WordPress: Urgente aggiornamento all'ultima versione

[eudemonico]

Ciao,

riposto qui l'articolo appena uscito sul blog di AlterVista

A causa di un malware che sfrutta una vulnerabilità scoperta di recente (11/8/09) è urgente aggiornare WordPress all’ultima versione disponibile: la 2.8.4

Il worm, per il momento sconosciuto, è particolarmente malevolo:

“registra un utente, usa un bug (già sistemato in precedenza) in modo da permettere l’esecuzione di codice attraverso la struttura dei permalink, si autoproclama admin, poi usa codice JavaScript per nascondersi quando si accede alla pagina degli utenti (…), e diventa silenzioso in modo da non far notare l’aggiunta di spam e malware all’interno dei vecchi post”.

I segni dell’infezione sono principalmente due:

"la presenza di stringhe di codice anormale all’interno dei permalink ai post contenenti le keyword “eval” e “base64_decode”, e l’installazione di una “backdoor” corrispondente a un utente con privilegi di amministratore elencato nella dashboard a cui è impossibile accedere dal proprio account di admin."

Quindi

È urgente aggiornare Wordpress alla versione 2.8.4:

Se hai installato Wordpress su un AlterSito vai su Pannello di Controllo > Altersito > Applicazioni > Aggiorna WordPress

Se hai un AlterBlog vai su Pannello di Controllo > AlterBlog > Aggiorna il Blog

È anche consigliabile cambiare le password di amministrazione

Se il blog fosse già infetto occorre esportare tutti i contenuti disinstallare e reinstallare WordPress:

Se hai un AlterBlog effettua il passaggio ad AlterSito, dal tuo pannello di controllo di AlterVista e segui questa guida

1 - Dal Pannello di Wordpress > Strumenti > Esporta. Poi devi scaricare via FTP i media che altrimenti andranno persi.

2 - Dal Pannello di Controllo di AlterVista disinstalla e reinstalla Wordpress: Pannello di Controllo > Pubblica > Installa blog/forum/gallery

(per le citazioni vedi Alfonso Maruccia su Punto Informatico)

metto in evidenza fino alla prossima newsletter

facendo un giro qua e là sui blog di av , molti ancora non hanno aggiornato!

[Gianluca]

A breve sarà mandata una mail a tutti coloro i quali hanno ancora versioni di wordpress AlterBlog o installate dal pannello dell'AlterSito non aggiornate.

Ovviamente chi ha installato wordpress per conto proprio non riceverà alcuna comunicazione e deve accertarsi che la copia sia aggiornata e procedere all'aggiornamento individualment ove necessario.

Io utilizzo un altro CMS al momento... E' possibile che l'avviso sia stato mandato a tutti, anche a chi non ha (mai) installato Wordpress nel proprio spazio?

[dapeco]

Nel tuo account wordpress risulta installato, ma non presente (probabilmente l'hai installato e poi hai eliminato la cartella Blog), per questo il sistema ti ha notificato la presenza dell'applicativo vecchio.

Capito, grazie. Volevo essere sicuro di non avere un Wordpress nascosto da qualche parte.

[eeepc901]

Anche a me è arrivata la newsletter di aggiornare, solo che avevo già aggiornato lunedì appena la notizia si era diffusa in rete.
L'unica differenza rispetto agli aggiornamenti precedenti che effettuavo, è che l'aggiornamento automatico non funzionava (dava errori nei permessi delle directory) e ho dovuto rimpiazzare i files manualmente (ho usato però la versione di Wordpress fornita da Altervista)

io disinstallo wordpress e non se ne parla più :D

Ciao,
Ciao,
dopo aver effettuato l'aggiornamento ho problemi di visualizzazione nella discussion area del mio blog, ho infatti il seguente log error:

Fatal error: Call to undefined function: display_cryptographp() in /membri/fattalarga/wordpress/wp-content/themes/yellowjacket-10/comments.php on line 98

potete aiutarmi ?
Grazie

sapete spiegarmi come mai nel mio blog http://chioggiapratica.altervista.org/ non posso inserire i commenti???

ho appena aggiornato wordpress e il suo database all'ultima versione da "strumenti/aggiorna" che trovo nel menù del blog

giusto a titolo informativo relativamente al problema che avevo evidenziato ho risolto eliminando la stringa display_cryptographp nel file comments.php
che si trova in wordpress/wp-content/themes/yellowjacket-10/

Ciao

ciao a tutti, se faccio fare l'aggiornamento in automatico dal pannello di controllo mi viene mantenuto il database ed il tema ?

[Gianluca]

blogtoscano:

Con l'aggiornamento aoutomatico tutto viene mantenuto.

air:

cosa intendi? Hai un messaggio d'errore quando cerchi di inserirli? Che tema usi?

prima di chiedervi una consulenza, volevo farvi gli auguri di buon natale.
il mio blog, creato con wordpress, mi chiede di aggiornare la versione 2.8.4 alla 2.9.
il problema è che vorrei eseguire questa operazione tramite gli aggiornamenti automatici di wordpress.
inserendo correttamente i parametri quali nome sito, nome utente e password, wordpress mi da questo messaggio di errore: "Fallita la connessione al server FTP www.cgiovaniloria.altervista.org:21".
non ho nessun problema di firewall o altro, tramite filezilla riesco caricare i file sul server ma volevo utilizzare questa comodità offerta da wordpress.
anche perchè questo problema si verifica negli aggiornamenti dei plugin.
il database è impostato su php=4 (cmq ho provato a mettere su 5 ma il problema si verifica lo stesso).
grazie per la cortese attenzione.

È lo spazio FTP ad essere impostato su PHP4, e comunque su AlterVista non si può usufruire della funzione di aggiornamento automatico di Wordpress, mi dispiace.

È lo spazio FTP ad essere impostato su PHP4, e comunque su AlterVista non si può usufruire della funzione di aggiornamento automatico di Wordpress, mi dispiace.

Invece si può avere l'aggiornamento automatico basta installare la versione di Wordpress presente sul pannello di controllo i Av e quando sarà disponibile verrà rilasciato l'aggiornamento

cmsmania, quella è un'altra cosa, è l'aggiornamento di AlterVista... non facciamo confusione. Io parlo del sistema di aggiornamento automatico di Wordpress, e quello non funziona perché AlterVista non consente le connessioni FTP.

[profetaincerto]

Salve, ho installato wordpress sul mio AlterSito (profetaincerto.altervista.org) tramite la pagina "installa blog, forum, gallery, portale", ma adesso non riesco a trovare nella stessa pagina (se ho ben capito le istruzioni dell'AV blog) il comando "aggiorna".
Cosa mi è sfuggito?
Scusate ma è la prima volta che lo faccio.

[dapeco]

L'aggiornamento lo trovi nel pannello di controllo di AV: AlterSito - Applicazioni. Lì, se hai installato l'applicativo trovi anche l'opzione per aggiornarlo nel caso sia disponibile una versione successiva.

[profetaincerto]

L'aggiornamento lo trovi nel pannello di controllo di AV: AlterSito - Applicazioni. Lì, se hai installato l'applicativo trovi anche l'opzione per aggiornarlo nel caso sia disponibile una versione successiva.

Grazie per la sollecita risposta (nonostante l'ora...).
In verità proprio lì lo andavo cercando...
Quello che trovo è il solito riquadro per installare l'applicativo da zero
alla 2.9 (io ho la precedente). Devo passare di lì?
Ho provato a selezionarlo ma continuo a non vedere nessun rassicurante "aggiorna"
e ho paura che mi cancelli tutto.
Nel caso non riesca a risolvere l'alternativa è procedere a mano?

Grazie mille
PI

[dapeco]

Avevi un AlterBlog che poi hai passato ad AlterSito?

[profetaincerto]

No, AlterSito fin dall'inizio.

salve, io ho avuto questo problema, fotunatamente nella cartella dei .js, precisamente nel file revisions-js.php ho trovato la stringa con "eval" el'ho subito eliminata.
Ora cos'altro dovrei fare?
Ah un'altra cosa, ora di file "revisions-js.php" ce ne sono 2, perchè questo?
spero di avere risposta