Se la sicurezza del vostro blog vi sta a cuore come la copertina che alberga mattina e sera sul vostro divano, vi consiglio di dare un’occhiata a questa lista di plugin messa a punto da Specky boy.

Si tratta di plugin dedicati alla sicurezza in senso lato, dalla protezione dei dati, agli strumenti contro lo spam, alle login sicure.

Io mi sono limitato a tradurla liberamente. Buona lettura.

1. WordPress Database Backup (http://www.ilfilosofo.com/blog/wp-db-backup/)

URL: http://www.ilfilosofo.com/blog/wp-db-backup/
Description: Questo plugin fa proprio ciò che il nome lascia intendere, esegue il backup dell’intera installazione di WordPress. Dovrebbe essere uno dei primi plugin da installare appena create il vostro blog. Vi consente di eseguire i backup copiandoli sul vostro disco rigido, su un server o anche tramite email. Che si tratti di un plugin riottoso, un hacker (o voi stessi) a far crashare WP, WP Database Backup riporterà tutto a come avrebbe dovuto essere (prima del danno). Mi piace pensare a questo plugin come a un “WP , recupero del sistema.

2. Semisecure Login (http://jamesmallen.net)

URL: http://jamesmallen.net/2007/09/16/semisecure-login/
Description: Semisecure incrementa la sicurezza della componente di Login di WP, utilizzando una crittazione lato client delle password in MD5 (vabbé, MD5 è un hash…). Affinché la criptazione possa venire eseguita è necessario che che il navigatore supporti JavaScript. Quando il supporto JavaScript non è disponibile, la password viene trasmessa in chiaro (come succede normalmente), ma l’autenticazione procede senza alcun ostacolo.

3. AskApache Password Protect (http://www.askapache.com)

URL: http://www.askapache.com/wordpress/htaccess-password-protect.html
Description: Questo plugin renderà più sicuro l’accesso alla console di amministrazione di WP tramite l’utilizzo di htaccess per la gestione delle password, impedendo agli indesiderati bot l’ingresso al vostro sito.

4. Force SSL (http://almosteffortless.com/)

URL: http://almosteffortless.com/wordpress/force-ssl/
Description: Se avete un certificato SSL, il plugin Force SSLFor forzerà le connessioni su HTTPS per garantire una migliore sicurezza. Ciò è utile per coloro che vogliono assicurare un maggiore livello di sicurezza per la veicolazione dei contenuti al navigatore.

5. WP Security Scan (http://wordpress.org/extend/plugins)

URL: http://wordpress.org/extend/plugins/wp-security-scan/
Description: Adoro questo plugin, che scandisce il vostr osito alla ricerca di problemi di sicurezza e controlla password, permessi sui file e messa in sicurezza del database, nascondendo anche la versione di WP e proteggendo/rendendo sicuro l’admin di WP. Mi rende anche un po’ paranoico.

6. Secure Files (http://wordpress.org/extend/plugins)

URL: http://wordpress.org/extend/plugins/secure-files/#post-271
Description: Questo plugin vi consente di caricare e scaricare file al di fuori della document root del vostro sito web, per motivi di sicurezza. Quando viene utilizzato insieme a un plugin che richiede all’utente di essere loggato per poter leggere le pagine del vostro sito, potete limitare i donwload agli utenti loggati.

7. WP-SpamFree (http://www.hybrid6.com/)

URL: http://www.hybrid6.com/webgeek/plugins/wp-spamfree
Description: Ho sentito parlare parecchio di questo plugin prima di provarlo e si dice che sia meglio di Akismet. In tutta onestà, non ho mai notato molta differenza (ho 500 messaggi di spam al giorno, in questo periodo) fra i due. Penso sia solo una questione di scelta dell’utente. Speravo ci fosse invece un modo per fermare gli spammer.

8. BackUpWordPress (http://wordpress.designpraxis.at)

URL: http://wordpress.designpraxis.at/plugins/backupwordpress/
Description: Quasi identico al primo plugin, solo non altrettanto semplice. La lista di funzionalità è lunga ed è indicata per un WP Pro. Alcune funzionalità: backup del database, inclusi i file caricati, i plugin, etc; notifica via email dei nuovi backup; backup lanciabili manualmente, possibilità di pianificare i backup, di eseguire restore, importazioni scaglionate di SQL; prosecuzione in background dei backup non terminati; Supporto lingue. (E questo solo per la modalità Easy, aspettate di vedere quella avanzata).

9. Anonymous Wordpress Plugin Updates (http://f00f.de/)

URL: http://f00f.de/blog/2007/10/02/plugin-anonymous-wordpress-plugin-updates.html
Description: Anonimizza il sistema di controllo degli aggiornamenti dei plugin, una nuova funzionalità introdotta in WordPress 2.3. Il plugin impedisce a WordPress di inviare una lista di plugin attivi, l’url del blog e la versione di WordPress. Ideale per gli amministratori consapevoli delle implicazioni relative alla privacy di una installazione WordPress.

10. Replace WP-Version (http://wordpress.org/extend/plugins/)

URL: http://wordpress.org/extend/plugins/replace-wp-version/#post-2859
Description: (Abbiamo tutti letto del problema di sicurezza derivato dal mostrare la propria versione di WP, questo plugin lo risolve). Se state utilizzando una versione più vecchia di WordPress, chiunque può vedere i sorgenti per capire quali attacchi possono funzionare contro il vostro blog. Questo plugin rimpiazza l’informazione relativa alla versione di WP con una stringa casuale per le versioni < 2.4 e la elimina per le versioni > 2.4.

Giusto per la cronaca, l’interfaccia flash per il caricamento delle immagini in WordPress 2.5 non funziona con la versione di Flash installata sulla mia Ubuntu Hardy.

Ecco i dati della mia configurazione:


uname -a
Linux salotto 2.6.24-12-generic #1 SMP Wed Mar 12 22:31:43 UTC 2008 x86_64 GNU/Linux



dpkg -l | grep flash
ii flashplugin-nonfree 9.0.115.0ubuntu5 Adobe Flash Player plugin installer
ii libflashsupport 1.9-0ubuntu1 Support library for sound output of Flash 9


La soluzione me l’ha trovata Wolly, conscio della schifezza della soluzione adottata per WordPress. Per intenderci, l’uploader è in compatibile con _certe_ versioni di Flash.

La soluzione:

Entrate nella directory


wp-content/plugins


e create un file


no-flash-uploader.php


contenente il seguente frammento di codice:


< ?php
/*
Plugin Name: No Flash Uploader
Version: 1.0
Plugin URI: http://dd32.id.au/
Description: Disables the Flash Uploader of 2.5
Author: Dion Hulse
Author URI: http://dd32.id.au/
*/

add_filter('flash_uploader', 'noflashuploader');
function noflashuploader(){
return false;
}


Fatto questo, andate nel pannello dei plugin e attivate il vostro nuovo plug-ciofeca.

Et voilà

P.S.

La prossima volta, datemi qualcosa di compatibile.

Postilla al postillo:

In Konqueror nemmeno appare l’opzione per caricare qualche tipo di media, fosse pure un file ASCII

Da qualche tempo questo blog non visualizza molti dei commenti che vengono lasciati dai gentili visitatori

Sapevo che, prima o poi, questo momento sarebbe arrivato. Avendo, ahem, “smaneggiato”, con file e tabelle, il backend di questa piattaforma sembra più un patchwork che qualcosa di coerente ed efficiente.

Nei prossimi giorni installerò una nuova piattaforma WordPress ex novo e trasmigrerò i dati, adattando la struttura ormai “balenga” al nuovo contenitore.

Indi, proverò a chiudere la serie “backup” e “stun”. Giurin, giurello!

In fede, speranza e carità

Giorgio

P.S.

Si nota l’influenza natalizia? Buone intenzioni, propositi edificanti…ahem…

Mai che ne andasse bene una…

Ecco cosa mostrava la procedura di aggiornamento a WordPress 2.3, una volta terminate le operazioni sul database.

Ops, per qualche ragione non sono state create quattro tabelle fondamentali.

Come rimediare? Semplice.

Come prima operazione, eseguite da shell un dump di tutto il database:

mysqldump -u nome_utente nome_database > 2007-09-25.database.dump.sql

Osservazione: prendete la buona abitudine di prefissare i vostri dump con data in stile americano.

Ora, eseguite da shell il dump delle tabelle categories e post2cat:


mysqldump -u nome_utente nome_database eventuale_prefisso_tabella_categories -p > 2007-09-26.categories.sql
mysqldump -u nome_utente nome_database eventuale_prefisso_tabella_post2cat -p > 2007-09-26.post2cat.sql


Adesso.

PRIMA di aggiornare, collegatevi al database utilizzato da WordPress, con la stessa utenza usata dal programma, e lanciate le seguenti query:


CREATE TABLE eventuale_prefisso_tabella_blog_terms (
term_id bigint(20) NOT NULL auto_increment,
name varchar(55) NOT NULL default '',
slug varchar(200) NOT NULL default '',
term_group bigint(10) NOT NULL default 0,
PRIMARY KEY (term_id),
UNIQUE KEY slug (slug)
);

CREATE TABLE eventuale_prefisso_tabella_blog_term_taxonomy (
term_taxonomy_id bigint(20) NOT NULL auto_increment,
term_id bigint(20) NOT NULL default 0,
taxonomy varchar(32) NOT NULL default ”,
description longtext NOT NULL,
parent bigint(20) NOT NULL default 0,
count bigint(20) NOT NULL default 0,
PRIMARY KEY (term_taxonomy_id),
UNIQUE KEY term_id_taxonomy (term_id,taxonomy)
);

CREATE TABLE eventuale_prefisso_tabella_blog_term_relationships (
object_id bigint(20) NOT NULL default 0,
term_taxonomy_id bigint(20) NOT NULL default 0,
PRIMARY KEY (object_id,term_taxonomy_id),
KEY term_taxonomy_id (term_taxonomy_id)
);
Ovviamente, eventuale_prefisso_tabella può essere tralasciato nel caso in cui le tabelle del database non avessero prefisso.

A questo punto, sovrascrivete i file del vostro blog con la nuova versione di WordPress e lanciate lo script di aggiornamento:


http://vostra_url/wp-admin/upgrade.php


Cliccate quanto basta per arrivare in fondo alla procedura, non preoccupatevi di eventuali chiavi duplicate (troppo pigri per farlo?)

Ora andate nel pannello di amministrazione, provate a scrivere un post, sbirciate in basso, dalle parti del modulo per il caricamento dei file e…

Ahem…durante l’aggiornamento la procedura ha cancellato le tabelle categories e post2cat. Ecco a cosa servivano i backup delle due tabelle in questione, eseguiti prima dell’aggiornamento.

Non rimane che ripristinare le due tabelle mancanti, lanciando da shell i seguenti comandi:


mysql -u nome_utente nome_database -p < 2007-09-26.categories.sql
mysql -u nome_utente nome_database -p < 2007-09-26.post2cat.sql

Fatto. WordPress riprenderà a funzionare senza segnalare ulteriori errori.

Per ora.

E’ uscito WordPress 2.3.

Si aggiorna alla garibaldina. Come sempre. Stay tuned.