricate in “wp-content”.

Ho deciso quindi di ingegnarmi per trovare una soluzione efficace che mi permetta di risolvere il problema sfruttando Dropbox, di seguito descriverò il metodo che ho utilizzato su Windows. Alla procedura su Linux dedicherò, a breve, un altro post.

Leggi tutto

WordPress 3.0: video della gestione menu e immagine header

di

Lo sviluppo di WordPress 3.0 si sta concentrando in questi giorni sulla gestione dei menu (in modo simile a quanto era possibile con plugin come PageMash) e sul nuovo template di default Twenty Ten 0.7, che consente il cambiamento dell’immagine nell’header dall’amministrazione e la scelta di un’immagine di background.

Ho realizzato un breve screencast che mostra queste novità presenti in WordPress 3.0 alpha:

Lo screencast è stato realizzato con Screenr ed è visualizzabile anche qui.

I blog tecnici non fanno attenzione alla sicurezza?

di

Da qualche giorno sto facendo delle prove, alla portata di tutti, su alcuni tra i blog tecnici più noti nella blogosfera italiana, il mio obiettivo è stato quello di capire quanta attenzione alla sicurezza del proprio blog ci sia. Mi sono concentrato in particolare sui blog che utilizzano WordPress, e mi è bastato controllare due cose che possono costituire un punto debole sfruttabile da un eventuale attaccante: la presenza del numero di versione di WP e l’accesso non protetto alla pagina di login all’area amministrativa.

Le linee guida pubblicate sulle pagine ufficiali del Codex parlano chiaro in termini di “Hardening di WordPress“, eppure sono puntualmente disattese dai blogger per quanto riguarda i due aspetti che ho preso in esame.

Nessuno dei blog presi in esame rimuove il numero di versione “<meta name=”generator” content=”WordPress 2.X” />”, la cancellazione del numero di versione è un espediente non decisivo per evitare attacchi inferti da cracker esperti ma di sicuro un buon metodo per disorientare “script kiddies” che scarichino ed eseguano exploit, trovando la strada spianata nell’individuazione della versione del bersaglio. In alcuni casi poi, cosa forse ancor più grave, le versioni di WordPress non sono neppure aggiornate

La seconda carenza in termini di sicurezza, questa volta molto più seria, è la mancanza di un .htaccess nell’area amministrativa (“wp-admin”). In questo caso si lascia la pagina di login “scoperta” e direttamente accessibile ad attacchi di tipo brute force (molto frequenti negli ultimi tempi). Anche in questo caso, i blog presi in esame ignorano la possibilità di un .htaccess a protezione.

Leggi tutto

WordPress: velocizzare il caricamento delle pagine

di

web optimizer

Da qualche giorno sto cercando di velocizzare il caricamento delle pagine del blog, mi sono accorto che, pur utilizzando un tema minimalista che non fa uso di JavaScript e non ha neppure un’immagine nell’header, i benchmark effettuati con strumenti automatizzati come YSlow e PageSpeed di Google evidenziano una lentezza generale. In particolare PageSpeed mi ha “bacchettato” per non utilizzare la compressione gzip delle pagine e per la mancata ottimizzazione di JavaScript e dei CSS, a suo dire non ridotti all’osso per garantire una sufficiente velocità di caricamento.

Inizialmente ho cercato di porre rimedio selettivamente ai problemi riscontrati, per esempio installando su WordPress il plugin Gzip output per comprimere le pagine, oppure andando a ridurre il peso dei CSS eliminando commenti e righe superflue. Mi sono stancato presto, e sono andato a cercare una soluzione nella directory dei plugin di WP dove ho trovato una soluzione, che credo potrà servire anche ad altri utenti WordPress: Web Optimizer.

Leggi tutto