Ci siamo aggiornati alla versione 2.0.4 di WordPress.
Come al solito NON abbiamo disattivato i plugin e NON abbiamo effettuato un backup del db.
Il secondo comportamento è dovuto all’implementazione di un plugin di backup che già mi spedisce copia del db, quindi non ne avevo bisogno.
Il primo è frutto della mia solita temeraria tempra.
If you are running WordPress as your blogging platform and if you have been trusting enough to leave User registration enabled for guests, DISABLE IT IMMEDIATELY (in wp-admin >> options: make sure “Anyone can register” is not checked).
Additionally, delete or disable ANY guest account already created by people you are not sure about.
Leaving it open and letting people sign-up for guest accounts on your WordPress blog could lead to incredibly nasty stuff happening if anybody so desired. And trust me I am not exaggerating this. So don’t wait a second to disable this option and please relay the message.
Wordpress dev team has been notified a while back and I dare hope they will soon start acting on it, if only by relaying a similar announcement through the official channel (as well as, of course, releasing a proper patch).
Sorry for the shrill hysterical tone, but this is a big deal. However, disable that one option and you are fine, no need to panic further 🙂
[cheers go to Geoff Eby for discovering and bringing this insane security exploit to my attention]
Update: a small follow-up addressing comments and concerns I have received ever since this last warning, is posted here. Feel free to ignore completely unless you really care about inner WordPress politics (yawn).
[Via Dr. Dave]
Questo blog è passato alla versione 2.0.3 di WordPress, in maniera indolore.
L’importante è crederci.
Grazie al lavoro di WordPress Italy, oggi, a distanza di un giorno dal rilascio della versione originale, è uscito WordPress 2.0.2 in italiano. E’ necessario aggiornare a questa versione, dato che è un security fix e quindi vi risolve qualche problema, serio, di sicurezza.
L’aggiornamento non è difficile, basta scaricare lo zip ed estrarlo all’interno della directory radice che ospita i file del blog.
Per chi utilizza Unix due suggerimenti per un aggiornamento assolutamente indolore:
chattr +i wp-config.php
Secondo passo, non dimenticatevi di cambiare l’owner dei file in quello con il quale gira il server web.
Iniziamo a vede con quale utente gira, in questo caso, Apache:
ps -o "%u %c " -C httpd
Che, in pratica, vi fa vedere nella prima colonna il nome dell’utente proprietario del processo e nella seconda il nome del comando lanciato, giusto per una conferma. Con -C httpd vengono selezionati solo quei processi lanciati dal comando httpd.
Ora, sarà sufficiente un
chown -R httpd. *
Per risistemare i diritti di possesso sui file del blog.
L’aggiornamento dalla 2.0.1 non richiede alcuna modifica, nemmeno a livello di database, per cui, basta sovrascrivere i file e il gioco è fatto. Questo è vero a meno che voi abbiate modificato qualche foglio di stile o inserito in qualche php dei tag aggiuntivi.
Comunque, in ogni caso, prima di apportare un qualsiasi aggiornamento, meglio eseguire un backup temporaneo con la data odierna:
export DATA=$(date +%F) && tar cvzf $DATA-blog-backup.tgz blog
Ok, siate contenti, avete eseguito una procedura failsafe, aggiornando il blog alla versione più recente.
E per il database?
O utilizzare mysqldump
export DATA=$(date +%F) && mysqldump -u nome_utente_accesso_db -p nomedb >$DATA-blog-db-backup.sql
Oppure installate WP-DB Backup e vi fate spedire quotidianamente, via email, un backup del db in automatico e vi togliete il pensiero.
Giusto un post temporaneo, che cancellerò nel giro di qualche minuto. Serve per vedere se i feed sono di nuovo a posto. Lavorando sui template ho sovrascritto il file classes.php e quindi, come mi ha giustamente segnalato pOg, il feed degli articoli ha ripreso a rilanciare solo i commenti.
Ne avevo parlato qui:
Non mi ero accorto di avere sovrascritto il file e quindi annullato le modifiche.
Grazie pOg. Pochi commenti, ma utili 😉