WordPress 4.2.2 release di mantenimento e sicurezza

1

Disponibile da qualche ora sulle bacheche dei vostri siti e per molti già aggiornata automaticamente, la nuova versione di WordPress 4.2.2, contestualmente è stata rilasciata anche la 4.1.5 sempre per risolvere i problemi di sicurezza. Riportiamo dal blog ufficiale.

WordPress 4.2.2 è ora disponibile, si tratta di una release di sicurezza critica per tutte le versioni precedenti e quindi raccomandiamo fortemente di aggiornare immediatamente i vostri siti..

La version 4.2.2 risolve due problemi di sicurezza:

  • Il pacchetto di font di icone Genericons,utilizzato da molti temi e plugin molto popolari, contiene un file HTML vulnerabile ad un attacco cross-site scripting. Tutti i temi ed i plugin che lo utilizzano e che sono ospitati su WordPress.org (compreso il tema standard Twenty Fifteen) sono stati aggiornati nella giornata di oggi da parte del WordPress security team per risolvere il problema rimuovendo questo file non essenziale. Per aiutare la protezione degli altri utilizzi di Genericons, WordPress 4.2.2 analizza la directory wp-content alla ricerca di questo file HTML e lo rimuove se presente. Segnalato da Robert Abela di Netsparker.
  • WordPress versione 4.2 e tutte le versioni precedenti sono affetta da una vulnerabilità critica di cross-site scripting, che potrebbe permettere ad utenti anonimi di compromettere un sito. WordPress 4.2.2 include una modifica che risolve questo problema.

La versione inoltre include dei rafforzamenti per potenziali vulnerabilità cross-site scripting vulnerability durente l’uso dell’editor visuale. Il problema è stato segnalato da Mahadev Subedi.

I nostri ringraziamenti vanno qa quanti hanno praticato una segnalazione responsabile dei problemi di sicurezza.

WordPress 4.2.2 inoltre contiene la risoluzioni di 13 bachi della versione 4.2. Per maggiori informazioni, si vedano le note di release o si consulti la lista delle modifiche.

Grazie a tutti quanti hanno contribuito alla 4.2.2:

Aaron Jorbin, Andrew Ozz, Andrew Nacin, Boone Gorges, Dion Hulse, Ella Iseulde Van Dorpe, Gary Pendergast, Hinaloe, Jeremy Felt, John James Jacoby, Konstantin Kovshenin, Mike Adams, Nikolay Bachiyski, taka2, e willstedt.

WordPress 4.2, attenzione al term splitting

9

Premessa: questo articolo è di natura tecnica, cercherò di rendere le cose il più chiare possibile, ma non potrò fare a meno di utilizzare la terminologia corretta.

Oggi, dovremmo avere il rilascio della nuova versione 4.2 di WordPress in inglese, contemporaneamente anche in italiano, come sempre con una major release, l’aggiornamento non deve essere precipitoso e deve essere eseguito dopo avere attuato alcuni, importanti, accorgimenti.

Primo, fra tutti, un backup dei dati del database e un backup, via FTP, dei file del proprio spazio web.

Occorre verificare, anche, la compatibilità di temi e plugin con la nuova versione.

L’ideale sarebbe avere un ambiente di “staging”, una copia esatta del sito online, e applicare lì le modifiche e verificare attentamente che tutto funzioni correttamente prima di applicare l’aggiornamento al vostro sito in produzione.

WordPress 4.2, fra le varie novità che analizzeremo nell’articolo di annuncio della nuova release, apporta un cambiamento che, in alcune situazioni, potrebbe essere fonte di problemi.

Term splitting

Cosa significa term splitting?

Quando dei termini sono suddivisi fra più tassonomie (nella tabella wp_terms sono condivisi da più tassonomie in contemporanea), ad una loro singola modifica o aggiornamento, verranno suddivisi in termini separati per ciascuna tassonomia. Questa modifica, ([31418]), risolve un dei bug più seccanti di WordPress (in inglese) ed è uno dei passaggi fondamentali per la realizzazione della taxonomy roadmap (in inglese).

Il term splitting, nella maggior parte dei casi, avverrà senza che ce ne si accorga.

Tuttavia vi sono alcuni temi e plugin che memorizzano il term ID come un dato statico.

In questi casi una modifica del term ID può essere la causa di diversi problemi.

Il team di WordPress ha analizzato i primi 100 plugin più scaricati per verificare se questi memorizzassero, in qualche modo, i term ID nel database nelle tabelle del database, tipo postmeta, usermeta,  options e altre ancora.

Su 100 plugin, 11 di questi hanno evidenziato la necessità di modifiche, per prevenire in anticipo i problemi derivanti dal term splitting:

Jetpack, WordPress SEO by Yoast, Google XML Sitemaps,All in One SEO Pack, Mailpoet, Advanced Custom Fields, Ninja Forms, Types, Custom Sidebars, Paid Memberships Pro, WordPress Download Manager.

Se avete scritto un plugin, un tema o avete realizzato delle personalizzazioni che memorizzano i term ID in maniera statica, potreste avere dei problemi anche voi.

Molti dei plugin elencati hanno già apportato le necessarie modifiche,  spiegate in un interessante articolo in inglese: Taxonomy term splitting in 4.2: a developer guide e ho personalmente verificato che plugin come Jetpack e WordPress SEO by Yoast hanno nei loro changelog, da tempo, già apportato le modifiche necessarie indicate nell’articolo menzionato.

Altri plugin famosi non risultano aggiornati da lungo tempo, come ad esempio Google XML Sitemaps , non risulta quindi alcuna modifica per correggere questo problema.

Anche se un plugin ha potenzialmente problemi con il term splitting, non è detto che il problema sia reale perché occorre, anche, che vi siano termini condivisi fra più tassonomie.

Come verificarlo?

Esiste un plugin, non presente sul repository ufficiale, scaricabile da github, WP Find Shared Terms, che si limita, semplicemente, ad elencare, se presenti, i termini duplicati come mostrato nell’immagine seguente.

shared-terms

 

A questo punto potrete modificare uno dei termini condivisi, assegnandogli un nome diverso o verificando che TUTTI i vostri plugin siano aggiornati, la seconda opzione è decisamente consigliabile, in ogni caso.

Se un plugin non è aggiornato da anni, forse, è meglio trovare un’alternativa più sicura perché potrebbe avere altri problemi non risolti.

Per dubbi o chiarimenti vi rimando al nostro forum, dove però, i volontari, NON potranno indicarvi con certezza se un plugin ha o meno problemi, o se è stato aggiornato correttamente o se è compatibile con la nuova gestione dei term, per questo dovrete verificare il changelog dei singoli plugin, sul repository ufficiale, e/o contattare l’autore.

I problemi che possono derivare da plugin non aggiornati per il term splitting e che memorizzano i term ID in maniera statica sono vari, e di seguito elenchiamo alcuni esempi chiarificatori ma non esaustivi:

  • utilizzando una versione di Jetpack non aggiornata, la funzione di articoli correlati non funzionerebbe più correttamente
  • plugin per la sitemap, potrebbero generare sitemap non corrette o incomplete o inconsistenti .

Quindi, ancora una volta, prima di aggiornare, effettuate sempre i backup, verificate che i plugin  siano aggiornati e l’utilizzo di termini duplicati su più tassonomie.

Avere una copia di tutto, PRIMA dell’aggiornamento, è fondamentale,  vi permetterà di ripristinare la situazione pre esistente, e da lì effettuare tutte le verifiche e le modifiche necessarie, prima di ripetere l’aggiornamento.

Un plugin non aggiornato, che possa essere fonte di problemi, anche in questo caso, NON deve essere un motivo per non aggiornare prontamente WordPress, ma un motivo in più per trovare un plugin alternativo per poter proseguire con gli aggiornamenti futuri garantendosi sempre un sito aggiornato e quindi sicuro.

WordPress 4.1.2 release di sicurezza

5

È ora disponibile WordPress 4.1.2, appare come aggiornamento già in italiano sulle vostre bacheche e per quanti hanno gli update sulle release minori automatici riceveranno nelle prossime ore una mail con l’avviso che il loro sito è stato aggiornato, Si tratta di una  release critica per la sicurezza che riguarda tutte le versioni precedenti e quindi vi incoraggiamo fortemente ad aggiornare immediatamente i vostri siti, ricordando sempre che prima di operare l’aggiornamento è importante effettuare un backup completo dei dati e del database.

Le versioni di 4.1.1 e precedenti sono affette da un vulnerabilità critica di cross-site scripting, che potrebbe permettere ad utenti anonimi di compromettere il vostro sito. Tale problema è stato segnalato da Cedric Van Bockhaven e corretto da Gary Pendergast, Mike Adams ed Andrew Nacin del team di sicurezza di WordPress.

Sono state inoltre corrette altre tre problematiche di sicurezza:

  • In WordPress 4.1 o superiore possono veri caricati file con nomi non validi o insicuri. Scoperto da Michael Kapfer e Sebastian Kraemer si HSASec.
  • In WordPress 3.9 e superiori una vulnerabilità abbastanza limitata di cross-site scripting potrebbe essere utilizzata come parte di un attacco di social engineering. Scoparto da Jakub Zoczek.
  • Alcuni plugin sono aperti ad una vulnerabilità di SQL injection. Scoperto da Ben Bidner del WordPress security team.

Abbiamo inoltre apportato quattro modifiche di potenziamento alla sicurezza scoperte da da J.D. Grimes, Divyesh Prajapati, Allan Collins e Marc-Alexandre Montpas.

Abbiamo apprezzato che la rivelazione responsabile di questi problemi sia avvenuta direttamente al nostro security team. Per maggiori informazioni si vedano le note sulla release o si consulti la lista delle modifiche.

Grazie a tutti quanti hanno contribuito alla 4.1.2: Allan Collins, Alex Concha, Andrew Nacin, Andrew Ozz, Ben Bidner, Boone Gorges, Dion Hulse, Dominik Schilling, Drew Jaynes, Gary Pendergast, Helen Hou-Sandí, John Blackburn e Mike Adams.

Un certo numero di plugin sono stati rilasciati aggiornati nella giornata di ieri proprio riguardo ai problemi di sicurezza. Mantenete sempre tutto aggiornato se volete la massima sicurezza. Se siete autori di plugin leggete questo articolo per aver conferma che il vostro plugin non è affetto dai medesimi problemi. Grazie a voi tutti autori di plugin per aver collaborato con il nostro security team per assicurare una risposta coordinata.

WordPress 4.1 “Dinah” disponibile sia in versione Inglese che Italiana

3

WordPress 4.1 “Dinah” è disponibile per il download e per l’aggiornamento sia in versione inglese che italiana.

Da questa release tutte le nuove versioni saranno rilasciate in contemporanea per tutte le lingue tradotte al 100%.

A questo link le note di rilascio in Inglese, a breve scriveremo anche la versione in italiano.

Richieste di supporto solo nel forum.

Grazie a tutti coloro che hanno collaborato alla traduzione:

 

Wolly WollyPaolo Belcastro Paolo Belcastroflodit floditStefano Aglietti Stefano AgliettiClaudio Simeone Claudio Simeone

Andrea Fercia, Andrea Gandino, elmanisero, francescodicandia, gianlucacosetta, Marco-WP81, medariox, smirkos90 e Stefano Tondi.

WordPress 4.0.1 in italiano

1

Da venerdì molti di voi hanno avuto i propri siti aggiornati automaticamente alla versione 4.0.1 in italiano ed oggi è disponibile anche come pacchetto qua sul nostro sito. Alcuni potrebbero aver sperimentato un problema sulla traduzione per il quale apparivano alcune stringhe in inglese,, a fine articolo una spiegazione del problema e la sua soluzione.

Trattandosi di un aggiornamento di sicurezza l’aggiornamento non dovrebbe essere una opzione, a meno che vogliate esporrere i vostri siti a possibili attacchi. Si noti che i problemi possono riguardare anche le precedenti versioni di WordPress.

Dal blog di wordpress.org

È disponibile WordPress 4.0.1 Si tratta di una release di sicurezza critica per tutte le precedenti versioni e quindi invitiamo fortemente tutti ad aggiornare i propri siti.immediatamente.

I siti che supportano gli aggiornamenti automatici verranno aggiornati nelle prossime ore (N.d.T. ad oggi tutti voi che avete siti con aggiornamento automatico dovreste aver ricevuto tale update) . Se state ancora utilizzando WordPress 3.9.2, 3.8.4, o 3.7.4, riceverete un aggiornamento a 3.9.3, 3.8.5, o 3.7.5 per mantenere tutto in sicurezza. (Non supportiamo le versioni più vecchie quindi aggiornate a a 4.0.1)

Le versioni di WordPress 3.9.2 e successive sono affette da una vulnerabilità grave di cross-site scripting, che può permettere ad utenti anonimi di compromettere il vostro sito. Il problema è stato segnalato da Jouko Pynnonen. Questo problema non riguarda la versione 4.0, ma la versione 4.0.1 risolve i seguenti otto problemi di sicurezza:

  • Tre problemi di cross-site scripting che un autore o un contribuente possono utilizzare per compromettere il sito. Scoperti da  Jon Cave, Robert Chapin e John Blackbourn del WordPress security team.
  • Una cross-site request forgery che potrebbe essere utilizzata per ingannare un utente per fargli cambiare password.
  • Un problema che potrebbe generare un denial of service durante la verifica delle password. Segnalato da Javier Nieto Arevalo e Andres Rojas Guerrero.
  • Protezioni aggiuntive per gli attacchi di tipo server-side request forgery quando WordPress esegue richieste HTTP requests. Segnalato da Ben Bidner (vortfu).
  • Una rara possibilità di hash collision potrebbe permettere di compromettere un account utente, perché ciò avvenga occorre anche che l’utente non abbia effettuato alcun login dal 2008 (Si lo so pare ridicolo). Segnalato da David Anderson.
  • WordPress ora invalida i link di una mail di azzeramento password quando l’utente ricorda la sua password, effettua il login e cambia il proprio indirizzo email. Segnalato in maniera separata da Momen Bassel, Tanoy Bose e Bojan Slavkovi? of ManageWP.

Versione 4.0.1 inoltre risolve 23 bachi della 4.0, inoltre sono state aggiunte due ulteriori sicurezze fra cui una miglior validazione dei dati EXIF estratti dalle fotografie caricate. Segnalato da Chris Andrè Dale.

Apprezziamo sempre la responsabilità nella rivelazione di questi problemi fatta direttamente al nostro security team. Per ulteriori informazioni è possibili leggere le note di release o consultare l’elenco delle modifiche.

Sul problema delle stringhe non tradotte

In alcuni momenti, durante le fasi di aggiornamento automatico, alcuni utenti potrebbero aver riscontrato che, una volta aggiornato, la bacheca di WordPress presentava voci di menu o testi nelle singole pagine che apparivano ancora in inglese. Il problema nasce da una concomitanza di fattori, fra cui il rilascio della nuova versione, lo stato della piattaforma di traduzione ed una serie di modifiche fatte a tale piattaforma che hanno generato stringhe multiple che non risultavano tradotte o rimanevano in sospeso, errati conteggi nel numero di stringhe da tradurre o tradotte ecc.

Molti team di traduzione appena allertati del problema hanno segnalato la cosa, sono occorse alcune ore di lavoro agli sviluppatori di GlotPress (la piattaforma di traduzione) per individuare il problema, risolverlo e quindi scrivere il codice per fare pulizia dei dati generati erroneamente. Alla fine di tutto questo lavoro i team locali, fra cui noi, hanno rigenerato il pacchetto WordPress che, a questo punto, ha preso un pacchetto di lingua corretto.

Da quel momento tutti gli aggiornamenti automatici ancora in corso (si tratta di una procedura che avviene solo fra le 19 e le 7 del mattino ora del server e che viene scaglionata un po’ alla volta) e gli aggiornamenti manuali hanno ricevuto un pacchetto di lingua corretto e senza problemi, è stata inoltre generata una coda di aggiornamento automatico per il solo pacchetto della lingua, per sistemare quanti tramite update automatico avessero avuto pacchetti corrotti.

In questo momento nessuno dovrebbe avere una bacheca WordPress non tradotta correttamente, nel caso ciò si verificasse potete forzare il riaggiornamento manuale dalla schermata di aggiornamenti di WordPress oppure scaricare dal nostro sito il pacchetto di lingua scompattarlo e sovrascriverlo al contenuto della directory wp-content/languages.

Come sempre per ogni problema o richieste occorre fare riferimento SOLO al nostro forum e non fare richieste di aiuto nei commenti qua sotto, tali richieste verranno cancellate o ignorate.