E’ fondamentale tenere aggiornato Wordpress.
Una nuova versione risolve bug di sicurezza presenti nelle precedenti. Vale lo stesso discorso dei Sistemi Operativi, non nascono come optional ma come necessità.
Va fatta una doverosa distinzione però tra il core e la traduzione, i plugin ed i temi.
Personalizzazioni
Mi è capitato spesso di vedere blog non aggiornati perché personalizzati nel codice.
Un eventuale aggiornamento avrebbe resettato tutte le modifiche effettuate.
Niente di più sbagliato. (tranne alcuni casi specifici, è ovvio che non possiamo generalizzare)
Un problema comune che abbiamo è che la grande maggioranza dei temi non ha la traduzione italiana.
Capisco che un sito interamente sviluppato in italiano con in fondo all’articolo il messaggio Leave a comment non sia il massimo della vita, ma è opportuno sapere che esistono strumenti gratuiti che danno la possibilità di tradurre temi e plugin senza vivere nel terrore dell’aggiornamento.
Cosa succede quando viene aggiornato un plugin o un tema, o peggio (meglio) ancora Wordpress?
Viene caricato dal sistema il file zippato che viene scompattato all’interno della sua cartella di appartenenza.
I file presenti vengono sovrascritti, punto.
Se abbiamo modificato i messaggi nei file php del tema l’eventuale aggiornamento ce li farebbe fuori.
Se impari a creare il file in italiano it_IT.po non avrai più nulla da temere da un aggiornamento.
Vediamo nello specifico di cosa ti sto parlando.
Prima di tutto scarica il programma gratuito Poedit all’indirizzo https://poedit.net/ ed installalo come faresti con qualsiasi programma sul tuo pc.
Poedit è disponibile per Windows, Mac OS X e Linux, quindi non hai più scuse...
Il file .po si trova nella cartella “languages” o “lang“, a sua volta contenuta nella cartella del tema o del plugin ed è essenzialmente un file di testo, si presenta come una moltitudine di set di codici per quante sono le parole presenti nei vari componenti del tema.Il tema a sua volta utilizzerà le parole del file .po per mostrare a video il messaggio indicato nel codice, per mezzo del file con estensione .mo, che viene generato alla creazione del primo file.
ll file .mo si trova nella stessa cartella del file .po ed è semplicemente il file .po compilato e pronto per essere letto dai comandi PHP, quindi se proviamo ad aprirlo con un editor di testo visualizzeremo solo una serie di caratteri speciali e incomprensibili per all’occhio umano.
Ad ogni modifica del file .po, questo viene ricompilato: verrà quindi creato un nuovo file .mo, che va sempre caricato insieme al file .po.
In breve:
prendi il file della lingua dal tuo tema (solitamente in /wordpress/wp-content/themes/tema/lang)
Modificalo utilizzando Poedit, una volta aperto il programma apri il file in inglese, nella parte alta dello schermo hai le stringhe (in inglese ovviamente), nella parte bassa la traduzione che vuoi dare.
Salva il file come it_IT.po
Nel percorso sul tuo pc dove hai salvato il file .po avrai anche il file .mo che viene generato in automatico.
Carica sul server, sempre nel path /wordpress/wp-content/themes/tema/lang i due file.
Complimenti, hai tradotto il tema, ed al posto di Leave a Comment vedrai Lascia un commento!
Mi sono dilungato un pochino sulla traduzione dei temi perché devi capire che non puoi non aggiornare perché modifichi il codice!!!
Aggiornamenti dei Core
Ora che abbiamo messo da parte la paura degli aggiornamenti , dobbiamo sapere che quelli del prodotto sono suddivisi in
- aggiornamenti di sviluppo;
- aggiornamenti di release minori, come quelle di manutenzione e sicurezza;
- aggiornamenti di release maggiori.
Se non hai modificato nulla Wordpress di default aggiorna in automatico le release minori ed i file di traduzione del Core. Quindi, se hai installato la versione 4.3 ed esce la 4.3.1, Wordpress la aggiornerà in automatico.
Siamo noi a decidere come e quando vogliamo aggiornare, e lo possiamo fare con alcune regole agendo sul file di configurazione di Wordpress, il wp-config.php.
Prima di testare i seguenti filtri, fai un backup del file originale.
Per abilitare o meno gli aggiornamenti, dobbiamo utilizzare la costante WP_AUTO_UPDATE_CORE, che una volta dichiarata ci permette di abilitare o disabilitare vari tipi di aggiornamento, assegnandoli il valore
true, per abilitare tutti gli aggiornamenti di sviluppo, release minori e maggiori;
false, per disabilitare tutti gli aggiornamenti di sviluppo, release minori e maggiori;
minor, per abilitare gli aggiornamenti delle versioni minori, mentre quelli di sviluppo e delle versioni maggiori sono disabilitati.
Quindi, volendo installare tutti gli aggiornamenti possiamo inserire
define(‘WP_AUTO_UPDATE_CORE’, true);
mentre volendo passare in automatico alle versioni minori (dalla 4.1.1 alla 4.1.2 e così via)
define(‘WP_AUTO_UPDATE_CORE’, minor);
Questa opzione è già attiva a partire dalla versione 3.7, quindi se il tuo blog ha una versione successiva non è necessario intervenire. Se invece vogliamo disabilitare l’auto aggiornamento perché vogliamo agire manualmente dalla bacheca di amministrazione definiamo la costante
define(‘WP_AUTO_UPDATE_CORE’, false);
Questa costante puoi inserirla in qualsiasi punto del file di configurazione, ma per mantenere l’ordine (fondamentale!) ti consiglio di inserirla dove sono già presenti altre costanti, magari prendi l’abitudine di commentare quello che stai facendo, che un giorno ti tornerà utile.
Ora che hai capito come funziona il meccanismo degli aggiornamenti del core, vediamo come funziona per temi e plugin (cavallo di battaglia (e di Troia) che hanno reso popolare questo CMS).
Sicurezza e aggiornamenti dei Temi e dei Plugin
Prima di aggiornare è d’obbligo fare una considerazione. Perché si considerano temi e plugin i primi veicoli di attacco di un blog targato Wordpress?
Perché essendo degli extra che vanno ad arricchire le funzionalità del nostro amato Wordpress, lo espongono altresì a vulnerabilità che di suo non ne avrebbe.
E’ anche vero che senza di loro probabilmente Wordpress (come anche altri prodotti similari) non avrebbe raggiunto il successo che ha.
Ma è anche vero che l’uomo, per rinforzare la teoria dell’anello debole della catena, oltre che pigro è anche furbo, e molte volte invece di ripagare con moneta le fatiche altrui, pensa bene di ottenere gratuitamente sperando di non dover dare nulla in cambio (in concomitanza con un’altra strana teoria per cui se una persona sviluppa siti web e blog va pagato poco perché in fondo si
diverte..).
In rete si trovano molti siti che offrono a costo zero (forse è quello che stai cercando di credere) temi e plugin professionali nulled, regalandoti quello che cerchi in cambio di qualche click sui banner, peccato che i download si rivelano essere invece pieni zeppi di malware o link nascosti verso altri siti.
Ora, oltre ad aver fatto un danno economico allo sviluppatore del tema o del plugin per non pagare al massimo una cifra che può arrivare a sessanta euro, inconsciamente hai fatto un danno te stesso ed al tuo lavoro.
Tramite plugin e temi modificati è possibile aprire backdoor che l’attaccante può sfruttare come meglio crede, o semplicemente può utilizzare il vostro sito per dirottare le richieste verso altri lidi tramite link criptati all’interno del codice.
Non ci credi? Fai una prova (magari non sulla macchina virtuale, ancora ci serve...o magari si, non l'avevamo creata appositamente per fare i test?)
Un plugin sviluppato per Wordpress è TAC (Theme Authenticity Checker), che una volta installato effettua la scansione dei file contenuti nelle cartelle dei temi.
Purtroppo, fatta la legge trovato l’inganno, ed i più bravi (o scaltri) riescono ad eludere i controlli di TAC, ma per dare una controllatina iniziale può bastare.
Il download è gratuito alla pagina https://wordpress.org/plugins/tac/ ed una volta installato lo trovi nella sezione Aspetto, dove solitamente fai le modifiche grafiche ed aggiungi widget per il tuo blog.
Se invece sai già di aver scaricato un tema o un plugin da un sito che offre regali per Wordpress puoi direttamente puntare su Sucuri Scanner (https://it.wordpress.org/plugins/sucuri-scanner/), un plugin che andrò ad utilizzare in un articolo dedicato al post attacco.
Ora torniano a TAC, per renderci conto che non sono solo i malware che ci devono preoccupare...
Per farti capire meglio ho installato due temi gratuiti disponibili sul repository e questa è una schermata tipo di un tema genuino.
Entriamo nel dettaglio per scoprire che l’unico static link che ha trovato è quello che rimanda a Wordpress ed al sito dell’autore del tema, quindi tutto bene.
Ora carico un tema scaricato da un sito che offre gratuitamente il Tema Impreza, un ottimo tema Premium con molte funzionalità e dalla grafica più accattivante dei due che ho installato io, ma TAC non si rileva affidabile e non rileva nè il footer che invece di avere un link statico ne ha uno
codificato in base64, ne la presenza di codice malevolo all’interno del tema.
Quindi, passo numero uno, non ti fidare totalmente dei plugin per verificare il codice dei Temi di Wordpress.
L’occhio umano se ben allenato è lo strumento migliore.
Ma come, lo hai proposto tu questo plugin!
Si, è vero, ma è vero anche che essendo popolare rischia di passare per la panacea di tutti i mali, ed invece cos' non è.
Ora ti faccio vedere quello che ho trovato io facendo un semplice tasto destro -->visualizza sorgente pagina con Chrome e Firefox
<div style="position: absolute; top: -136px; overflow:
auto; width:1241px;"><h3><strong><a style="font-size:
11.335pt;" href="http://2giadinh.com/thoi-trang">thời trang
trẻ em</a></strong><strong><a style="font-size: 11.335pt;"
href="http://themestotal.com">Wordpress Themes Total
Free</a></strong><em><a style="font-size: 10.335pt;"
href="http://2xaynha.com">tư vấn xây nhà</a></em><em><a
style="font-size: 10.335pt;" href="http://lanakid.com">thời
trang trẻ em</a></em><em><a style="font-size: 10.335pt;"
href="http://2giaynu.com">shop giày nữ</a></em><em><a
href="http://magentowordpresstutorial.com/wordpress-
tutorial/wordpress-plugins">download wordpress
plugins</a></em><em><a href="http://2xaynha.com/tag/mau-
biet-thu-dep">mẫu biệt thự đẹp</a></em><em><a
href="http://epichouse.org">epichouse</a></em><em><a
href="http://fsfamily.vn/tag/ao-so-mi-nu">áo sơ mi
nữ</a></em><em><a href="http://en.2xaynha.com/">House
Design Blog - Interior Design and Architecture
Inspiration</a></em></h3></div>
Il mio blog avrebbe avuto in pancia tutti questi link nascosti verso siti esterni.
Quindi, non affidiamoci totalmente ai plugin, perchè se è vero che nella maggior parte delle volte ci vengono in aiuto, esistono dei casi dove non possono fare nulla, i fattori per i quali non riescono possono essere molti.
Il risultato di questi temi e plugin nulled, nela migliore delle ipotesi, è il nostro sito in blacklist, con tutte le conseguenze del caso.
Nella peggiore, se hai un e-commerce, te le lascio immaginare.
Una delle ultime novitá in fatto di malware per Wordpress è il CryptoPHP. Se hai un tema nulled effettua una scansione online all’indirizzo http://scan.cryptophp.com/ e verifica la presenza o meno del malware.
In caso positivo (positivo mica tanto), controlla subito se hai un file di nome social.png nel tema e cancellalo.
Non è un’immagine, ma la backdoor camuffata da immagine.
Ci siamo fatti “un mazzo tanto” per il nostro database, andiamo a controllare se nella tabella degli utenti non è stato inserito un utente a nostra insaputa che non conosciamo e cancelliamolo.
Cambia le password di tuti gli account che hanno il ruolo di Amministratore, perché quelle in uso sono ormai compromesse.
Dovresti essere al sicuro ora, anche se una reinstallazione di Wordpress ed un import tramite backup sarebbe la cosa migliore da fare.
Ti puoi proteggere semplicemente acquistando temi e plugin professionali, altrimenti devi ripiegare su quelli messi a disposizione in maniera gratuita sul repository di Wordpress.
E’ il primo regalo che puoi fare a te stesso e al tuo blog.
I tools per la sicurezza vanno utilizzati, ma per altri scopi che vedremo più avanti.
I plugin vanno utilizzati, perché rendono ogni installazione di Wordpress unica ed affascinante, ma non ne devi abusare, altrimenti Wordpress ne risentirebbe in termini di prestazioni e sicurezza.
Dopo questa lunga parentesi sulla sicurezza e sull’autenticità di Temi e Plugin, vediamo come è possibile abilitare gli aggiornamenti in automatico.
Gli aggiornamenti automatici di plugin e temi sono disabilitati per impostazione predefinta.
Possiamo abilitarli mediante l’utilizzo di filtri.
Non vanno inseriti nel file wp-config.php (attenzione, è importante non inserire le informazioni seguenti nel file di configurazione, genera un conflitto e come risultato avremo una pagina bianca!)
Per abilitare gli aggiornamenti automatici dei plugin
add_filter( 'auto_update_plugin', '__return_true' );
Per abilitare gli aggiornamenti automatici dei temi
add_filter( 'auto_update_theme', '__return_true' );
Ok, ma dove vanno inseriti?
Mai sentito parlare di Must Use Plugins (mu-plugin)?
La pagina ufficiale del Codex di Wordpress vi schiarirà le idee sul come utilizzare i filtri. Ho notato che spesso molti hosting utilizzano questi plugin che non sono visibili nella lista dei plugin installati, proprio perchè sono filtri e non devono essere manomessi.
Hai mai notato che utilizzando l'autoinstaller fornito non hai la possibilità di utilizzare l'Editor dei Temi?
Ecco un esempio di mu-plugin. Non possono essere rimossi da console. Vanno cancellati fisicamente tramite sFTP o dal pannello di controllo che abbiamo a disposizione, e successivamente anche dal file wp-config.php dove viene dichiarato il path di installazione.
Se invece vogliamo effettuare manualmente gli aggiornamenti dei temi e dei plugin non dobbiamo fare nulla perchè è l’impostazione di default di Wordpress.
L’aggiornamento manuale è obbligatorio solo per chi sviluppa e customizza un tema per esigenze dettate dal cliente, modifiche che andrebbero perse con l’aggiornamento.
Ma esistono ed eventualmente quali sono gli effettivi rischi degli aggiornamenti automatici?
Sono quelli di avere un sito non funzionante, perché un aggiornamento del plugin x ha dato problemi o non è compatibile con la nostra versione di Wordpress, che nel frattempo è avanzato ma il plugin non è al passo con i tempi o non viene più manutenuto.
Se accedi al tuo Wordpress almeno una volta alla settimana non attivare gli aggiornamenti automatici, piuttosto valuta bene uno ad uno quello che ti viene proposto e testalo prima nell'ambiente di Collaudo che abbiamo preparato all’inizio.
Fidarsi è bene, non fidarsi è meglio, ma non aggiornare mai è peggio.
arulajeh.id Situs Berita Terbaru Dan Terbaik
Tambahkan Komentar