markasblog

W piątek na blogu WordPress pojawiła się informacja o wydaniu wersji 3.3.2 tej platformy blogowej, w której wyeliminowano kilka problemów z bezpieczeństwem. W ramach wersji 3.3.2 aktualizacje otrzymały 3 zewnętrzne biblioteki zawarte w WordPress:

• Plupload (1.5.4) używana przez WordPress do przesyłania plików
• SWFUpload używana przez WordPress do przesyłania mediów; wcześniej biblioteka mogła być również używana przez wtyczki
• SWFObject używa przez WordPress do osadzania zawartości Flash; wcześniej biblioteka mogła być również używana przez wtyczki i motywy

Ponadto, aktualizacja bezpieczeństwa rozwiązuje również problem z ograniczonym rozszerzeniem uprawnień związanym z dostępem do sieci wtyczek. Wyeliminowane zostały również dwie luki cross-site scripting. Pierwsza z nich jest związana z tworzeniem klikalnych adresów URL, a  druga dotyczy przekierowań po zamieszczeniu komentarzy w starszych przeglądarkach oraz filtrowania URLi.

Najnowsza aktualizacja bezpieczeństwa została również zaimplementowana w WordPress 3.4 Beta 3. Po zmianach wniesionych przez 9 dni od wydania drugiej bety widać, że trwają intensywne prace nad wydaniem kolejnej produktywnej wersji.

WordPress 3.3.2 dostępny jest już w kanale automatycznych aktualizacji, zaś najnowszą wersję beta można pobrać tutaj, przy czy zaznaczam, że wersja beta nie jest gotowa do działania w środowisku produktywnym ze względu na możliwość występowania różnego rodzaju błędów.

Naukowcy z Websense Security Labs opublikowali w poniedziałek informację o wykryciu zmasowanej akcji cyberprzestępców, której celem są strony internetowe oparte na platformie WordPress. Atak polegał na wstrzykiwaniu do kodu strony przekierowania, które automatycznie przenosiło odwiedzającego witrynę do strony, która oszukuje użytkowników i namawia do zainstalowania złośliwego oprogramowania, które rzekomo jest programem antywirusowym. Ilość unikatowych adresów zainfekowanych złośliwym kodem jest szacowana na około 30 000, co daje 200 000 zainfekowanych stron.

Cały proces wygląda następująco. W pierwszej kolejności użytkownik jest przekierowany na stroję fałszywego antywirusa, który markuje skanowanie dysków lokalnych. W rzeczywistości jest to jedynie okno pop-up upodobnione do tych, które znamy z Windowsa. Użytkownik jest informowany o wykryciu na dysku jego komputera złośliwego oprogramowania co oczywiście jest nieprawdą. Fałszywy antywirus monituje następnie do pobierania i uruchamiania swojego narzędzia, które ma za zadanie usunąć rzekomo znalezione trojany, a w rzeczywistości sam plik wykonywalny jest trojanem.

Na uwagę zasługuje fakt, że 85% zainfekowanych stron jest hostowanych w Stanach Zjednoczonych, ale już sami odwiedzający te witryny są bardziej rozproszeni po świecie. 50% odwiedzających pochodzi faktycznie ze Stanów Zjednoczonych, na kolejnym miejscu jest Kanada z 11% odwiedzających, dalej Brazylia oraz Turcja. Więcej danych procentowych można znaleźć na blogu Websense Security.

Ataki cyberprzestępców z wykorzystaniem fałszywego oprogramowania antywirusowego nie są niczym nowym. Wciąż popularne, a co gorsza bardzo skuteczne są ataki typu drive-by, które wykorzystują przestarzałe i nieaktualizowane przeglądarki internetowe oraz wtyczki do nich tworzone.

Z opinii specjalistów od bezpieczeństwa z firmy Websense Security Labs łatwo można wywnioskować, że do aktualnych ataków na WordPressa przyłożyli rękę sami użytkownicy tej platformy. Przestarzałe wersje WordPressa oraz zainstalowanych wtyczek, słabe hasła administracyjne, które bez problemu można złamać przyczyniły się do tak szybkiego wzrostu liczby zainfekowanych systemów. Sami cyberprzestępcy nie próżnują i nie idą na łatwiznę. Na wielu blogach naukowcy natrafili na wtyczkę o nazwie ToolsPack, która w rzeczywistości oprócz funkcjonalności, z których mogli się cieszyć administratorzy systemów, zawierał również lukę, dzięki której hakerzy mogli bez problemu przejąć kontrolę nad plikami na serwerze.

Ja sam apeluję do właścicieli wszelkich systemów zarządzania treścią. Platformy WordPress, Drupal czy Joomla są jak nasze systemy operacyjne. Jeżeli zapomnimy o ich ciągłej aktualizacji, przyczynimy się do stwarzania niebezpieczeństwa dla odwiedzających nasze strony użytkowników. Zachęcam do częstego zaglądania do paneli administracyjnych i sprawdzania dostępnych aktualizacji. Bezpieczeństwo w Internecie zależy również od nas.

26 maja (środa) pojawiła się kolejna aktualizacja platformy WordPress. Wersja 3.1.3 wprowadza kilka poprawek bezpieczeństwa. Między innymi poprawiono bezpieczeństwo przesyłania plików z komputerów o niskim poziomie zabezpieczeń oraz poprawiono bezpieczeństwo obsługi mediów. Dodatkowo pojawiła się funkcjonalność, która usuwa stare pliki importu WordPress, jeżeli taki import nie został zakończony pomyślnie. Wprowadzono także mechanizm ochrony przed atakiem typu clickjacking na stronie administratora oraz na stronie logowania. Niestety (dla niektórych) mechanizm ten działa tylko i wyłącznie w nowoczesnych przeglądarkach.

Pełną listę zmian można znaleźć tutaj.

Jednocześnie trwają pracę nad gałęzią 3.2 platformy WordPress. Jednocześnie z wersją 3.1.3 pojawiła się druga beta odłamu 3.2. Wydanie wersji RC planowane jest na początek czerwca, a wersja finalna planowana jest na koniec miesiąca. Najważniejszą ze zmian w wersji WordPress 3.2 Beta 2 w stosunku do pierwszej wersji beta jest zaimplementowanie obsługi biblioteki jQuery 1.6.1.

W dniu wczorajszym pojawiła się aktualizacja platformy blogowej WordPress. Wersja 3.1.1 niesie ze sobą zwiększone bezpieczeństwo w module odpowiedzialnym za upload mediów, zwiększoną odporność na awarie związane z przesyłaniem złożonych linków. Dodatkowo jest wyeliminowana podatność na ataki XSS w procesie aktualizacji bazy danych. Ponadto poprawiono 26 innych błędów, których listę można zobaczyć tutaj.

Zaleca się zaktualizowanie swoich platform najszybciej jak to będzie możliwe.

W dniu wczorajszym światło dzienne ujrzało już 14. wydanie popularnej platformy blogowej WordPress. WordPress 3.1 nosi nazwę „Reinhardt” na cześć gitarzysty jazzowego Django Reinhardta. W dniu dzisiejszym pojawiła się polskojęzyczna wersja platformy. Można ją pobrać z polskiej strony projektu, lub skorzystać z automatycznych aktualizacji dostępnych z poziomu panelu administracyjnego.

W nowej wersji na pierwszy rzut oka zauważyć można pojawienie się nowego tematu kolorystycznego w panelu administracyjnym.

Usprawniono również dodawanie odnośników do istniejących już wpisów i stron. Żadne wtyczki ułatwiające tą operacje już nie będą potrzebne.

Pojawił się Admin Bar, który wyświetla na górze okna pasek zawierający najważniejsze funkcje bloga. Kolejna dobra informacja dla mnie, ponieważ do tej pory taką funkcjonalność zapewniała mi wtyczka.

Pojawiło się również kilka usprawnień w dodawaniu nowych wpisów, polegających na ukryciu wielu opcji tak, aby nowi i mniej doświadczeni użytkownicy nie zniechęcali się do platformy w wyniku mnogości opcji i funkcji (ukryte opcje można przywrócić za pośrednictwem „Opcji ekranu” znajdujących sie w górnym, prawym rogu ekranu).

Zalecam przetestować najnowszą wersję WordPressa w nieproduktywnym środowisku, ponieważ ja sam natknąłem się na problem z wtyczką New User Approve, która po zainstalowaniu wywołała krytyczny błąd na serwerze i dopiero jej usunięcie pozwoliło na stabilną pracę platformy.

Po więcej informacji zapraszam na stronę wordpress.org

7 lutego pojawiła się kolejna wersja WordPressa, jednej z najpopularniejszych platform blogowych na świecie. Wersja 3.0.5 poprawia stabilność platformy oraz jej bezpieczeństwo. Dostawcy zalecają tą aktualizację wszystkim użytkownikom, a szczególnie tym osobą, które posiadają na swojej platformie niezaufane konta użytkowników.

W tej wersji wyeliminowano dwa błędy pozwalające na przeprowadzenie ataków XSS (Cross-site scripting) przez użytkowników posiadających rolę Autora i Współtwórcy. Inny błąd pozwalał na uzyskanie przez użytkownika posiadającego rolę Autora dostępu do informacji, kóre nie były przeznaczone dla niego (prywatne posty, projekty).

Dodatkowo wprowadzono dwa ulepszenia mające na celu poprawę bezpieczeństwa. Jedno z nich wzmacnia filtrowanie HTML dla pół tekstowych wyświetlanych z użyciem biblioteki KSES. Druga zmiana dotyczy obsługi wtyczek, a konkretnie  funkcji check_admin_referer(), której od tej pory nie można wywołać bez podania konkretnych argumentów.

Ostatnią zmianą jest aktualizacja licencji do GPLv2 (lub nowszej) oraz aktualizacja informacji o prawach autorskich dla biblioteki KSES (biblioteka umożliwiająca oczyszczanie danych wprowadzanych przez użytkowników)

O wszystkich zmianach można przeczytać tutaj.

Jednocześnie wydana została czwarta wersja kandydująca WordPressa oznaczona numerem 3.1. Zawarte są w niej poprawki wprowadzone w wersji 3.0.5 oraz poprawki eliminujące około 24 inne błędy. Między innymi poprawiono:

• mechanizm usuwania użytkowników oraz przypisywania ich wpisów innym użytkownikom.
• kompatybilność z PHP4

W związku z tym, że Fundacja jest bliska wydania wersji finalnej WordPressa 3.1, deweloperzy oraz zwykli użytkownicy proszeni są o testowanie swoich wtyczek i motywów z wersją RC.

W dniu dzisiejszym pojawiła się nowa wersja platformy WordPress oznaczona numerem 2.9.2. Aktualizacja jest szczególnie zalecana dla platform, na których publikuje wielu użytkowników. Thomas Mackenzie ujawnił błąd polegający na możliwości wydobycia z Kosza wpisów należących do innego użytkownika. Najnowsza poprawka wyeliminowała ten problem.

22 stycznia 2010 roku Matt Mullenweg ogłosił oficjalny start Fundacji WordPress. Podstawowym celem Fundacji będzie zapewnienie stałego dostępu do oprogramowania tworzonego przez firmę Automattic. Kolejnym zadaniem Fundacji będzie ochrona znaków towarowych produktów oraz informowanie społeczności o zmianach. Filozofia Fundacji WordPress zawarta została w kilku punktach:

1. Oprogramowanie powinno być udostępniane na licencji GNU Public License
2. Oprogramowanie powinno być dostępne dla każdego, do wykorzystania w dowolnym celu i bez zgody autora
3. Oprogramowanie może być dowolnie modyfikowane
4. Wszelkie modyfikacje powinny być swobodnie rozpowszechniane za darmo i bez zgody autora
5. Oprogramowania powinno być ramą dla tłumaczeń na wszystkie możliwe języki świata
6. Oprogramowanie powinno stanowić ramy dla rozszerzania jego możliwości, więc zmiany i ulepszenia można wprowadzać bez modyfikacji podstawowego kodu

Stronę fundacji można znaleźć pod adresem http://wordpressfoundation.org/.

Nie minęły dwa dni od momentu jak zaktualizowałem platformę WordPress do wersji 2.9, a już pojawiła się kolejna odsłona, w której wyeliminowano aż 24 błędy zgłoszone przez społeczność użytkowników. Pełna lista wyeliminowanych błędów znajduje się tutaj. Póki co pakiety aktualizacyjne nie pojawiły się w automatycznych aktualizacjach, więc dla niecierpliwych pozostaje przeprowadzenie procesu aktualizacji ręcznie. Szczegółową instrukcję aktualizacji ręcznej WordPress znajdziecie tutaj.

EDIT:

W automatycznych aktualizacjach pojawiła się wersja angielskojęzyczna. Przy aktualizacji silników naszych blogów za pomocą tej wersji należy zachować szczególną ostrożność, ponieważ podczas instalacji może ulec uszkodzeniu tłumaczenie, z którego aktualnie korzystamy.

EDIT:

Przeprowadziłem aktualizację na testowym blogu działającym na tym samym serwerze, na którym działa produktywna platforma i wszystko przebiegło bez najmniejszych problemów. Wydaje się więc, że angielskojęzyczne pakiety, które zostały udostępnione w Automatycznych aktualizacjach nie mają żadnego negatywnego wpływu na polskojęzyczne tłumaczenie platformy.

Po tym jak już opadały emocje po wydaniu najnowszej wersji platformy WordPress 2.9, przyszedł czas na aktualizację silnika markasblog. Przez kilka tygodni co bardziej zatwardziali testerzy wykryli niedociągnięcia, które wkradły się w finalny kod, dzięki czemu bez problemu teraz można już te błędy wyeliminować, dzięki wskazówką zamieszczonym na innych blogach.

Co nowego w WordPress 2.9?

• możliwość edycji wgranej grafiki
• nowe atrybuty dla znacznika generującego galerię wgranych zdjęć
• funkcja kosza
• masowa aktualizacja wtyczek
• łatwiejsze osadzanie zewnętrznych multimediów
• naprawa i optymalizacja bazy danych
• skracanie adresów przez wp.me

Więcej informacji znajdziecie na blogu wpninja.pl

Niektórzy twierdzą, że WordPress już przed premierą wersji 2.9 był ociężałą kobyłą, a dodanie nowych funkcji w najnowszej wersji sprawił, że ten stany rzeczy zamiast się poprawić, pogorszył się.  Szczerze powiem, że na tą chwilę, a jestem kilka godzin po aktualizacji, nie zauważyłem jakiś znaczących skoków wydajności ani na plus, ani na minus. Nie wiem jak zachowuje się platforma podczas automatycznej aktualizacji do najnowszej wersji, ponieważ upgrade wykonałem ręcznie, aby mieć większą kontrolę nad całym procesem. Jeżeli ktoś miałby problem z automatyczną aktualizacją, polecam zajrzeć tutaj.

Według mnie najbardziej interesująca jest funkcja naprawy i optymalizacji bazy danych. To bardzo dobra alternatywa dla tych, którzy nie czują się zbyt pewnie w phpMyAdmin.

Pożyjemy, zobaczymy. Na horyzoncie już pojawił się WordPress 2.9.1 RC1, w którym naprawiono już 23 błędy, które wykryto od premiery wersji 2.9. To znak, że programiści nie próżnują.