Disponibile WordPress 4.7.1 - Security and Maintenance Release

A meno di un mese di distanza dal rilascio della versione 4.7 “Vaughan”, WordPress rilascia la release 4.7.1 del CMS più utilizzato al mondo.
Questa è una “security and maintenance” release che sistema 8 importanti vulnerabilità che affliggono tutte le versioni di WordPress (4.7 inclusa), oltre a 62 bug della versione 4.7.
Le 8 vulnerabilità includono attacchi cross-site scripting (XSS) e cross-site request forgery (CSRF).

L’aggiornamento è disponibile nella dashboard di amministrazione e sul sito ufficiale. Si consiglia di eseguire l’aggiornamento il prima possibile.

Ricordiamo le novità introdotte nella recente release 4.7 “Vaughan”:

  • Template Twenty Seventeen: come ogni anno, ecco il nuovo tema direttamente da WordPress che si arricchisce con un Customizer per gestire diverse sezioni in home page, icone del tema in formato .svg, supporto per logo, header e altri formati di articolo personalizzati, posizione del titolo diversa a seconda della pagina e nuove funzioni per facilitare la generazione di child theme (temi costruiti sulla base di Twenty Seventeen).
  • Video Header: è possibile gestire e personalizzare l’header del template inserendo un video.
  • CSS Custom: i CSS personalizzati possono essere implementati direttamente da backend e c’è una funzione di live preview.
  • Preview PDF: i file .pdf caricati nella libreria sono visibili in anteprima anziché con l’icona di default.
  • API Rest: è possibile interrogare dall’esterno elementi come post, commenti, utenti, impostazioni, meta e tassonomia.
  • Dati demo: WordPress si arricchisce di dati demo in modo da mostrare subito le potenzialità del CMS ai nuovi utenti che si ritrovano così con un sito demo completo da modificare.
  • Nuovo menù: la gestione del menù è migliorata inserendo la possibilità di organizzarlo ancor prima di aggiungere contenuti, in modo da strutturare velocemente il sito.


Joomla! 3.6.5 è disponibile

È disponibile la release 3.6.5 di Joomla.
Questa è una “security release” che ha lo scopo di aumentare la sicurezza del CMS: sono state riparate 3 vulnerabilità, sono stati sistemati 3 bug e sono state aggiunte prassi di security hardening (rinforzo del livello di sicurezza) a livello di codice e gestione permessi utenti.

L’update è disponibile nella dashboard di amministrazione Joomla e sul sito ufficiale. Si consiglia di eseguire l’aggiornamento il prima possibile.

Parimenti è stata rilasciata la versione 3.7.0 Alpha 2 di Joomla che segue la roadmap di sviluppo che porterà alla release 3.7 a fine marzo.
Questa release introduce due nuove feature: Multilingual Associations Manager, che permette di tradurre il contenuto da un’unica interfaccia, e Backend Admin Menu Manager, che permette la creazione di un menù admin personalizzato.
Chi volesse testare la release Alpha può trovare il codice a questo indirizzo

 

Malware Visbot rilevato in 6691 negozi online Magento

Visbot è un malware che colpisce gli shop basati su tecnologia Magento: ruba i dati relativi alle carte di credito, li cifra e li nasconde in immagini (la tecnica si chiama steganografia) che invia ai server degli hacker.
Il malware è stato identificato per la prima volta nel Marzo 2015, ma la sua abilità nel nascondersi con successo nei Web server e la difficoltà nel rilevare l’infezione hanno controbuito a mantenere bassi i riflettori.
Visbot non lavora nel frontend iniettando codice infetto nelle pagine, bensì lavora nel backend senza mai esporsi e nascondendosi bene; solo chi gestisce il server può scovarlo.

Willem de Groot, security analyst per l’olandese byte.nl, afferma in un articolo sul suo blog che il malware ha un punto debole: chi l’ha creato sfrutta uno user agent per tener conto dei siti infettati. Lo stesso user agent può essere sfruttato dai webmaster per scoprire se il sito svilupato con Magento è infettato con il comando curl -LH 'User-Agent: Visbot/2.0 (+http://www.visvo.com/en/webmasters.jsp;bot@visvo.com)' \ http://indirizzo-sito-magento.com oppure utilizzando il servizio MageReport, di cui lo stesso de Groot è tra i fondatori, che identifica i siti Magento con delle infezioni.

Una ricerca svolta da de Groot con MageReport ha identificato 6691 negozi online infettati da Visbot, oltre ad aver avvisato i provider coinvolti e le Autorità.
Il malware ottiene accesso ai siti Magento attraverso tentativi brute-force o sfruttando le vulnerabilità di versioni del CMS che non sono state aggiornate: per cui se gestite un sito Magento, così come qualsiasi altro sistema eCommerce o CMS, assicuratevi di utilizzare delle credenziali di accesso sufficientemente robuste e di aggiornare il sistema appena gli aggiornamenti sono disponibili.

La nuove feature di WordPress richiederanno HTTPS

Matt Mullenweg, il creatore di WordPress, ha annunciato che le nuove versioni di WordPress avranno feature che richiedono l’uso di connessioni sicure tramite protocollo HTTPS.
Al momento non sono state specificate quali funzioni saranno disponibili solo se il supporto SSL è abilitato.
La recente introduzione di PHP7 ha giocato un ruolo importante in questa decisione, visto che la nuova versione di PHP permette di sfruttare il protocollo con un minor costo computazionale rispetto alle versioni precedenti.
Anche Google inizia a dar peso a SSL e HTTPS includendoli nei fattori che determinano il ranking di un sito e segnalando come insicuri i siti che ancora sono disponibili tramite connessione HTTP.

L'autore

Riccardo Gallazzi

Sistemista JR, tra i suoi campi di interesse maggiori si annoverano virtualizzazione con vSphere e Proxmox e gestione ambienti Linux. È certificato VMware VCA for Data Center Virtualization.

banner5

fb icon evo twitter icon evo

Parola del giorno

Kubernetes è uno strumento di gestione ed orchestrazione di container. Sviluppato in ambito Google, si è diffuso velocemente ed ha ottimizzato...

>

Con il termine Hot Add si indica la capacità di un sistema, sia esso fisico o virtuale, di accettare modifiche hardware (di...

>

ALOHA è un protocollo di rete sviluppato dalla università delle Hawaii nel 1971 come prima dimostrazione del funzionamento di reti wireless...

>

L'acronimo LTSC (Long Term Servicing Channel), riferito al mondo Microsoft, caratterizza i prodotti server che vengono acompagnati da una politica...

>

L'acronimo SAC (Semi Annual Channel), riferito al mondo Microsoft, caratterizza i prodotti server che vengono acompagnati da una politica di...

>
Leggi anche le altre...

Download del giorno

Fiddler

Fiddler è un server proxy che può girare in locale per consentire il debug delle applicazioni e il...

>

Adapter Watch

Adapter Watch è uno strumento che permette di visualizzare un riepilogo completo e dettagliato delle informazioni riguardanti una determinata...

>

DNS DataView

DNS Lookup  è un tool a interfaccia grafica per effettuare il lookup DNS dal proprio PC, sfruttando i...

>

SolarWinds Traceroute NG

SolarWinds Traceroute NG è un tool a linea di comando per effettuare traceroute avanzati in ambiente Windows...

>

Network Inventory Advisor

Network Inventory Advisor  è uno strumento che permette di scansionare la rete e acquisire informazioni riguardanti tutti i...

>
Tutti i Download del giorno...

Archivio numeri

  • GURU advisor: numero 19 - luglio 2018

    GURU advisor: numero 19 - luglio 2018

  • GURU advisor: numero 18 - aprile 2018

    GURU advisor: numero 18 - aprile 2018

  • GURU advisor: numero 17 - gennaio 2018

    GURU advisor: numero 17 - gennaio 2018

  • GURU advisor: numero 16 - ottobre 2017

    GURU advisor: numero 16 - ottobre 2017

  • GURU advisor: numero 15 - luglio 2017

    GURU advisor: numero 15 - luglio 2017

  • GURU advisor: numero 14 - maggio 2017

    GURU advisor: numero 14 - maggio 2017

  • GURU advisor: numero 13 -  marzo 2017

    GURU advisor: numero 13 - marzo 2017

  • GURU advisor: numero 12 -  gennaio 2017

    GURU advisor: numero 12 - gennaio 2017

  • 1
  • 2
  • 3
  • Teslacrypt: rilasciata la chiave

    Gli sviluppatori del temuto ransomware TeslaCrypt hanno deciso di terminare il progetto di diffusione e sviluppo e consegnare al pubblico la chiave universale per decifrare i file. Read More
  • Proxmox 4.1 sfida vSphere

    Proxmox VE (da qui in avanti semplicemente Proxmox) è basato sul sistema operativo Debian e porta con sé vantaggi e svantaggi di questa nota distribuzione Linux: un sistema operativo stabile, sicuro, diffuso e ben collaudato. Read More
  • Malware: risvolti legali

    tutti i virus e in particolare i più recenti Ransomware, che rubano i vostri dati e vi chiedono un riscatto, violano la legge. Vediamo insieme come comportarsi, per capire anche se e quando bisogna sporgere denuncia. Read More
  • 1