Nuovo aggiornamento di sicurezza per WordPress 2.3.x: se non volete scaricare il pacchetto completo, aggiornate quantomeno il file xmlrpc.php. La versione in uso in WordPress 2.3.2 permette a un utente registrato, attraverso una richiesta appositamente formata, di modificare i post scritti da qualsiasi altro utente del blog. Nella versione 2.3.3 vengono corretti anche altri piccoli problemi, ad esempio l’uso di GetText su sistemi a 64bit.
Qui potete trovare il diff tra la versione 2.3.2 e la versione 2.3.3 e il pacchetto con i soli file modificati: da utilizzare SOLO in presenza della versione 2.3.2, è possibile scaricarlo anche utilizzando il link Zip Archive sul fondo della pagina di Trac.
Attenzione anche al plugin WP-Forum: in questo caso il bug, confermato nella versione 1.7.4, è ben più grave in quanto consente, attraverso un attacco di tipo SQL-Injection, di recuperare il contenuto del database di WordPress (e-mail, hash delle password, ecc. ecc.). In attesa di una soluzione, si consiglia di disattivare il plugin WP-Forum.
[Autore:PseudoTecnico]
23 commenti su “WordPress 2.3.3 e WP-Forum”
BlackSail
5 Febbraio 2008 at 11:33Grazie.
Tempestivi ed esaustivi, come sempre.
Mauikek
5 Febbraio 2008 at 12:59Per prima cosa grazie delle informazioni che sempre date a noi utenti..
Volevo chidervi una cosa..
io ho la versione 2.3.2 in italiano..
Per aggiornare alla nuova versione mi basta copiare o sovrascrivere i nuovi file con il pacchetto con i soli file modificati?
Perdo la lingua italiana in questo modo?
Grazie in anticipo per l’eventuale risposta.
Arturo
5 Febbraio 2008 at 13:20Maulkek, avendo tu la versione 2.3.2 ti basta sostituire i files modificati nella versione 2.3.3 cosi’ come ha detto PseudoTecnico, io l’ho appena terminato e ti basta cancellare i vecchi 5 files nelle diverse cartelle e caricare quelli nuovi ed il gioco e’ fatto.
Mauikek
5 Febbraio 2008 at 13:31Non perdo la lingua vero?
Arturo
5 Febbraio 2008 at 13:31no no, se non modifichi nient’altro oltre quei determinati files no, anch’io ho wp in italiano vai tranquillo 😉
Mauikek
5 Febbraio 2008 at 13:38appena fatto..Grazie mille tutto ok!
smal
5 Febbraio 2008 at 16:51ottimo il zip con i soli file modificati, del resto è piuttosto bruttino dover cancellare tutto e sostituirlo in presenza di tanti plugin.
Gossipaddicted
5 Febbraio 2008 at 17:48ma sostituendo quei files nella cartella zip non bisogna usare la solita procedura, disattivare tutti i plugin ed aggiornare dal pannello di controllo??salvo quei files nuovi ed è tutto qui??
grazie
Isabella
SteveAgl
5 Febbraio 2008 at 17:57Disattivare i plugin sarebbe sempre cosa buona e giusta….confesso che oggi però questo sito ed altri li ho aggiornati copiando i file e stop 🙂
Questo aggiornamento non è particolarmente “esteso” e le modifiche pur se importanti sono davvero minimali e non dovrebbero riguardare nulla a livello di interfaccia utente e gestione plugin ad esempio, non vi sono nuove funzioni etc… quindi è abbastanza sicuro farlo al volo.
Arturo
5 Febbraio 2008 at 17:58no visto che sono stati modificati file che non intaccano il funzionamento di wp di per se, ma va a correggere determinate parti di codice di quei 5 files. quindi basta semplicemente cancellare quelli vecchi e uploadare i nuovi.
caso diverso se segui il post di Steve che ha messo a disposizione TUTTO il pacchetto di wp 2.3.3 che non e’ altro che quello vecchio con i nuovi files come detto tra l’altro nel suo stesso post!
Gossipaddicted
5 Febbraio 2008 at 18:03ok grazie Arturo e Steve.. gentilissimi ^___^
Fabio Bulfoni
8 Febbraio 2008 at 08:54Ho sostituito i files immediatamente.
Tutto a meraviglia.
Oggi, dopo tre giorni, l’interfaccia Admin porta un messaggio che mi invita a effettuare l’aggiornamento appena fatto.
Che cosa è successo?
FB
Fabio Bulfoni
8 Febbraio 2008 at 08:58…aggiungo che anche l’aggiornamento di statpress viene proposto nuovamente…
FB
SteveAgl
8 Febbraio 2008 at 09:25Non è che hanno ripristinato il tuo spazio web da un backup? apri il file wp-includes/version.pp e vedi quale versione risulta
Il fatto che anche un plugin ti venga richiesto di aggiornarlo suona come un segnale di ripristino da backup. Eventualmente chiedi conferma al tuo hoster
Fabio Bulfoni
8 Febbraio 2008 at 09:34Statpress è stato modificato (cambiato il numero di voci per “categoria” la lato dettagli) e funziona perfettamente.
in sostanza, entrambi gli aggiornamenti sono attivi e funzionanti, ma è come se qualcosa dicesse a WP che esiste un nuovo aggiornamento.
Fabio Bulfoni
8 Febbraio 2008 at 10:23E come si sono presentati oggi, gli inviti all’aggiornamento sono spariti senza fare nulla.
Quando si parla di misteri…
Saluti,
FB
SteveAgl
8 Febbraio 2008 at 10:40Allora potrebbe essere sato un problema momentaneo sul server di WP per la verifica delle versioni. I miei blog non segnalano aggiornamenti da fare, correttamente.
maurizio
29 Agosto 2009 at 08:44Salve, qualcuno mi dice come si fa a mettere il titolo del post che si inserisce nel titolo dei motori di ricerca e non nella descrizione???
overbooking
30 Dicembre 2019 at 16:58What i do not understood is if truth be told how you are
no longer really a lot more neatly-appreciated than you might be right now.
You’re so intelligent. You know thus considerably on the subject of this topic, made me personally consider it from so many numerous angles.
Its like women and men don’t seem to be involved except it is one thing to accomplish
with Girl gaga! Your individual stuffs nice. All the time
take care of it up!
[…] Il post di PseudoTecnico su WordPress Italy […]
[…] Copyright Tutti i contenuti di questo sito, ove non diversamente indicato, sono coperti da licenza Creative Commons. La riproduzione di tutto o parte i contenuti di questo sito potranno avvenire solo senza alcun scopo di lucro e dovranno riportare la fonte originaria ed un link a WordPress Italy e/o quella degli autori orginari. «« WordPress 2.3.3 e WP-Forum […]
WordPress 2.3.3 e WP-Forum…
…
[…] WordPress 2.3.3 e WP-Forum […]