WordPress 2.8.6. O actualizare ce rezolvă două probleme
N-am avut intenţia să public un articol în această zi de vineri 13, dar de bine ce încercam să termin materialul aflat în lucru, am fost anunţat că o nouă actualizare pentru Wordpress este disponibilă. Wordpress 2.8.6, căci despre el este vorba, rezolvă două probleme:
- o vulnerabilitate XSS (în traducere Cross-site scripting);
- 2. o problemă legată de numele fişierelor urcate, ce putea fi exploatată în unele configuraţii ale server-ului Apache.
http://wordpress.org/development/2009/11/wordpress-2-8-6-security-release/
Asta ar fi pe scurt. Şi tot pentru că nu sunt într-o dispoziţie care să mă îmbie la scris, nu voi mai insista asupra necesităţii de face update. Am vorbit despre acest lucru în articolul trecut, unde vă spuneam că actualizarea WordPress-ului este o necesitate prost înţeleasă.
Altceva mai vreau să să spun. Ştiţi la scurt timp după actualizarea la WordPress 2.8.5, cei care care folosesc această platformă au fost anunţaţi de existenţa unui nou update, de data aceasta, la versiunea… 2.8.5. Imediat au apărut bancurile şi comentariile şugubeţe, asta chiar dacă nu era nimic de râs. Am explicat la vremea aceea pe Twitter, iar acum profit de ocazia ivită, pentru a face acelaşi lucru.
Ce s-a întâmplat ? A apărut varianta localizată în limba română a instalării pentru Wordpress, cea care include traducerea interfeţei de administrare, dar şi a fişierelor folosite în timpul procesului de instalare. Este, dacă acceptaţi exprimarea, o extensie a traducerii şi, sper, un prim pas spre asigurarea suportului tehnic în limba română.
WordPress… în română
Cine a avut curiozitatea să instaleze versiunea localizată, a observat că era vorba de o arhivă: wordpress-2.8.5-ro_RO.zip, diferită de ce se descărcase câteva zile mai devreme: wordpress-2.8.5.zip.
Şi ce legătură are cu actualizarea la Wordpress 2.8.6 ?
Simplu. Ce aveţi disponibil la această oră este versiunea internaţională, cea standard (wordpress-2.8.6.zip) şi dacă faceţi actualizarea cât mai curând posibil (aşa cum este recomandat), este foarte probabil ca după doar câteva ore, cel mult zile, să vi se ofere o nouă actualizare: wordpress-2.8.6-ro_RO.zip. Aţi înţeles. Discutăm despre versiunea localizată.
Tot în articolul trecut v-am vorbit despre pluginul WordPress Exploit Scanner. Ei bine, şi acesta înregistrează un progres destul de rapid, astăzi fiind lansată versiunea 0.7. Faţă de ce au oferite primele versiuni 0.5 şi 0.6, de această dată, vulnerabilităţile sunt mult mai bine subliniate. Iar dacă aveţi timp să faceţi o scanare, veţi vedea că principalul risc pentru securitatea platformei Wordpress este dat de pluginurile folosite. Unele dintre modifică baza de date (alterând tabele), altele introduc script-uri java, şi odată compromise, s-a dus şi restul instalării.
S-a rezolvat şi problema „consumului de resurse”, pluginul acceptând de acum, setarea memoriei RAM disponibile. Vedeţi să corespundă cu cifrele din wp-settings.php.
WordPress Exploit Scanner m-a convins să-mi dezinstalez un plugin mai vechi (Cforms II) şi să renunţ la instalarea altuia (n.r. WP Ajax Edit Comments).
WordPress Exploit Scanner. Casetă tehnică
Denumire plugin: WordPress Exploit Scanner
Autor: donncha, duck_, ryan, azaozz
Pagina Wordpress: http://wordpress.org/extend/plugins/exploit-scanner/
Pagina oficială: http://ocaoimh.ie/exploit-scanner/
Versiune existentă: 0.7
Tot la capitolul plugin-uri de securitate, aş mai aminti de WP Security Scan al lui Michael Torbert, care spre deosebire de ce v-am prezentat anterior, nu doar avertizează, ci şi remediază. WP Security Scan „vă trage de mânecă” dacă permisiunile (chmod) nu sunt setate corespunzător, dacă baza de date foloseşte prefixul „clasic” wp_, sau dacă parola aleasă de voi este una „slabă”. Am vorbit despre cum trebuie să parolă sigură şi, dacă aveţi răbdare, vă invit să parcurgeţi măcar câteva din materialele secţiunii Parolare şi criptare.
În plus, plugin-ul WP Security Scan ascunde, atât afişarea versiunii Wordpress folosite (asta nu înseamnă că sunteţi scutiţi de update), cât şi mesajele de eroare generate de baza de date. Ediţiile viitoare promit şi alte îmbunătăţiri, precum un test XSS (adică exact pentru testarea vulnerabilităţilor de Cross-site scripting), înregistrarea încercărilor incorecte de logare (ce face acum Login LockDown), enumerarea utilizatorilor înregistraţi (se poate folosi pe moment WordPress Exploit Scanner) sau verificarea fişierului .htaccess.
WP Security Scan. Casetă tehnică
Denumire plugin: WP Security Scan
Autor: Michael Torbert
Pagina Wordpress: http://wordpress.org/extend/plugins/wp-security-scan/
Pagina oficială: http://semperfiwebdesign.com/plugins/wp-security-scan/
Versiune existentă: 2.7.1.1
În loc de încheiere…
Vreau să atrag atenţia celor mai puţin familiarizaţi cu gestionarea unui site web, că Wordpress-ul a devenit o ţintă predilectă a atacatorilor. E un fel de Internet Explorer 6 sau 7. Fără a fi maliţios se vede cu ochiul liber, ritmul accentuat în care au început să fie produse aceste update-uri, şi cu toate acestea, în fiecare zi, alte site-uri se adaugă pe lista victimelor. Mă simt uneori de parcă aş comenta un meci de fotbal şi v-aş minţi spunându-vă, că odată actualizarea făcută, sunteţi COMPLET în siguranţă. Nici pomeneală.
Cea mai bună metodă de protecţie rămâne backup-ul… şi mersul la biserică.
Multumesc pentru informatii. Si data trecuta am aflat tot de la tine (via Twitter) de update-ul 2.8.5!
Am vazut si eu dimineata in dashboard invitatia la update. Apoi am citit pe siteul oficial la ce ajuta. Citez: “2.8.6 fixes two security problems that can be exploited by registered, logged in users who have posting privileges”.
Deci daca ai un blog unde scrii doar tu, si nu ai alti utilizatori inregistrati, updateul e inutil.
Asa ca mi-am vazut mai departe de treaba.
Salut
@Andrei Dutu
Ştii cum ar suna invitaţia lui Blaise Pascal la actualizarea Wordpress-ului: „E mai bine să crezi că acest update te va ajuta decât să nu crezi, deoarece dacă într-adevăr era important şi nu ai actualizat, rişti să ai probleme, în schimb dacă update-ul nu era important, dar totuşi l-ai făcut, nu ai pierdut nimic”.
@Geeo
Am ajuns să „păzesc versiunile de Wordpress”. Keeper of the Seven Keys scrie pe mine. În plus, chiar dacă aceste materiale (mi-e greu să le numesc articole) pot să pară uşor puerile, de fiecare am încercat să explic cititorilor de ce este important un update şi care sunt mijloacele suplimentare de protecţie. Actualizarea, instalarea acestor update-uri (fie că discutăm despre antivirus, Windows, suite office sau Wordpress) trebuie să fie un act reflex şi nu o corvoadă.
Si timpul e imortant. Si daca il pierzi, cu greu il mai recuperezi.
Eu nici macar nu am stat pe ganduri si am dat update la platforma.Nu stii ce vulnerabilitate rezolva concret, recunosc am fost cam lenes si nu am cautat… :”>
Buna!
De cateva luni mi-am dezinstalat plugin-ul WP Ajax Edit Comments, dar inca n-am renuntat la Cforms II. E un formular de contact mai bine facut si mai cimplex decat alte plugin-uri care fac acelasi lucru, nu stiu daca e si mai bun. Am continuat sa-l folosesc pt ca imi place cum arata si cum functioneaza. Ce puncte slabe are? De ce ar trebui sa renunt la acest plugin?
Multumesc!
Salut
Nu spun că ar trebui să renunţi la un plugin anume, fie el Cforms sau altul. Eu l-am dezactivat (cel puţin temporar), după ce am văzut scanarea cu Exploit Scanner şi până mă mai documentez. Cforms II este un plugin complex, despre care chiar spuneam într-un articol dedicat plugin-urilor pentru Wordpress pe care le folosesc că a-l reduce la simplul statut de formular de contact, ar însemna să-i fac o nedreptate, însă s-ar putea să fie prea mult pentru a ce am nevoie şi spun acest lucru raportându-mă la cele 3-4 mesaje într-o lună, venite pe contact rapid.
Inteleg… multumesc pentru raspuns! Ai dreptate, nu se prea justifica folosirea unui plugin atat de complex ca formular de contact, sunt solutii mai simple care fac aceeasi treaba. Suspect mi se pare si faptul ca Cforms II a fost scos de pe wordpress.org. Deocamdata nu-l dezactivez, dar voi cauta si alte solutii pt formularul de contact.