Buon anno ai miei lettori

Voglio augurare a tutti i miei lettori un sereno 2010: sì, un sereno 2010. Ce lo auguriamo ogni volta, e credo che sia davvero importante farlo, ogni volta.

Non voglio eccedere nel chiedere molte cose: desidero almeno che a fine anno possiamo dire: “Beh, tutto sommato è stato un anno sereno e qualcosa di quello che volevo fare si è realizzato!”.

Auguri! :-)

Proteggere WordPress da richieste URL maligne

A settembre 2009 WordPress fu oggetto su larga scala di una serie di attacchi che sfruttavano URL confezionati ad arte. Con una funzione specifica possiamo rendere nulli questi tentativi criminali.

Note
Post aggiornato il 30 dicembre @ 19:33

Leggo e rimbalzo ai lettori italiani il post di Jeff Starr su come proteggere WordPress da richieste URL pericolose come quelle che, vi ricorderete, a settembre scorso posero le installazioni non aggiornate di WordPress sotto attacco. Quegli indirizzi, spesso molto lunghi, contenevano parole come “eval” e “base64_decode”. Con quattro righe di codice, però possiamo impedire richieste di indirizzi che abbiano queste caratteristiche.

Copiate queste righe:

<?php 
/* 
Plugin Name: Block Bad Queries
Plugin URI: http://perishablepress.com/press/2009/12/22/protect-wordpress-against-malicious-url-requests/
Description: Protect WordPress Against Malicious URL Requests
Author URI: http://perishablepress.com/
Author: Perishable Press
Version: 1.0
*/
global $user_ID; if($user_ID) {
 if(!current_user_can('level_10')) {
  if (strlen($_SERVER['REQUEST_URI']) > 255 || 
   strpos($_SERVER['REQUEST_URI'], "eval(") || 
   strpos($_SERVER['REQUEST_URI'], "CONCAT") || 
   strpos($_SERVER['REQUEST_URI'], "UNION+SELECT") || 
   strpos($_SERVER['REQUEST_URI'], "base64")) {
    @header("HTTP/1.1 414 Request-URI Too Long");
    @header("Status: 414 Request-URI Too Long");
    @header("Connection: Close");
    @exit;
  }
 }
} ?>

incollatele in un file con nome block-bad-queries.php, uploadatelo nella directory wp-content/plugins e attivate il plugin. Da questo momento le richieste di indirizzi che

  • siano più lunghe di 255 caratteri
  • o che contengano la parola eval(
  • o che contengano la parola base64
  • o che facciano altre operazioni non consentite come concat e union+select

non verranno soddisfatte. Ho aggiunto anche una condizione iniziale per permettere all’amministratore del sistema di essere escluso da quelle regole: può succedere, infatti, che una operazione amministrativa come la modifica di massa di più post generi URL lunghe, rendendo impossibile la modifica.

Questo, comunque, non vi esonera dall’impegno di aggiornare la vostra copia di WordPress. :mrgreen:

Viaggio nell’Universo conosciuto

Un brivido mi ha solcato la schiena da cima a fondo: una sensazione mista di nullità e potenza al tempo stesso. Ecco perché:

Da guardare in HD a pieno schermo.

Grazie infinite a Paolo Attivissimo per averci segnalato questo splendido video.

Aggiungo anche questo per completare l’argomento:

WordPress 2.9 “Carmen”

WordPress 2.9, chiamato “Carmen”, è pronto per l’installazione. Interessante il changelog; i cambiamenti subito evidenti all’utente sono quelli ormai noti per chi si interessa al suo sviluppo:

  1. il cestino per articoli, pagine, immagini;
  2. l’editor per le immagini direttamente online, funzione che ho già usato su alcuni progetti e che si rivela davvero utile e facile da usare;
  3. aggiornamento di massa dei plugin, senza doverlo fare uno a uno;
  4. pubblicazione di un video, da servizi tipo Youtube, semplicemente incollando la riga dell’indirizzo nel box di scrittura.
  5. possibilità di definire l’immagine dell’articolo, funzione utilissima in temi di tipo magazine o per chi gradisce richiamare in un tema gli articoli con una immagine.

E poi ancora:

  • aggiunta dei Canonical URL, che di fatto rende obsoleta questa aggiunta;
  • ottimizzazione automatica del database aggiungendo define('WP_ALLOW_REPAIR', true); in wp-config.php;
  • ora i modelli per le pagine archivio di categoria possono avere il nome category-miacategoria.php e non solo category-id.php; stessa cosa per i tag;
  • le sidebar possono avere una descrizione esplicativa circa il loro uso nel tema;
  • le gallerie di immagini possono essere meglio personalizzate 1.

Queste sono le novità maggiori che secondo me questa versione ci regala. Per ulteriori informazioni leggi il post del blog di sviluppo: WordPress 2.9, oh so fine.

Note

  1. Su questo devo comunque approfondire di più.

Shortlink wp.me in WordPress 2.9

wp-shortlinkQuando aggiornerete a WordPress 2.9, vi ritroverete anche un nuovo pulsante nel pannello di scrittura per mostrare lo shortlink del post. A patto di avere anche l’ultima versione del plugin WordPress.com Stats. L’indirizzo sarà del tipo http://wp.me/abcde-x, dove abcde è il codice identificativo del blog e x sta per il numero progressivo dell’articolo. Qualche nota tecnica qui.

Da notare che lo shortlink viene generato dal plugin in ogni caso, cioè a prescindere dalla pressione del pulsante nel pannello di scrittura.

Shortlink di questo post: http://wp.me/p4yd8-vT.

Via WP Tavern.

Full Circle Magazine n. 28

fcm-28

Abbiamo pubblicato il numero 28 della rivista Full Circle nel sito internazionale. Per il download del PDF fate clic sui link riportati in basso.

Dal sommario

  • Programmare in Python, parte 2
  • Server LAMP, parte 1
  • Una rete di PC Ubuntu con SSHFS
  • Internet più veloce con Squid
  • Recensione di Tellico
  • Donne Ubuntu: intervista a Leigh Honeywell
  • Top 5: Client SIP

Link

Note
Puoi sfogliare a pieno schermo l’ultimo numero dalla pagina dedicata in questo blog.

Buona lettura! ;)