Il 29/12/2010 mentre me ne stavo tranquillamente in ufficio, il mio blog  è stato defacciato e la home page è stata sostituita con un reindirizzamento ad un sito contenente immagini porno. Non è la prima volta che avviene, e quando succede è una gran rottura di balle, perchè bisogna ripristinare alcuni file del sistema e rivedere tutti i folder nei quali sono stati caricati file.

Per chi non lo sapesse il termine Defacing, nell’ambito della sicurezza informatica, viene utilizzato per definire il cambiamento illecito della home page di un sito web (la sua “faccia”) e la modifica di una o più pagine interne. Questa pratica è condotta da persone non autorizzate (detti cracker, non hacker) e all’insaputa di chi gestisce il sito. E’ illegale in tutti i paesi del mondo.

Le motivazioni di tale atto vandalico possono essere di vario tipo, dalla dimostrazione di abilità fino a ragioni ideologiche e politiche. Le tecniche utilizzate per ottenere i permessi di accesso in scrittura al sito sfruttano solitamente i bug presenti nel software di gestione del sito oppure nei sistemi operativi sottostanti: nel mio caso, questa volta, credo che il daface sia stato effettuato tramite un bug di WordPress.

Casualmente mentre ero li che aggiornavo e ripristinavo il mio blog, ecco che mi arriva una mail del simpatico Matt Mullenweg, che dopo aver comunicato la presenza di un aggiornamento critico, mi augura Merry WordPressing in 2011!

First off, happy holidays. I hope this time of the year, chilly for many of you, has given you time to enjoy family, friends, and loved ones and reflect on the year before and the year to come.

My last message to you this year is an important but unfortunate one: we’ve fixed a pretty critical vulnerability in WordPress’ core HTML sanitation library, and because this library is used lots of places it’s important that everyone update as soon as possible. I realize an update during the holidays is no fun, but this one is worth putting down the eggnog for. In the spirit of the holidays, consider helping your friends as well. You can update in your dashboard, on the “updates” tab, or download the latest WordPress here: http://wordpress.org/download/

The official release announcement is here: http://wp.me/pZhYe-qt

Merry WordPressing in 2011

Matt Mullenweg
http://ma.tt | http://wordpress.org | http://automattic.com

Cliccando sul comunicato ufficiale, si parla proprio di vulnerabilità XSS:

3.0.4 Important Security Update

Posted December 29, 2010 by Matt Mullenweg. Filed under Releases,Security.

Version 3.0.4 of WordPress, available immediately through the update page in your dashboard or for download here, is a very important update to apply to your sites as soon as possible because it fixes a core security bug in our HTML sanitation library, called KSES. I would rate this release as “critical.”

I realize an update during the holidays is no fun, but this one is worth putting down the eggnog for. In the spirit of the holidays, consider helping your friends as well.

If you are a security researcher, we’d appreciate you taking a look over this changeset as well to review our update. We’ve given it a lot of thought and review but since this is so core we want as many brains on it as possible. Thanks to Mauro Gentile and Jon Cave (duck_) who discovered and alerted us to these XSS vulnerabilities first.

Apperò, Matt classifica questa release Critical e ce lo dice sorridendo: peccato che su una vulnerabilità XSS (anche detta di Cross Site Scripting) non c’è una fava da ridere!

Insomma, alla fine grazie a questo “buchetto” ho passato 2 ore serali a ripristinare il blog, un pò di autorizzazioni e soprattutto dopo aver aggiornato WordPress alla versione 3.0.4 .

[Provocazione ON]

Beh questo è secondo me il brutto dei prodotti Open Source: con chi te la prendi in caso di danni generati da una falla di questo tipo?

[Provacazione OFF]

PS: ovviamente faccio riferimento a tutti i blog / siti che utilizzano wordpress come piattaforma su hosting privati e non su WordPress.com

Configurando Wordpress su server Windows e IIS mi è capitato di imbattermi nella configurazione dei permalinks. Per poter utilizzare i permalinks, in generale, il server deve esser configurato con il mod_rewrite, che però non è supportato nativamente dai server Windows.

Anche se non è presente il mod_rewrite su server windows, wordpress permette comunque di utilizzare i permalinks, ma il risultato è leggermente diverso da una stessa installazione effettuata su Linux + Apache. Nella sezione Permalinks del pannello di WordPress è infatti possibile configurare i parmalinks che genereranno un indirizzo simile a questo:

/index.php/archives/%year%/%monthnum%/%day%/%postname%

WordPress aggirerà il problema passando gli argomenti alla pagina e mostrando nell’url index.php.

Facendo in pò di ricerche ho trovato sul sito WordPress Codex la soluzione a questo problema e quindi la possibilità di configurare IIS per supportare il mod_rewrite. La soluzione è semplice se il server gira con II6 + framework .net 3.5 o con II7.

Semplicemente, nella root del sito dove è installato WordPress, va inserito un file web.config contenente il seguente codice:

<rewrite>
    <rules>
        <rule name="Main Rule" stopProcessing="true">
            <match url=".*" />
            <conditions logicalGrouping="MatchAll">
                <add input="{REQUEST_FILENAME}" matchType="IsFile" negate="true" />
                <add input="{REQUEST_FILENAME}" matchType="IsDirectory" negate="true" />
            </conditions>
            <action type="Rewrite" url="index.php/{R:0}" />
        </rule>
    </rules>
</rewrite>

Entrando poi nel pannello sarà possibile togliere la chiamata al file index.php abilitando la struttura Custom del permalinks.

Come tutti sapete WordPress nasce come sistema di Content Management System open source (PHP + MySQL) installabile su server Linux. Può capitare (anche se qualcuno storcerà il naso e la bocca) di avere l’esigenza di dover installare wordpress su un server Microsoft Windows e web server IIS. Una volta installato il PHP sotto IIS, l’istanza di MySQL, e aver configurato WordPress, si presenteranno due grossi problemi:

1. la riscrittura degli URL (url rewrite)
2. l’invio delle notifiche email (password dimenticata, registrazione, commenti e moderazione)

Per quanto riguarda la riscrittura dell’url rewrite scriverò un articolo a parte. In questo post riporterò tutto quello che si deve configurare per effettuare la configurazione delle email.

1. Configurazione SMTP in PHP.INI

Prima di tutto è necessario attivare l’invio delle e-mail attraverso la configurazione dell’SMTP nel file php.ini. Procedere nel seguente modo:

• Arrestare IIS da Gestione IIS.
• Aprite il file php.ini. Il file potrebbe trovarsi sotto C:\ PHP oppure nella cartella C:\ WINDOWS. Questa differenza dipende da come è stato configurato IIS e PHP sul vostro sistema.
• Una volta aperto il file php.ini con il blocco note o altro editor di testo, cercare la voce denominata “[funzione mail]” e impostate come di seguito i valori SMTP=Localhost e smtp_port = 25
• Salvare e chiudere il file php.ini.

2. Configurazione  impostazioni SMTP IIS

Completata la configurazione del PHP.ini si passa alla configurazione dell’IIS Internet (Information Services Manager). Ipotizzando che il vostro IIS sia già in esecuzione, entrando nella consolle dovreste essere in grado di vedere una voce tipo “Default SMTP Virtual Server” o simile. Entrate nelle proprietà e poi in Accesso e configurate le impostazioni di connessione ed inoltro come nella figura. Inserire come server autorizzati “127.0.0.1″, “localhost” e se possibile l’IP pubblico del server stesso. Una volta completata questa operazione, riavviare IIS da IIS Manager.

Completata questa configurazione effettuate un test di invio email dal vostro server. Se le email partono, ma da wordpress ancora no, è possibile che il server non accetti l’invio di email senza autenticazione. In tal caso procedete anche con l’installazione del plug-in per wordpress riportato al punto 3.

3. Installazione plug-in “Configure SMTP WP”

Il problema dell’invio di email con autenticazione può quindi esser risolto con l’installazione di SMTP Configurare plugin WP. Questo plugin permette di configurare l’invio tramite SMTP autenticato (esempio Gmail). L’installazione è molto semplice, dopo aver farlo basta configurare il server SMTP dettagli e funziona solo. Il Plug-In è presente alla pagina dello sviluppatore oppure nella directory dei plugin di wordpress

Enjoy!

Lavoro nel campo dell’informatica da circa 10 anni. Una delle tipologie di progetti sui quali sono stato maggiormente impegnato sono i sistemi di Content Management System (CMS): dalle esperienze su sistemi sviluppati in casa, a quelli opesource o non, da tecnologia ASP (bastapoco.it di aditusnet.it, Dblog ) a quelli .net (BlogEngine) passando per quelli in Php dutante l’esperienza universitaria (Joomla e Mambo).

Da circa 4 mesi ho iniziato a sviluppare alcuni blog per clienti ed alcuni per sfizio sulla piattaforma editoriale WordPress.  Inizialmente ho utilizzato WordPress direttamente sui server messi a disposizione, poi, ho cominciato a passare alcuni siti direttamente presso il provider sul quale si appoggia l’azienda di mio fratello.

In prima battuta ho effettuato delle installazioni su server Linux e dopo aver approfondito alcune tematiche relative alla sicurezza, all’installazione e alla personalizzazione, ho ricevuto la richiesta di installare tutta la piattaforma WordPress su Server Microsoft (windows 2003 server) e MySQL. L’installazione non è stata facilissima, ma grazie alla rete e ai mille forum presenti in internet tutto è stato risolto (l’unico problemino continuo ad averlo con la spedizione di email… – ma presto metterò un post su questo!).

Insomma per concludere. Dopo un pò di verifiche, installazioni, configurazioni e qualche personalizzazione devo tornare sui mie passi: se fino a qualche tempo fa ero contro l’utilizzo di queste piattaforme ed ero a favore dei CMS sviluppati ad hoc e non open source, beh, adesso non posso che dire il contrario. I Love WordPress!