Disponibile WordPress 4.7.1 - Security and Maintenance Release
A meno di un mese di distanza dal rilascio della versione 4.7 “Vaughan”, WordPress rilascia la release 4.7.1 del CMS più utilizzato al mondo.
Questa è una “security and maintenance” release che sistema 8 importanti vulnerabilità che affliggono tutte le versioni di WordPress (4.7 inclusa), oltre a 62 bug della versione 4.7.
Le 8 vulnerabilità includono attacchi cross-site scripting (XSS) e cross-site request forgery (CSRF).
L’aggiornamento è disponibile nella dashboard di amministrazione e sul sito ufficiale. Si consiglia di eseguire l’aggiornamento il prima possibile.
Ricordiamo le novità introdotte nella recente release 4.7 “Vaughan”:
- Template Twenty Seventeen: come ogni anno, ecco il nuovo tema direttamente da WordPress che si arricchisce con un Customizer per gestire diverse sezioni in home page, icone del tema in formato .svg, supporto per logo, header e altri formati di articolo personalizzati, posizione del titolo diversa a seconda della pagina e nuove funzioni per facilitare la generazione di child theme (temi costruiti sulla base di Twenty Seventeen).
- Video Header: è possibile gestire e personalizzare l’header del template inserendo un video.
- CSS Custom: i CSS personalizzati possono essere implementati direttamente da backend e c’è una funzione di live preview.
- Preview PDF: i file .pdf caricati nella libreria sono visibili in anteprima anziché con l’icona di default.
- API Rest: è possibile interrogare dall’esterno elementi come post, commenti, utenti, impostazioni, meta e tassonomia.
- Dati demo: WordPress si arricchisce di dati demo in modo da mostrare subito le potenzialità del CMS ai nuovi utenti che si ritrovano così con un sito demo completo da modificare.
- Nuovo menù: la gestione del menù è migliorata inserendo la possibilità di organizzarlo ancor prima di aggiungere contenuti, in modo da strutturare velocemente il sito.
Joomla! 3.6.5 è disponibile
È disponibile la release 3.6.5 di Joomla.
Questa è una “security release” che ha lo scopo di aumentare la sicurezza del CMS: sono state riparate 3 vulnerabilità, sono stati sistemati 3 bug e sono state aggiunte prassi di security hardening (rinforzo del livello di sicurezza) a livello di codice e gestione permessi utenti.
L’update è disponibile nella dashboard di amministrazione Joomla e sul sito ufficiale. Si consiglia di eseguire l’aggiornamento il prima possibile.
Parimenti è stata rilasciata la versione 3.7.0 Alpha 2 di Joomla che segue la roadmap di sviluppo che porterà alla release 3.7 a fine marzo.
Questa release introduce due nuove feature: Multilingual Associations Manager, che permette di tradurre il contenuto da un’unica interfaccia, e Backend Admin Menu Manager, che permette la creazione di un menù admin personalizzato.
Chi volesse testare la release Alpha può trovare il codice a questo indirizzo.
Malware Visbot rilevato in 6691 negozi online Magento
Visbot è un malware che colpisce gli shop basati su tecnologia Magento: ruba i dati relativi alle carte di credito, li cifra e li nasconde in immagini (la tecnica si chiama steganografia) che invia ai server degli hacker.
Il malware è stato identificato per la prima volta nel Marzo 2015, ma la sua abilità nel nascondersi con successo nei Web server e la difficoltà nel rilevare l’infezione hanno controbuito a mantenere bassi i riflettori.
Visbot non lavora nel frontend iniettando codice infetto nelle pagine, bensì lavora nel backend senza mai esporsi e nascondendosi bene; solo chi gestisce il server può scovarlo.
Willem de Groot, security analyst per l’olandese byte.nl, afferma in un articolo sul suo blog che il malware ha un punto debole: chi l’ha creato sfrutta uno user agent per tener conto dei siti infettati. Lo stesso user agent può essere sfruttato dai webmaster per scoprire se il sito svilupato con Magento è infettato con il comando curl -LH 'User-Agent: Visbot/2.0 (+http://www.visvo.com/en/webmasters.jsp;bot@visvo.com)' \ http://indirizzo-sito-magento.com oppure utilizzando il servizio MageReport, di cui lo stesso de Groot è tra i fondatori, che identifica i siti Magento con delle infezioni.
Una ricerca svolta da de Groot con MageReport ha identificato 6691 negozi online infettati da Visbot, oltre ad aver avvisato i provider coinvolti e le Autorità.
Il malware ottiene accesso ai siti Magento attraverso tentativi brute-force o sfruttando le vulnerabilità di versioni del CMS che non sono state aggiornate: per cui se gestite un sito Magento, così come qualsiasi altro sistema eCommerce o CMS, assicuratevi di utilizzare delle credenziali di accesso sufficientemente robuste e di aggiornare il sistema appena gli aggiornamenti sono disponibili.
La nuove feature di WordPress richiederanno HTTPS
Matt Mullenweg, il creatore di WordPress, ha annunciato che le nuove versioni di WordPress avranno feature che richiedono l’uso di connessioni sicure tramite protocollo HTTPS.
Al momento non sono state specificate quali funzioni saranno disponibili solo se il supporto SSL è abilitato.
La recente introduzione di PHP7 ha giocato un ruolo importante in questa decisione, visto che la nuova versione di PHP permette di sfruttare il protocollo con un minor costo computazionale rispetto alle versioni precedenti.
Anche Google inizia a dar peso a SSL e HTTPS includendoli nei fattori che determinano il ranking di un sito e segnalando come insicuri i siti che ancora sono disponibili tramite connessione HTTP.