Tempi duri per la piattaforma di blogging più famosa del momento,WordPress è da sempre considerato un cms semplice e performante, ma nell’ultimo periodo ne sta passando di tutti i colori; ultima news è un bug grazie al quale nelle versioni <= 2.8.3 tramite l’inserimento di un link esterno è possibile rimpostare la password di un utente . Viene da se che il malitenzionato punterà all’user con i maggiori privilegi, l’administrator.
Quando un utente resetta e cambia password dell’account,wordpresss invia una email al proprietatio per convalidarne il processo,con il bug scoperto questo passaggio non si verifica e viene saltato.
Fatta questa premessa, come diretta conseguenza per evitare problemi di sicurezza ho dovuto aggiornare la mia piattaforma; vediamo in pochi e semplici passi come mettersi al sicuro:
1) Backup file di versione
- Collegarsi tramite l’ftp(Filezilla,cuteftp ecc) al propio dominio e backuppare ogni singolo file di versione, salvando il tutto in una cartella sul propio desktop.
2) Backup database
- Seguire una delle procedure riportate in questo paper, creato dal forum italiano di wordpress. Se il vostro hosting lo permette e le dimensioni del vostro db non sono eccessive vi consiglio la procedura ‘Il processo di backup con PhpMyAdmin’.
3) Caricamento versione 2.8.4
- Effettuare il download della versione base, per evitare ogni possibile conflitto ed avere una situazione iniziale pulita. [Download wp_2.8.4]
- Collegarsi tramite ftp e dopo aver scompattato l’archivio .zip caricare la nuova versione di worpress eccetto i file ‘htaccess’, ‘wp-config.php’ e la directory ‘wp-content’; queste eccezioni sono a fine precauzionale(a volte le operazioni di sovrascrittura lasciano errori e mezzi file).
- Puntare il broswer all’indirizzo di localizzazione del file *./upgrade.php e seguire le istruzioni di aggiornamento database.