Archives For WordPress

Ciao, articolo di servizio per dirti che – se mi stai leggendo per temponon devi aggiornare il plugin BackupWordPress allaneonataversione 3.9 rilasciata una manciata di ore fa (circa 16 a ora che sto scrivendo l’articolo), questa causa un errore fatale che manderà in crash il tuo blog e che ti costringerà a passare dalla porta di servizio per rimediare (la porta di servizio è quella offerta dal nuovo servizio di Recovery integrato in WordPress 5.2).

Non aggiornare BackupWordPress alla versione 3.9 (per il momento)

Il bug viene minuziosamente descritto qui su GitHub, segnalato da un utente che si è ritrovato nella medesima situazione del sottoscritto: github.com/xibodevelopment/backupwordpress/issues/1206. Come già successo in passato (vedi l’articolo Possibile problema in BackupWordPress 2.3) il modo di rimediare c’è e lo si può mettere in atto facilmente connettendoti in FTP al tuo spazio web e rinominando la cartella del plugin (wp-content/plugins/backupwordpress) in backupwordpress_ (per esempio, ma vale qualsiasi altro nome), questo non permetterà al tuo WordPress di trovare i file del plugin e di conseguenza disattiverà quest’ultimo consentendoti di far tornare operativo il sito web.

Rimanere con la vecchia versione fino a nuovo ordine

Se vuoi rimettere in pista la vecchia versione di BackupWordPress in attesa che ne venga rilasciata una nuova che corregge il bug puoi scaricarla direttamente dal repository ufficiale all’indirizzo downloads.wordpress.org/plugin/backupwordpress.3.8.zip. Scompatta il file ZIP, cancella la cartella attuale di BackupWordPress sul tuo spazio web e carica quella che hai appena scompattato, le impostazioni sono salvate nel tuo database e non verranno quindi perse.

Correggere il bug presente e rimanere con la 3.9

Un thread nel forum di supporto del plugin suggerisce una via alternativa per risolvere il problema generato dal nuovo BackupWordPress: wordpress.org/support/topic/how-i-fixed-3-9-crash.

Puoi lanciare l’aggiornamento alla versione 3.9 (quindi il tuo WordPress diventerà momentaneamente non funzionante), nel frattempo scarica e scompatta il contenuto della versione 3.8 (downloads.wordpress.org/plugin/backupwordpress.3.8.zip), quindi carica via FTP le cartelle backdrop e whitelist-html sovrascrivendo quelle presenti. Al contrario delle vecchie, le nuove cartelle sembrano infatti non contenere i file necessari per il funzionamento del plugin. Sovrascrivendole farai nuovamente funzionare BackupWordPress ottenendo un “ibrido” tra le versioni 3.8 e 3.9.

Sembra proprio che qualcuno abbia avuto un pelo troppa fretta nel preparare la nuova versione del plugin, il tutto senza accorgersi di nulla e senza dare il giusto peso alle numerose segnalazioni di malfunzionamento già pervenute tra GitHub e forum di supporto WordPress. A questo punto non resta che attendere il rilascio della nuova versione del plugin che correggerà questa anomalia.

12/6/19

Tutto come previsto: è stata da poco rilasciata la versione 3.10 che corregge il bug letale della sfortunata e ben poco duratura 3.9 😉
Puoi tornare ora ad aggiornare il plugin senza strani (ma perfettamente funzionanti) work-around.

BackUpWordPress
BackUpWordPress
Developer: XIBO Ltd
Price: Free
× Le pillole del Dr.Mario

Pillole

Le pillole sono articoli di veloce lettura dedicati a notizie, script o qualsiasi altra cosa possa essere "divorata e messa in pratica" con poco. Uno spazio del blog riservato ai post "a bruciapelo"!
Condividi l'articolo con i tuoi contatti:

Un fine settimana caratterizzato da uno splendido sole e alte temperature rispetto agli ultimi tempi, impossibile resistergli e non stare fuori con gli amici. Tutto ciò sta ormai volgendo al termine (e la cosa è assai triste evidentemente), prima di riprendere le normali attività di routine puoi però accendere un po’ il cervello e investire qualche minuto di tempo con le letture che ti propongo qui di seguito. Come al solito, l’area commenti è a tua totale disposizione per discutere degli argomenti trattati e per proporne eventualmente di altri 😉

Letture per il weekend: coffee

Ultime novità

  • Cartoni per la pizza sequestrati: potenzialmente tossici: (ITA) questa non la sapevo, giuro. Certamente terrò d’occhio i cartoni della pizza quando la prenderemo d’asporto per mangiarla comodamente a casa, ma chi impedisce di contraffare anche quel “Made in Italy” che dovrebbe tenerci al sicuro?
  • Dropbox Boosts Storage, Features, and Price for ‘Plus’ Users: (ENG) pare che alcune delle preghiere di noi clienti Plus di Dropbox siano state ascoltate, non senza vittime sacrificali economiche però. Dropbox aggiunge 1 TB di spazio disco a coloro che già ne pagano uno, portando in dote la possibilità di sfruttare l’opzione Smart Sync (che verrà ulteriormente migliorata nel tempo, resa capace di eliminare dal disco la copia dei file che non vengono mai utilizzati) e il Rewind per il ripristino della condizione dei propri file Dropbox andando indietro nel tempo (fino a 30 giorni). Si aggiungono 24$ in più all’anno, tranne per chi sta ora sfruttando già un abbonamento in corso (che verrà comunque “standardizzato” alla nuova cifra al successivo rinnovo).
  • Le App di messaggistica più usate dagli italiani: (ITA) Vincenzo offre una panoramica semplice e immediata sulle applicazioni di messaggistica istantanea più utilizzate nel belpaese. Curioso di conoscere i numeri e il perché del loro posto sul podio? Allora dai un’occhiata all’articolo 🙂
  • Chiamate indesiderate dai call center: il Registro delle Opposizioni sarà migliorato: ti avevo parlato del Registro Pubblico delle Opposizioni in occasione di un articolo dove ti suggerivo di iscriverti e inserire la tua anagrafica per evitare – quanto più possibile – di essere contattati da servizi indesiderati (Registro Pubblico delle Opposizioni: come funziona?), metodo che merita quel “bene ma non benissimo” come giudizio finale dopo esserci saltato a bordo. Pare che qualcosa bolla in pentola, al fine di migliorarlo e rendere più aspre le sanzioni per coloro che non le rispetteranno.

Privacy e Sicurezza

  • How to authenticate your e-mail: (ENG) per definizione la posta elettronica è un mezzo non del tutto sicuro e facilmente intercettabile / “contraffattibile” (in linea di massima eh, non facciamola più brutta di quanto in realtà sia). Utilizzare dei metodi per certificare l’invio di una propria email è sempre più necessario (anche per ciò che riguarda la sicurezza del destinatario e per evitare possibili attacchi di phishing), in questo articolo su Medium si parla di SPF, DKIM e DMARC. Articolo tecnico di facile comprensione, inserisco uno screenshot completo in fondo all’articolo nel caso in cui tu non riesca a leggerlo integralmente su Medium.
  • Google to restrict modern ad blocking Chrome extensions to enterprise users: (ENG) è l’evoluzione di un argomento “vecchio” (si fa per dire). Google è intenzionata a chiudere i boccaporti (o limitarne fortemente l’accesso) che permettono a estensioni come uBlock di fare il proprio mestiere, lasciando uno spiraglio aperto per ciò che riguarda le installazioni Enterprise a pagamento, è la proposta per il manifest v3 di cui si parlava nell’articolo sul blog di Chromium. Lo stesso sviluppatore è intervenuto in una issue aperta su GitHub dove l’argomento viene parecchio snocciolato (nel frattempo si parla dell’argomento anche su r/Firefox all’indirizzo reddit.com/r/firefox/comments/buifjk/chrome_to_limit_full_ad_blocking_extensions_to).
  • Flipboard Users: Update Your Passwords Right Now: (ENG) nuovo giro, nuova violazione, le credenziali degli utilizzatori di Flipboard sono state esposte a un attacco dall’esterno che è andato a buon fine, procurando a chi ha attaccato l’accesso a ciò che certamente non doveva accedere. Cambia la tua password subito e fallo anche su altri siti web dove utilizzi la medesima. Forse inutile ricordarti di NON riutilizzare mai la stessa password per più servizi, vero?
  • Mobile + Twitter hacked. Please help.: (ENG) la brutta esperienza di Simone Brunozzi e della mancata attivazione MFA sul suo account Twitter, come se già non bastasse quanto accaduto alla sua SIM (e quindi al suo numero di telefono personale) a causa del comportamento evidentemente non tanto corretto del suo operatore telefonico mobile.

Dai un’occhiata anche a …

  • crxcavator.io: non è una novità, non te ne avevo però parlato prima. Si tratta di un portale costruito dagli stessi sviluppatori di Duo Security (vedi: WordPress: migrazione da Authy OneTouch a Duo e Duo Security: modificare i metodi di autenticazione concessi) che permette di verificare quanto potenzialmente pericolosa può essere una qualsiasi estensione scritta e pubblicata per Google Chrome. Potenzialmente pericolosa vuol dire che è probabile che quell’estensione non tenga più di tanto al sicuro i tuoi dati e la tua navigazione, come riportato in un articolo che puoi leggere anche tu sul blog dell’omonima azienda: duo.com/blog/crxcavator (ENG). Installando CRXcavator Gatherer potrai invece dare in pasto al progetto l’elenco dei tuoi componenti aggiuntivi già a bordo di Chrome, per velocizzare i tempi:
CRXcavator Gatherer
CRXcavator Gatherer
Developer: crxcavator.io
Price: Free

immagine di copertina: unsplash.com / author: karl chor
Condividi l'articolo con i tuoi contatti:
  • Looking inside the box: interessantissimo articolo in inglese che parla di un reverse engineering operato sulla versione Linux del client di Dropbox, l’autore ne ha carpito meccanismi di funzionamento e curiosità che si è poi evidentemente divertito a raccogliere sotto lo stesso tetto (il suo articolo sul blog dell’azienda) disponibile per noi lettori.
  • WordPress 5.2, una panoramica su alcune delle nuove funzionalità: articolo di Paolo, in italiano, spiega le novità di WordPress 5.2. Il sistema di health check io l’avevo installato manualmente come plugin aggiuntivo, oggi entra a far parte di un’installazione standard di WordPress e la cosa non può che farmi piacere (trova il suo nuovo posto sotto Tools → Site Health). Con l’occasione è stato ulteriormente migliorato e il consiglio è quello di dargli un’occhiata quando hai qualche minuto di tempo, sii curioso. Ancora più interessante la nuova funzione di recovery del blog in caso di Fatal Error.

E buon fine settimana a te (sperando che tu viva fuori Milano e che ci sia quindi un po’ di sole per poter stare all’aria aperta con i tuoi cari o anche da soli, che qui se qualcuno dall’alto non ce lo rovina con matematica puntualità non è contento 🙄).


immagine di copertina: unsplash.com / author: Robert Bye
Condividi l'articolo con i tuoi contatti:

Tutto parte da una segnalazione di bug arrivata tramite il mio bug bounty program (openbugbounty.org/reports/809068) e, seppur protetto da alcuni metodi di cui ti ho già parlato in passato, effettivamente il file XML-RPC di WordPress risultava raggiungibile dall’esterno, mostrando potenzialmente il fianco a un qualche attacco poco gradito. Per questo motivo ho voluto aggiungere un ulteriore strato di sicurezza che gli permette di continuare a rimanere disponibile per Jetpack e nulla più. Per farlo mi è bastato mettere mano al file .htaccess del dominio.

WordPress: 5 step per la sua (e tua) sicurezza

La documentazione a cui fare riferimento è quella ufficiale di Jetpack, disponibile all’indirizzo jetpack.com/support/hosting-faq. Nello specifico ciò che a te interessa è quel paragrafo relativo a “Whitelist all communications between WordPress.com and Jetpack“, utile per permettere al tuo sito e al servizio messo a disposizione da WordPress.com di parlare senza incontrare ostacoli, lasciando fuori tutto il resto.

Al solito, prima di cominciare, il consiglio resta sempre lo stesso:

ATTENZIONE: Prima di eseguire qualsiasi modifica ai tuoi file e/o dispositivi sei pregato/a di effettuare un backup di questi (o lavorare in ambiente di test e mai di produzione). Solo così sarai capace di tornare indietro ponendo rimedio a eventuali errori di distrazione.

Una questione di .htaccess

Pronto? Cominciamo. Il trucco è semplice e sta tutto nel file che può limitare l’accesso alle risorse contenute nel tuo sito web. Apri il file .htaccess con un editor di testo degno (Notepad++ o Atom), non toccare nulla che sia stato messo lì dal tuo WordPress o da qualsiasi altro plugin da te utilizzato (penso a iThemes Security o W3 Total Cache e simili), trova uno spazio nuovo da occupare con una porzione di codice che dovrebbe essere quanto più simile a questa proposta di seguito:

<Files xmlrpc.php>
    Order Allow,deny
    Allow from 122.248.245.244
    Allow from 54.217.201.243
    Allow from 54.232.116.4
    Allow from 192.0.64.1/192.0.127.254
    Allow from 192.0.80.0/20
    Allow from 192.0.96.0/20
    Allow from 192.0.112.0/20
    Allow from 195.234.108.0/22
    Deny from all
    Satisfy All
    ErrorDocument 403 https://gioxx.org/403.shtml
</Files>

Io ho inserito il codice subito prima del termine del “paragrafo” modificato da WordPress (per capirci, prima di “# END WordPress“). Una volta terminato il tuo lavoro, salva la modifica e sovrascrivi il file presente sul tuo spazio FTP. Ciò che hai appena fatto consiste nel bloccare ogni possibile comunicazione con il file xmlrpc.php a esclusione degli IP appartenenti a WordPress.com, come una sorta di Firewall che taglia fuori tutti tranne loro. Chiunque proverà a puntare a quel file php sul tuo spazio hosting, si troverà davanti a una pagina di errore (nel mio caso https://gioxx.org/403.shtml, nel tuo ti consiglio di modificarla con qualsiasi altro tipo di indirizzo).

La modifica è immediata e dovrebbe portare beneficio alla tua installazione WordPress – in termini di sicurezza, nda – che non risentirà così alcun problema nell’utilizzo del sempre troppo mastodontico JetPack, in attesa che quest’ultimo si decida a utilizzare un diverso metodo per comunicare con le installazioni del CMS in giro per il mondo.

Al solito: per qualsiasi ulteriore dubbio o informazione l’area commenti è a tua totale disposizione (anche per suggerire metodi alternativi a quello proposto poco sopra).


fonti:
namehero.com/startup/how-to-safely-disable-xmlrpc-in-wordpress-while-keeping-jetpack
jetpack.com/support/hosting-faq
Condividi l'articolo con i tuoi contatti:

Una domanda apparentemente complessa che merita una risposta semplice, per cercare di incontrare quanto più pubblico alle prime armi possibile. Ho risposto in separata sede, mi piace però condividere pubblicamente quella che secondo me può essere una buona scaletta per far muovere i primi passi al tuo nuovo sito web basato su WordPress (a prescindere che si tratti di blog personale o altro tipo di idea). Ti invito a dire la tua nell’area commenti, inserendo nuovi punti esclusi dalla mia personale lista, ma evidentemente non per questo non meritevoli di menzione. Cominciamo?

WordPress: ShortPixel Image Optimizer 8

#1: Creare un account amministrativo diverso

In realtà di questo argomento ne abbiamo già parlato, forse lo ricorderai. Mi cito copiando e incollando un passaggio fondamentale di questo diverso articolo:

Ciò che intendo è, per esempio, non utilizzare l’account amministrativo di default (che va quanto prima degradato a semplice utente, se non addirittura eliminato), in favore di un nuovo account da te appositamente realizzato, amministrativo, con username non facilmente indovinabile e con una password complessa (parleremo anche di password robuste quanto prima, ma ti porto a questa vignetta, che tanto spiega in merito). Non utilizzare la stessa password che hai già usato in passato per altri servizi. Fatti aiutare da un buon password manager se ti serve.

Il consiglio rimane lo stesso identico: elimina quanto prima l’account “admin” creato automaticamente da WordPress, non prima di averne creato uno diverso con gli stessi poteri, il quale dovrà avere username differente, più complesso, così come la password, che dovrà inoltre essere dedicata e non condivisa con altri servizi che sfrutti su internet. Posso comprendere che questa sia per te una scocciatura, ma ringrazierai quel giorno in cui qualcuno scoprirà (per errore altrui) qualche tua coppia di credenziali (ne parlo nell’articolo Firefox Monitor ti avvisa in caso di furto credenziali) e le userà anche per appropriarsi del tuo sito web.

Fondamentale e oggi ormai dato per scontato è il doppio passaggio di autenticazione. In passato ti ho parlato di Authy, ho poi virato verso un diverso metodo di verifica autenticazione, te ne ho parlato nell’articolo WordPress: migrazione da Authy OneTouch a Duo.

#2: Creare gli account aggiuntivi per editor e collaboratori

Che, a voler essere puntigliosi, potrebbero bastare anche alla tua quotidianità. Le operazioni da eseguire tramite l’account amministrativo sono relativamente poche se hai ormai configurato al meglio il tuo sito WordPress, per questo motivo potresti pensare di creare per te un account “Editor” in grado di scrivere, modificare o cancellare qualsivoglia contenuto pubblicato (o in attesa di pubblicazione), lasciando all’amministratore il compito della manutenzione del software, l’installazione di qualche plugin e poco più. Occhio a ciò che permetti ai tuoi collaboratori, i ruoli di WordPress sono pochi e ben spiegati nel documento Roles and Capabilities sul Codex.

Per aggiungerne di nuovi, io ho utilizzato (e utilizzo tutt’oggi) il plugin Members, fantastico per poter creare nuovi ruoli e modificarne i permessi scendendo molto nel dettaglio (puoi permettere o negare singole azioni, la granularità è davvero ottima):

Members
Members
Developer: Justin Tadlock
Price: Free

#3: Occhio al fuso orario

Sembra una banalità ma non lo è, il fuso orario di WordPress (Timezone nelle installazioni in inglese, come la mia) è fondamentale quando programmi la pubblicazione di un articolo, non vorrai mica rischiare di tirare fuori dei pezzi a orari tutt’altro che in accordo con la tua linea editoriale, vero? :-)

SettingsGeneral (Impostazioni → Generali in italiano) nella tua dashboard amministrativa, quindi seleziona Roma (immagino) nel menu a tendina in corrispondenza del fuso orario:

WordPress: muovere i primi passi post-installazione 1

#4: Permetti la Visibilità ai motori di ricerca

Altro parametro che può passare inosservato ma che è fondamentale se vuoi iniziare a macinare qualche visita oltre quelle che sei solito fare tu per amministrare il sito web o scrivere e pubblicare contenuti. All’interno delle Impostazioni di lettura troverai un’opzione relativa alla Visibilità ai motori di ricerca, ciò che permette a Google e soci di indicizzare i tuoi contenuti e renderli fruibili da chi lancia query tramite i siti web più utilizzati al mondo (i motori di ricerca, per l’appunto).

WordPress: muovere i primi passi post-installazione 2

Assicurati che questa non sia impostata per scoraggiare tale comportamento, configurazione che solitamente si usa durante la preparazione del sito web, che va assolutamente modificata quando questo andrà in produzione e farà il suo debutto sul web.

#5: Configura una corretta struttura Permalink

In breve: Un permalink o collegamento permanente è un tipo di URL che si riferisce ad una specifica informazione, implementato in modo da non cambiare o almeno da rimanere lo stesso per lunghi periodi di tempo. Il termine è spesso impiegato nell’ambito dei blog per indicare il link ad un determinato post.

Continua su it.wikipedia.org/wiki/Permalink

È ciò che condurrà il lettore al tuo articolo negli anni, a prescindere da ciò che succederà, dando stabilità ai risultati di un motore di ricerca, rendendolo ben felice di continuare a servirti e portare al tuo porto nuove visite. È una struttura molto importante, critica per certi versi, è giusto deciderla all’avvio di un tuo nuovo progetto, la puoi configurare da ImpostazioniPermalink. Per questo blog ho scelto ormai tanti anni fa quella basata su anno/mese/giorno e nome dell’articolo, se potessi tornare indietro (cosa che comunque puoi pilotare abbastanza agilmente, con tanta pazienza e qualche giusto aiuto) sceglierei quella basata solo sul nome dell’articolo.

WordPress: muovere i primi passi post-installazione 3

#6: I soli Permalink non risolvono tutto, genera una Sitemap

La Sitemap permette a Google di venire a conoscenza di tutti i collegamenti che un lettore può fruire all’interno del tuo nuovo sito web, generarla e darla in pasto al motore di ricerca toglie carico di lavoro a quest’ultimo, il quale -salvo errori- digerirà immediatamente quanto dato in pasto, generando immediatamente visite a tuo favore (ammesso che l’utente stia cercando ciò che tu metti a disposizione). Per farlo puoi farti dare una mano da uno dei tantissimi (pure troppi) plugin disponibili sul repository ufficiale di WordPress. Io, come tanti altri, utilizzo la funzione integrata all’interno di Yoast, quella che trovi all’interno di SEOFeatures → XML Sitemaps:

Yoast SEO
Yoast SEO
Developer: Team Yoast
Price: Free

WordPress: muovere i primi passi post-installazione 4

#7: Hai attivato Google Analytics?

Restiamo sull’argomento statistiche e corretta gestione da parte dei motori di ricerca. Analytics è lo strumento realizzato da Google per tenere d’occhio le proprie “performance” (che detta così suona un po’ come un film di Rocco, ma non è ciò su cui si fonda il pezzo!), per cercare di costruire una strada di costante miglioramento, seguire i gusti dei lettori (senza dimenticarsi però che l’opera è prima di tutto tua, deve piacere a te), sfoderare l’asso quando serve tirarlo fuori dalla manica.

A tal proposito, ThemeTrust aveva pubblicato un articolo molto ricco e ben realizzato (in inglese) che puoi trovare all’indirizzo themetrust.com/google-analytics-in-wordpress (se vuoi proporre un’alternativa altrettanto valida in italiano sei il benvenuto, lascia un commento a fondo articolo!).

#8: Il backup ragazzo, il backup.

Ripeti con me: creerò e manterrò un backup aggiornato del mio sito web, di ogni suo contenuto e del database. Ora continua a ripeterlo, ma nel frattempo metti in piedi una soluzione di backup del tuo WordPress. Ci sono mille metodi validi, io continuo a operare su due piani diversi, facendo più backup al giorno del database MySQL e un backup quotidiano dei file. Te ne ho già parlato qui, ma ti ripropongo lo specifico passaggio:

Avere una copia di backup aggiornata è fondamentale per evitare di incorrere in possibili disastri (causati da te, dal tuo provider o da qualcuno di completamente estraneo).
Per portare a termine questa operazione esistono decine di plugin, sia gratuiti che a pagamento. Io ho scelto di affidarmi a BackUpWordPress della Human Made.

BackUpWordPress

In conclusione

Di punti ce ne potrebbero essere molti altri, ci si ferma qui per convenienza e per non mettere ulteriore carne sul fuoco, ma sei libero di suggerirne di nuovi, per poterli integrare all’interno di questa lista o per giustificare una nuova pubblicazione dedicata, libero sfogo ai tuoi consigli quindi. Resto a disposizione anche per correggere qualche svista o migliorare qualche punto sopra riportato, un po’ come sempre capita :-)

Buon divertimento!


liberamente ispirato a themetrust.com/do-after-launching-a-wordpress-site

Condividi l'articolo con i tuoi contatti: