Ci siamo aggiornati alla versione 2.0.4 di WordPress.
Come al solito NON abbiamo disattivato i plugin e NON abbiamo effettuato un backup del db.
Il secondo comportamento è dovuto all’implementazione di un plugin di backup che già mi spedisce copia del db, quindi non ne avevo bisogno.
Il primo è frutto della mia solita temeraria tempra.
If you are running WordPress as your blogging platform and if you have been trusting enough to leave User registration enabled for guests, DISABLE IT IMMEDIATELY (in wp-admin >> options: make sure “Anyone can register” is not checked).
Additionally, delete or disable ANY guest account already created by people you are not sure about.
Leaving it open and letting people sign-up for guest accounts on your WordPress blog could lead to incredibly nasty stuff happening if anybody so desired. And trust me I am not exaggerating this. So don’t wait a second to disable this option and please relay the message.
Wordpress dev team has been notified a while back and I dare hope they will soon start acting on it, if only by relaying a similar announcement through the official channel (as well as, of course, releasing a proper patch).
Sorry for the shrill hysterical tone, but this is a big deal. However, disable that one option and you are fine, no need to panic further 🙂
[cheers go to Geoff Eby for discovering and bringing this insane security exploit to my attention]
Update: a small follow-up addressing comments and concerns I have received ever since this last warning, is posted here. Feel free to ignore completely unless you really care about inner WordPress politics (yawn).
[Via Dr. Dave]
Ok, un sospetto ce l’ho: il malefico che ha fatto saltare il database del mio blog occhio e croce è impersonato dal plugin di structured blogging. E non lo linko nemmeno, vade retro Santana. Allorquando mi accorsi oggi di avere perso il db e di avere come unico backup una copia di Domenica, mi si pose il quesito: Come recupero i post da Domenica a oggi? Ma per carità, a che servirebberlo le Anteprima feed di Bloglines? E’ bastato semplicemente andare nella sezione Cerca, inserire la parola chiave zarrelli, scorrere i titoli dei miei ultimi post e cliccare il link Anteprima feed per quei post di cui volevo recuperare il contenuto, con tanto di formattazione. Un veloce copia e incolla e il lavoro è stato portato a termine, recuperando anche la data e l’ora di pubblicazione di ognuno. Uniche limitazioni, non sono riuscito a recuperare le categorie dei post, ma ho ovviato a memoria, e i commenti. Se avete lasciato dei commenti, siete pregati di riscriverli, giusto per consegnare ai posteri una memoria intatta dei vostri pensieri.
Ok, abbiamo iniziato la migrazione dei siti, proprio partendo dal mio. Siamo sotto il nuovo server e gestiti da ISPConfig. Quest’ultimo ha fatto qualche bizza, ma alla fine si è rassegnato a lavorare senza recalcitrare. Devo dire che il gestore di spam di posta lavora decisamente meglio che nel mio vecchio server e forse passare a Postfix da Qmail un paio di cosette le ha sistemate a questo riguardo.
La linea sembra finalmente più veloce.
Magari in settimana faccio una recensione di ISPConfig.
Questo blog è passato alla versione 2.0.3 di WordPress, in maniera indolore.
L’importante è crederci.
