Arriva la tredicesima major release di WordPress: la 3.0 codename “Thelonious” ( da notare che la vecchia tradizione di dare i nomi in codice riferiti a grandi compositori del mondo jazz non muore mai ).
Molte sono le novità introdotte in questa nuove versione: sia in termini di novità e di sicurezza. Vediamo infatti adottato il nuovo tema di default Twenty Ten, avente nuove API e una maggior facilità di modifica ( header, background, menù, ecc. ) per l’utente.
L’interfaccia inoltre è stata alleggerita e il numeroso team di sviluppo ha risolto 1217 bug e miglioramenti. A questo indirizzo potete consultare il trac.
Per maggiori dettagli potete guardare il video descrittivo di questa nuova versione, realizzato ad hoc.

Il download per ora è disponibile in sola lingua inglese ( come upgrade manuale o automatico dalla dashboard ). L’aggiornamento in lingua italiana non si farà attendere e sarà disponibile in pochi giorni.

Il download è disponibile qua, mentre la notizia ufficiale è reperibile nella sezione di sviluppo del blog di WordPress.

UPDATE 10/07/2010

Da oggi è disponibile la versione in italiano di WordPress 3.0. Tutte le informazioni a riguardo sono disponibili a questa pagina del blog italiano ufficiale. L’opzione di aggiornamento automatico è disponibile già da ora.
Buon Upgrade

Thomas Mackenzie ha allertato il team di sviluppo su una grave falla di sicurezza presente in WordPress 2.9 che permetterebbe ad utenti loggati sulla proprio piattaforma di visionare tutti i post presenti nel cestino. La falla è stata prontamente tappata ed è già disponibile la versione 2.9.2 ( solo in inglese per il momento ).

Per maggiori dettagli potete visionare il post del team di sviluppatori.

Ieri, con la prima release, WordPress ha dato vita ad un nuovo progetto: WordPress for Android. Un’ applicazione open source per sistemi Android ( quindi stiamo parlando di HTC Magic, Samsung Galaxy, HTC Hero, Nexus One, ecc. ). Già disponibile nell’Adroid Market, questa applicazione ci permette di controllare il nostro blog tramite uno smartphone.

La prima release del software permette:

• la gestione di più blog
• la possibilità di moderare e rispondere ai vari commenti
• di creare nuovi post/pagine, gestendo categorie, tags e inserendo immagini
• di ricevere delle notifiche sulla Android notification bar dei nuovi commenti

Chiunque fosse abituato ad usare wpToGo non si troverà davanti a nulla di nuovo. Le due applicazioni infatti sono quasi identiche.

Questo è il sito ufficiale del progetto, mentre nel blog degli sviluppatori potrete tenervi aggiornati sui nuovi sviluppi.

Dopo il rilascio di WordPress 2.9 Carmen avvenuto lo scorso 19 dicembre 2009, oggi il team di sviluppo ha deciso di rilasciare il primo minor update del trunk 2.9. Questa nuova release non introduce sostanzialmente nessuna novità, ne risolver problemi di sicurezza. Secondo il team la versione 2.9.1 avrà il compito di risolvere dei problemi legati ai pingback e allo scheduling dei post su alcuni host.

La notizia ufficiale è reperibile a questo indirizzo. Il consiglio però rimane quello di aggiornare.

L’aggiornamento può essere portato a termine facilmente utilizzando lo strumento di upgrade nella sezione back end degli admin.

L’aggiornamento alla versione 2.9 di WordPress introduce la gestione automatica degli embed, ho deciso quindi di disattivare il plugin Viper’s Video Quicktags, che ha la medesima funzione. Il problema era però quello di modificare i tag usati da questo plugin: [youtube][/youtube] con [ embed][/embed]. Per effettuare questa sostituisce bisogna adottare la mitica funzione find and replace, ma come fare?

Per coloro che non si sentissero a loro agio a destreggiarsi con SQL, consigli l’adozione del plugin Search and Replace.  Io non l’ho provato ma confido sul fatto che funzioni a dovere.

Per cercare e sostituisce in modo manuale è necessario entrare nel panello phpmyadmin ( o altro ) ed eseguire una semplice query.

UPDATE wp_posts SET post_content = REPLACE(post_content, '[youtube]', '');

Mentre questo è l’enunciato esplicativo:

UPDATE [your_table_name] SET [your_table_field] = REPLACE([your_table_field], '[string_to_find]' , '[string_to_be_replaced]');

Potete trovare altre informazione a questo indirizzo della documentazione ufficiale MySQL.

Mi stavo scordando di dire. Se non siete espertissimi vi conviene fare un backup della tabella wp_posts, in modo da non trovarvi in situazioni spiacevoli… molto spiacevoli.

C’è da dire che questa query è davvero versatile, io l’ho usata per modificare due semplici tag, ma potrebbe essere usata in altri mille mila modi. Se ad esempio cambiate l’URL del vostro blog, e volete modificare tutti i vecchi URL presenti sostituendoli con quello nuovo… questa funzione fa decisamente per voi.

Con l’aggiornamento alla versione 2.9 Carmen di WordPress si è persa la compatibilità con alcuni plugin, nel mio con Simple Tags. Plugin che reputo fondamentale per gestire i tags nei vari post. In questi casi solitamente lo sviluppatore o il team risolve il problema mettendo mano al codice e aggiornandolo in modo che sia compatibile con la nuova piattaforma. In questo caso però lo sviluppatore di Simple Tags non si è ancora fatto sentire ( forse perché la risoluzione del problema è talmente banale che non vuole rilasciare una nuova versione del plugin ).

Premetto che la risoluzione del problema è davvero semplice, però occorre mettere mano al codice php del plugin. Di conseguenza dovrete o utilizzare un editor di testo per apporre le varie modifiche o utilizzare l’editor di plugin integrato in WordPress. Aprite il file simple-tags.php e appena sotto i commenti iniziali noterete questi enunciati:

if ( strpos($wp_version, '2.7') !== false || strpos($wp_version, '2.8') !== false ) {
	require(dirname(__FILE__).'/2.7/simple-tags.client.php');
} elseif ( strpos($wp_version, '2.5') !== false || strpos($wp_version, '2.6') !== false ) {
	require(dirname(__FILE__).'/2.5/simple-tags.client.php');
} elseif ( strpos($wp_version, '2.3') !== false ) {
	require(dirname(__FILE__).'/2.3/simple-tags.client.php');
} elseif ( strpos($wp_version, '2.2') !== false || strpos($wp_version, '2.1') !== false || strpos($wp_version, '2.0') !== false ) {
	add_action('admin_notices', 'simple_tagging_warning');
} else {
	add_action('admin_notices', 'simple_tags_warning');
}

Per rendere il plugin accessibile anche alle vecchie installazioni di WordPress lo sviluppatore ho deciso di di adottare una tecnica di questo tipo: se si dispone della versione 2.7 o 2.8 allora carica il file adatto per la versione 2.7, se invece si dispone della versione 2.5 carica il file adatto per la versione 2.5… e così via. Però dando una veloce letta ci si accorge che non è gestito il caso in cui si disponga della versione 2.9, l’ultima arrivata. In questo caso verrà lanciato il seguente enunciato: add_action(‘admin_notices’, ‘simple_tags_warning’); che avverte l’utente che il plugin non è compatibile con la versione corrente della piattaforma WordPress.

Per risolvere il problema basterà modificare la prima riga in questo modo:

if ( strpos($wp_version, '2.7') !== false || strpos($wp_version, '2.8') !== false || strpos($wp_version, '2.9') !== false ) {

Salvate e attivate il plugin. Ora Simple Tags sarà di nuovo compatibile.

Il team di sviluppatori di WordPress ha deciso di farci un bellissimo regalo di natale, rilasciando la nuova major version di WordPress: la 2.9. Questa versione era da tanto attesa in quanto porta con se un nuovo set di funzionalità interessanti.

Il nome in codice di questa versione prende il nome di Carmen in onore di Carmen McRae cantante e compositrice jazz ( come consuetudine “WordPress” ). Passiamo però alle novità concerete di questa 2.9.

• Introduzione della funzione di UNDO e del cestino. Ora sarà possibile ripristinare un post eliminato accidentalmente. Questo però comporta la scomparsa del messaggio di notifica dell’eliminazione dell’articolo ( il famoso: Si sta per cancellare questo articolo ‘Annulla’ per interrompere, ‘OK’ per cancellare ).
• WordPress 2.9 adotterà un editor d’immagini integrato, con questo sarà possibile effettuare un ridimensionamento, rotazione, ribaltamento, ecc…
• Effettuare l’aggiornamento automatico di 10 plugin. Durante la fase di aggiornamento sarà anche controllata la compatibilità dei vari plugin con la piattaforma in modo da evitare il malfunzionamento di quest’ultimi.
• Possibilità di integrare in modo nativo i video dai più comuni servizi di video sharing. Al momento questa è lista di quelli supportati: YouTube, Daily Motion, Blip.tv, Flickr, Hulu, Viddler, Qik, Revision3, Scribd, Google Video, Photobucket, PollDaddy, and WordPress.tv.

Non vi resta quindi che aggiornare al più presto e godere di questi benefici.

Al momento la versione italiana non è ancora disponibile, ma confido che il team di traduzione la renderà disponibile per il download fra poche ore.

La modalità d’aggiornamento è sempre la stessa: Strumenti -> Aggiorna. Buon Update

Per maggiori informazioni questa è la notizia ufficiale del rilascio scritta dagli sviluppatore con il changelog completo.

UPDATE

Su WordPress.tv è comparso questo semplice video che introduce le funzionalità sopracitate.

UPDATE 2009/12/22

E’ ora disponibile la versione in italiano di WordPress 2.9. Per il download ed informazioni aggiuntive potete consultare questo post del blog italiano di WordPress.
L’aggiornamento automatico tramite dashboard è possibile e non da nessun tipo di problema. Buon Update.

Già da parecchie settimane la mia installazione di WordPress era affetta da questo problema. L’editor visuale o WYSIWYG ( What You See Is What You Get ) era scomparso, lasciandomi solo con l’editor HTML. Anche se sono abituato a scrivere i post tramite l’editor HTML non mi andava proprio giù l’idea che l’altro editor non funzionasse. Oggi quindi mi sono messo di buona volontà ed ho risolto il problema. E come? Voi direte. Con il miglior metodo possibile, disattivando tutti i plugin e riattivandoli uno a uno. Infatti quando si verificano problemi di questo genere la colpa è da imputare generalmente ai plugin. In questo modo ho capito che il problema era Viper’s Video Quicktag, un plugin usato da me per integrare facilmente i video di YouTube ed altri servizi di video sharing ai miei post. Fortunatamente una reinstallazione del plugin è bastata per risolvere il problema.

Mi raccomando, se vedere che il vostro blog ha qualche problema provate a disattivare tutti i plugin e a vedere se il problema persiste.

Il team di sviluppo, dopo la segnalazione di Dawid Golunski ( ne ho parlato ieri in questo post ), sforna una nuova security release del trunk 2.8 di WordPress.

I problemi fixati sono sostanzialmente due, il primo riguarda una vulnerabilità XSS scoperta da Benjamin Flesch, maggiori informazioni sono consultabili a questo indirizzo. Mentre la seconda riguarda proprio la vulnerabilità di Unrestricted File Upload Arbitrary PHP Code Execution.

L’annuncio ufficiale del rilascio è consultabile a questa pagina del team degli sviluppatori.

Si consiglia a tutti gli utenti della piattaforma WordPress si aggiornare al più presto.

Nella giornata di ieri presso Full Disclosure è comparso un interessante advisory riguardante una vulnerabilità presente in WordPress nelle versioni <= 2.8.5 ( l’attuale ). Questa vulnerabilità infatti acconsentirebbe l’esecuzione di codice php arbitrario uploadato tramite l’upload manager di default presente in WordPress.
Per maggiori informazioni e un proof of concept vi rimandiamo all’advisory.

Anche se la vulnerabilità non è critica, in quando per uploadare un file è comunque necessario avere dei diritti superiori a quelli di un utente normale, attendiamo una security release da parte del team di sviluppatori.

Si tratta sostanzialmente di una versione di mantenimento del trunk 2.8, speriamo sia anche l’ultima prima della nuova 2.9.
Come le versioni di mantenimento precedenti anche questa risolve alcuni problemi legati alla sicurezza.

Ecco il changelog:

• Una correzione per l’attacco di Denial-of-Service via Trackback che si è verificato nei giorni scorsi su molti siti.
• Rimozione di aree nelle quali il veniva valutato del codice contenuto in variabili php.
• Eliminazione dei due importatori di tag di vecchi plugin non più in uso.

Essendo una security release l’aggiornamento è caldamente consigliato, e si può effettuare tranquillamente tramite l’utility di aggiornamento automatico.

Per più informazioni potete dare un occhiata alla pagina del blog degli sviluppatori.

Gli sviluppatore consigliano di installare anche un plugin: WordPress Exploit Scanner, che ha lo scopo di determinare se nella nostra installazione di WordPress ricorrono file sospetti o codici malevoli.

Dopo il rilascio della 2.8.3, avvenuto circa una settimana fa, il team di sviluppo di WordPress rilascia il quarto minor update per il trunk 2.8. Si tratta infatti di una security release che ha come scopo la risoluzione della vulnerabilità di Remote Admin Reset Password, di cui ho parlato in questo post ieri ( include il fix manuale alla vulnerabilità ).
Ricordo che la vulnerabilità non è critica, e non consente l’accesso alla piattaforma da parte di malintenzionati. Nel peggiori dei casi questa vulnerabilità può essere usata per escludere l’account d’amministrazione a tempo indeterminato, effettuando un reset infinito della password del medesimo.

Alla luce di questo, l’aggiornamento della piattaforma è caldamente consigliato. Ricordo sempre che gli utenti aventi un hosting Aruba dovranno seguire questa piccola procedura prima di effettuare l’upgrade.

Per maggiori informazioni potete consultare il post presente nel blog degli sviluppatori a WordPress 2.8.4 ) o aspettate.

Buon upgrade

Oggi nella mailing list di Full Disclosure è stata pubblicata, da Laurent Gaffie, una vulnerabilità che affligge la funzionalità di reset della password di WordPress.
La vulnerabilità coinvolge tutte le versioni <=2.8.3, eppure non si tratta di una vulnerabilità critica, in quanto l’attaccante, effettuato il reset della password, non ne sarà comunque in possesso.

L’advisory originale è consultabile a questo indirizzo, mentre a questo indirizzo potete trovare informazioni supplementari e un fix al problema.

UPDATE

Ora l’advisory è disponibile anche su Milw0rm a questo indirizzo.

Vediamo come aumentare la sicurezza del nostro blog. Ogni installazione di WordPress crea automaticamente l’utente di default “admin”, infatti, durante l’installazione ci viene data la password dell’utente per effettuare l’accesso alla parte amministrativa del blog.
Quest’utente però è standard ed un eventuale malintenzionato saprà già a priori dell’esistenza dell’utente admin, e quindi gli basterà solo trovare la password ( non che questo sia facile ). Vediamo però di toglierli questa certezza.

Non è possibile modificare l’account dell’utente admin dal pannello amministrativo, dovete per forza modificare il record dell’utente admin nel database MySQL.
Per fare questo è necessario loggare in phpmyadmin, selezionare il database che utilizzate per WordPress e visualizzare la tabella wp_users, la tabella che contiene tutti i dettagli sugli utenti registrati al vostro blog. Di default la tabella ha il prefisso wp_.

Se volete fare le cose in modo geek, potete eseguire la query sottostante per selezionare subito il record dell’utente admin.

SELECT * FROM wp_users WHERE id =1;

Ora dovete solo modificare l’attributo user_login e user_nicename, inserendo la medesima stringa. Magari lasciate l’attributo display_name al valore di default admin. Facendo così, se utilizzate l’utente admin per scrivere post nel vostro blog, un visitatore non può sapere che avete modificato la login name dell’utente amministratore.

È comunque buona regola non utilizzare l’utente admin, ma bensì creare un altro utente ( anche con privilegi minori ) ed usare sempre quello.
Io utilizzo WordPress da più di sei mesi e non ho mai loggato con l’utente admin ( tranne ovviamente la prima volta ).

Rilasciato oggi il terzo minor update di del trunk 2.8 di WordPress, come gli altri due, anche questo è incentrato sulla risoluzione di bug di sicurezza.
Si tratta infatti di vulnerabilità di privilege escalation non fixate nella versione 2.8.1. Fortunatamente la community di WordPress ha scoperto queste falle e riportate prontamente al team di sviluppatori. Grazie al loro aiuto i bug rimanenti sono stati risolti in questa 2.8.3.

Potete visionare i dettagli nel blog degli sviluppatori a questo indirizzo.

Vi ricordo, come sempre, di consultare questa guida per l’aggiornamento se avete un dominio Aruba.

Buon Update

È tempo di update per WordPress. Questo potente CMS, tra le molte funzionalità che offre, vi è la gestione degli smilies durante la scrittura di post e di commenti. Smilies che però sono abbastanza grezzi e “antiquati” per un palato sopraffine. Vediamo quindi come sostituirli.

Io vi offro una soluzione che non comporta l’installazione di plugin di terze parti o la modifica dei sorgenti di WordPress. Questa soluzione, secondo me, è una delle migliori, in quanto non andiamo ad intaccare la sicurezza di WordPress. Ogni volta che installiamo plugin non ufficiali corriamo il rischio di introdurre qualche tipo di vulnerabilità nella nostra piattaforma, e lo stesso dicasi nel caso di modifica dei file sorgenti ( ovviamente questo non vale per gli esperti nel settore =D )

Io da buon blogger vi offro un pacchetto di smilies già “preconfezionati” per l’upload, disponibile a questo indirizzo. Potete tuttavia creare il vostro set di faccine scaricandole da siti come: World of smilies, SmileyGarden, SmileyParadies. In questo caso ricordatevi di dare i nomi corretti ai file .gif. Potete prendere come esempio quelli di default di WordPress come ho fatto io.

Per aggiornare gli smilies non dovremmo far altro che accedere tramite FTP o SSH al nostro server ed andare nella cartella wp-includes/images/smilies. Backuppiamo la cartella rinominandola in “smiliesold” o qualcosa di simile. Uploadiamo i nostri smile personalizzati ed il gioco è fatto

Andate nella home page del vostro blog, fate un refresh, e godetevi le nuove faccine.

Per saperne di più su come WordPress gestisce gli smilies vi consiglio la lettura di questa pagina, stilata da WordPress Codex.

Queste sono le faccine contenute nel mio pacchetto:

:???: :mad:

NOTA BENE

Qualche istante fa è stato reso disponibile il download del nuovo aggiornamento 2.8.2 per WordPress. Quando ho visto la notifica non sapevo cosa pensare; questo è il secondo aggiornamento del trunk 2.8 a poco più di 10 giorni dal primo, davvero incredibile. :suprised:

Questo aggiornamento svolge il ruolo di minor update e corregge una vulnerabilità di tipo XSS ( Cross-site scripting ). La vulnerabilità era localizzata nel panello di admin dove i link degli autori del commento non erano codificati correttamente. Tale vulnerabilità poteva essere utilizzata per effettuare un redirect ad un altro sito.

La notizia della nuova release la trovate a questo post del blog sviluppatori WordPress.
Ovviamente è caldamente consigliato l’update della piattaforma via FTP o tramite il comodo aggiornamento automatico.

Ricordo che gli utenti Aruba dovranno seguire questa procedura prima di effettuare l’update.

Buon aggiornamento

Nella giornata di ieri sul sito ufficiale di WordPress è stato pubblicato il comunicato stampa del rilascio della nuova release di WordPress, la 2.8.1. Con questa versione si fa riferimento alla prima versione di mantenimento del trunk 2.8. Nel comunicato è presente una breve sintesi dei cambiamenti introdotti da questa 2.8.1, mentre un changelog completo è disponibile a questo indirizzo.

Tra le novità introdotte vediamo la risoluzione della vulnerabilità di sicurezza trattata in questo post, nella giornata di ieri. Tutte le informazioni relative a questa vulnerabilità sono consultabili nell’advisory CORE-2009-0515 pubblicato su Core Security Technologies.
Con questa nuova release si pone anche fine al problema di memoria insufficiente durante il caricamento della dashboard. Inoltre è stata disabilita la funzione di colorazione della sintassi (syntax highlighting ) nell’editor dei plugin e dei temi, in quanto incompatibili con diversi browser. Io stesso, con Opera 9.64, avevo notato dei piccoli bug all’interno dell’editor.

L’aggiornamento quindi è caldamente consigliato, soprattutto dal punto di vista della sicurezza. Il download è disponibile a questo indirizzo ( per i più smanettoni ). Altrimenti potrete seguire la procedura d’aggiornamento automatica offerta da WordPress, presente nel menù di amministrazione.

La versione in italiano seguirà a breve, potete comunque aggiornare alla 2.8.1 in inglese e in seguito riaggiornare alla versione in italiano.

Vi ricordo che se avete un dominio Aruba dovrete seguire questa procedura prima di procedere con l’aggiornamento automatico. Il post si riferisce all’aggiornamento verso la 2.7.1, comunque la procedura è generica e funzionerà anche per la 2.8.1.

Vi ricordo che se avete un dominio Aruba, come nel mio caso, la procedura da seguire sarà molti più semplice, dovrete infatti seguire questi semplici passi.

Andate nel pannello di amministrazione del vostro sito, solitamente all’indirizzo admin.vostrosito.it, e premete su Protezione Directory Hosting Linux.

Protezione di una cartella dal pannello Aruba

Selezionate la cartella che volete proteggere nella lista alla sinistra, nel nostro caso wp-admin. Inserite il nome che volete dare all’area protetta, ad esempio: admin, admin area, private area, ecc… Inserire poi username e password. Vi ricordo che queste credenziali dovrebbero essere diversi da quelle usate per effettuare il login su WordPress.

Beccati questa password criptata =D

Ora la vostra cartella wp-admin sarà protetta

Con questo piccolo workaround i malintenzionati che utilizzeranno una vulnerabilità 0day non potranno accedere alla sezione d’amministrazione, in quanto protetta.

Un grazie a Stefano per la segnalazione.

oppure:

Quest’ultima visualizzerà la formule al centro della pagina.

Se invece vogliamo solo visualizzare il sorgente Latex utilizzeremo questo formalismo:

$$Latex formula$$

Vediamo qualche esempio:

$$\frac{a}{b}$$

$$\sum_{k=0}^\infty \frac{1}{n}$$

$$\int_{1}^{2} \ln{x}\, dx$$

$$y=\sin{x}+\sqrt[4]{x}$$

$$\begin{vmatrix} a_1 & a_2 \\ a_3 & a_4 \end{vmatrix}$$

Questi sono solo alcuni esempi, le potenzialità del Latex sono pressochè inimmaginabili, basti considerare l’enorme numero di simboli che supporta e che possono essere combinati fra loro.