Vediamo come aumentare la sicurezza del nostro blog. Ogni installazione di WordPress crea automaticamente l'utente di default "admin", infatti, durante l'installazione ci viene data la password dell'utente per effettuare l'accesso alla parte amministrativa del blog.
Quest'utente però è standard ed un eventuale malintenzionato saprà già a priori dell'esistenza dell'utente admin, e quindi gli basterà solo trovare la password ( non che questo sia facile ). Vediamo però di toglierli questa certezza.

Non è possibile modificare l'account dell'utente admin dal pannello amministrativo, dovete per forza modificare il record dell'utente admin nel database MySQL.
Per fare questo è necessario loggare in phpmyadmin, selezionare il database che utilizzate per WordPress e visualizzare la tabella wp_users, la tabella che contiene tutti i dettagli sugli utenti registrati al vostro blog. Di default la tabella ha il prefisso wp_.

Se volete fare le cose in modo geek, potete eseguire la query sottostante per selezionare subito il record dell'utente admin.

SELECT * FROM wp_users WHERE id =1;

Ora dovete solo modificare l'attributo user_login e user_nicename, inserendo la medesima stringa. Magari lasciate l'attributo display_name al valore di default admin. Facendo così, se utilizzate l'utente admin per scrivere post nel vostro blog, un visitatore non può sapere che avete modificato la login name dell'utente amministratore.

È comunque buona regola non utilizzare l'utente admin, ma bensì creare un altro utente ( anche con privilegi minori ) ed usare sempre quello.
Io utilizzo WordPress da più di sei mesi e non ho mai loggato con l'utente admin ( tranne ovviamente la prima volta ).

Rilasciato oggi il terzo minor update di del trunk 2.8 di WordPress, come gli altri due, anche questo è incentrato sulla risoluzione di bug di sicurezza.
Si tratta infatti di vulnerabilità di privilege escalation non fixate nella versione 2.8.1. Fortunatamente la community di WordPress ha scoperto queste falle e riportate prontamente al team di sviluppatori. Grazie al loro aiuto i bug rimanenti sono stati risolti in questa 2.8.3.

Potete visionare i dettagli nel blog degli sviluppatori a questo indirizzo.

Vi ricordo, come sempre, di consultare questa guida per l'aggiornamento se avete un dominio Aruba.

Buon Update

È tempo di update per WordPress. Questo potente CMS, tra le molte funzionalità che offre, vi è la gestione degli smilies durante la scrittura di post e di commenti. Smilies che però sono abbastanza grezzi e "antiquati" per un palato sopraffine. Vediamo quindi come sostituirli.

Io vi offro una soluzione che non comporta l'installazione di plugin di terze parti o la modifica dei sorgenti di WordPress. Questa soluzione, secondo me, è una delle migliori, in quanto non andiamo ad intaccare la sicurezza di WordPress. Ogni volta che installiamo plugin non ufficiali corriamo il rischio di introdurre qualche tipo di vulnerabilità nella nostra piattaforma, e lo stesso dicasi nel caso di modifica dei file sorgenti ( ovviamente questo non vale per gli esperti nel settore =D )

Io da buon blogger vi offro un pacchetto di smilies già "preconfezionati" per l'upload, disponibile a questo indirizzo. Potete tuttavia creare il vostro set di faccine scaricandole da siti come: World of smilies, SmileyGarden, SmileyParadies. In questo caso ricordatevi di dare i nomi corretti ai file .gif. Potete prendere come esempio quelli di default di WordPress come ho fatto io.

Per aggiornare gli smilies non dovremmo far altro che accedere tramite FTP o SSH al nostro server ed andare nella cartella wp-includes/images/smilies. Backuppiamo la cartella rinominandola in "smiliesold" o qualcosa di simile. Uploadiamo i nostri smile personalizzati ed il gioco è fatto

Andate nella home page del vostro blog, fate un refresh, e godetevi le nuove faccine.

Per saperne di più su come WordPress gestisce gli smilies vi consiglio la lettura di questa pagina, stilata da WordPress Codex.

Queste sono le faccine contenute nel mio pacchetto:

:???: :mad:

NOTA BENE

---

Quando aggiornate la piattaforma, passando da una versione ad una superiore, automaticamente verranno ripristinati gli smilies di default di WordPress, quindi una volta creata la vostra "compilation" di faccine tenetela da qualche parte in locale, in modo da averla disponibile appena effettuerete l'update.

Qualche istante fa è stato reso disponibile il download del nuovo aggiornamento 2.8.2 per WordPress. Quando ho visto la notifica non sapevo cosa pensare; questo è il secondo aggiornamento del trunk 2.8 a poco più di 10 giorni dal primo, davvero incredibile. :suprised:

Questo aggiornamento svolge il ruolo di minor update e corregge una vulnerabilità di tipo XSS ( Cross-site scripting ). La vulnerabilità era localizzata nel panello di admin dove i link degli autori del commento non erano codificati correttamente. Tale vulnerabilità poteva essere utilizzata per effettuare un redirect ad un altro sito.

La notizia della nuova release la trovate a questo post del blog sviluppatori WordPress.
Ovviamente è caldamente consigliato l'update della piattaforma via FTP o tramite il comodo aggiornamento automatico.

Ricordo che gli utenti Aruba dovranno seguire questa procedura prima di effettuare l'update.

Buon aggiornamento

Nella giornata di ieri sul sito ufficiale di WordPress è stato pubblicato il comunicato stampa del rilascio della nuova release di WordPress, la 2.8.1. Con questa versione si fa riferimento alla prima versione di mantenimento del trunk 2.8. Nel comunicato è presente una breve sintesi dei cambiamenti introdotti da questa 2.8.1, mentre un changelog completo è disponibile a questo indirizzo.

Tra le novità introdotte vediamo la risoluzione della vulnerabilità di sicurezza trattata in questo post, nella giornata di ieri. Tutte le informazioni relative a questa vulnerabilità sono consultabili nell'advisory CORE-2009-0515 pubblicato su Core Security Technologies.
Con questa nuova release si pone anche fine al problema di memoria insufficiente durante il caricamento della dashboard. Inoltre è stata disabilita la funzione di colorazione della sintassi (syntax highlighting ) nell'editor dei plugin e dei temi, in quanto incompatibili con diversi browser. Io stesso, con Opera 9.64, avevo notato dei piccoli bug all'interno dell'editor.

L'aggiornamento quindi è caldamente consigliato, soprattutto dal punto di vista della sicurezza. Il download è disponibile a questo indirizzo ( per i più smanettoni ). Altrimenti potrete seguire la procedura d'aggiornamento automatica offerta da WordPress, presente nel menù di amministrazione.

La versione in italiano seguirà a breve, potete comunque aggiornare alla 2.8.1 in inglese e in seguito riaggiornare alla versione in italiano.

Vi ricordo che se avete un dominio Aruba dovrete seguire questa procedura prima di procedere con l'aggiornamento automatico. Il post si riferisce all'aggiornamento verso la 2.7.1, comunque la procedura è generica e funzionerà anche per la 2.8.1.

Per questa notizia vi rimando al post di UpYou.it Blog a questo indirizzo.

Vi ricordo che se avete un dominio Aruba, come nel mio caso, la procedura da seguire sarà molti più semplice, dovrete infatti seguire questi semplici passi.

Andate nel pannello di amministrazione del vostro sito, solitamente all'indirizzo admin.vostrosito.it, e premete su Protezione Directory Hosting Linux.

Selezionate la cartella che volete proteggere nella lista alla sinistra, nel nostro caso wp-admin. Inserite il nome che volete dare all'area protetta, ad esempio: admin, admin area, private area, ecc... Inserire poi username e password. Vi ricordo che queste credenziali dovrebbero essere diversi da quelle usate per effettuare il login su WordPress.

Ora la vostra cartella wp-admin sarà protetta

Con questo piccolo workaround i malintenzionati che utilizzeranno una vulnerabilità 0day non potranno accedere alla sezione d'amministrazione, in quanto protetta.

Un grazie a Stefano per la segnalazione.

Può capitare che durante la scrittura di un post ci sia la necessità di inserire delle formule, o più in generale dei simboli matematici. Se quello che dobbiamo scrivere richiede l'utilizzo degli operatori classici ( +, -, *, /, %... le parentesi, ecc. ) non c'è nessun problema. Mentre invece se dobbiamo ricorrere a serie, integrali, matrici, ecc. la cosa si fa parecchio complicata. In queste occasioni ci viene in aiuto il plugin "Latex for WordPress".
Il plugin utilizza il server pubblico Latex, hostato su WordPress.com, quindi oltre al plugin non sarà necessario installare pacchetti Latex ausiliari. L'installazione avviene facilmente, potete anche utilizzare il plugin-installer presente dalla versione 2.7 di WordPress. Una volta installato dobbiamo accedere al server tramite FTP o SSH e creare una cartella "cache" all'interno di "vostro_sito/wp-content". Dopo dobbiamo cambiare i permessi della cartella appena creata, impostandoli su 777. Tramite SSH questo si ottiene facilmente digitando sul terminale: "chmod 777 cache". Una volta effettuata questa procedura saremo pronti ad utilizzare il plugin ed avere dalla nostra parte tutta la potenza del Latex.
Per inserire una formula nel vostro post non dovrete far altro che scrivere:

oppure:

Quest'ultima visualizzerà la formule al centro della pagina.

Se invece vogliamo solo visualizzare il sorgente Latex utilizzeremo questo formalismo:

\(Latex formula\)

Vediamo qualche esempio:

\(\frac{a}{b}\)

\(\sum_{k=0}^\infty \frac{1}{n}\)

\(\int_{1}^{2} \ln{x}\, dx\)

\(y=\sin{x}+\sqrt[4]{x}\)

\(\begin{vmatrix} a_1 & a_2 \\ a_3 & a_4 \end{vmatrix}\)

Questi sono solo alcuni esempi, le potenzialità del Latex sono pressochè inimmaginabili, basti considerare l'enorme numero di simboli che supporta e che possono essere combinati fra loro.

Nel template Mandigo ( template utilizzato attualmente da Badalis ) non era implementata ottimamente la visualizzazione delle didascalie delle immagine. Ho quindi cercato di risolvere il problema lavorando sul file style.css. Il file si trova nella cartella di qualsiasi template di WordPress. Ecco come ho risolto:

.wp-caption{
	border: 1px solid #ddd;
	text-align: center;
	background-color: #f3f3f3;
	padding-top: 4px;
}

.wp-caption img{
	border: none;
	margin: 0;
	padding: 0;
}
.wp-caption p.wp-caption-text{
	font-size: 11px;
	line-height: 17px;
	color: #111;
	margin: 0;
	padding: 0 4px 5px;
}

Aggiungete questa porzione di codice dove volete. Ovviamente i valori possono essere cambiati a piacimento. Ed ecco il risultato ottenuto:

Lo dice Matt Mullenweg, capo sviluppatore del progetto WordPress. Matt ha chiamato in aiuto la Software Freedom Law Center, specializzata nel risolvere problematiche legate al mondo della licenza GPL. La risposta è stata molto chiara e concisa:

PHP in WordPress themes must be GPL, artwork and CSS may be but are not required.

Questo in quanto i template di WordPress sono composti da codice html e php, con specifiche chiamate alle API di WordPress, di conseguenza anche tutti i template che sono un prodotto derivato devono essere rilasciati sotto licenza GPL.
E per i template commerciali?
Tali template per essere riconosciuti da WordPress dovranno soddisfare le seguenti condizioni:

If you would like to be included in this list please send your info to themes at wordpress dot org. To be included, you should:
Distribute 100% GPL themes, including artwork and CSS.
Have professional support options, and optionally customization.
Your site should be complete, well-designed, up to date, and professional looking.
Include a haiku about yourself to be included.

Una lista di template commerciali 100% compatibili con la licenza GPL è disponibile a questo indirizzo.

Come avevo promesso in qualche post fa, con spirito filantropico e "open source", pubblico la mia tesina di maturità. La tesina tratta principalmente di come i CMS abbiano facilitato la comunicazione nel Web. Si parla per tanto di Web 2.0, Blog e CMS ( ovviamente facendo un focus su WordPress ). Poi verso la fine ho fatto anche una piccola analisi sulla sicurezza della piattaforma contro gli attacchi di SQL Injection.
Ecco l'elenco dei capitoli:

• Abstract
• Ringraziamenti
• Cap. 1: Introduzione
• Cap. 2: Storia della comunicazione
• Cap. 3: Web 2.0
• Cap. 4: I CMS
• Cap. 5: Blog & WordPress
• Cap. 6: Analisi del database di WordPress
• Cap. 7: Conclusioni
• Glossario
• Bibliografia

Download versione pdf:
thesis - File .pdf di dimensioni 2.6 MB e scaricato 826 volte.

Download slides di presentazione tesina:
La-comunicazione-sul-Web - File .pdf di dimensioni 529.9 kB e scaricato 536 volte.

Download pacchetto sorgenti LaTeX ( contiene anche il pdf ):
thesis-tex - File .rar di dimensioni 10.17 MB e scaricato 147 volte.

Download template LaTeX utilizzato:
CUEDThesisPSnPDF - File .zip di dimensioni 1.01 MB e scaricato 149 volte.

Ultima nota, potete usare la mia tesina e utilizzarla per i vostri scopi: stamparla, modificarla, ecc. Se però la usate perché state sviluppando un vostro progetto o una tesina, per favore citatemi nella Bibliografia.

Buon download