Il mese di WordPress in breve – Giugno 2020

Giugno é stato un altro mese emozionante per la community di WordPress: si è svolto il WordCamp Europe online e ci sono state importanti novità riguardanti Gutenberg.

Rilascio di WordPress 5.4.2

Il 10 giugno è stato rilasciato WordPress 5.4.2. Questa versione di sicurezza e manutenzione presenta 17 correzioni e 4 miglioramenti, quindi ti consigliamo di aggiornare immediatamente i tuoi siti. Per scaricare WordPress 5.4.2, visita la tua Dashboard, fai clic su Aggiornamenti, quindi Aggiorna ora o scarica l’ultima versione direttamente da WordPress.org. Per ulteriori informazioni, visita questo post, guarda l’elenco completo delle modifiche su Trac o consulta la pagina della documentazione di HelpHub per la versione 5.4.2. WordPress 5.4.2 è una versione di manutenzione a ciclo breve. La prossima versione principale sarà la versione 5.5, prevista per agosto 2020.

Gutenberg 8.3 e 8.4

Il team Core ha lanciato Gutenberg 8.3 e 8.4 questo mese, aprendo la strada ad alcune entusiasmanti funzionalità di editor di blocchi. La versione 8.3 ha introdotto miglioramenti come un insieme riorganizzato e più intuitivo di categorie di blocchi, un selettore di blocchi padre, un controllo di spaziatura sperimentale e opzioni di colore del collegamento controllate dall’utente. La versione 8.4 include nuovi strumenti di modifica delle immagini e la possibilità di modificare le opzioni per più blocchi. La funzione di ricerca nella directory dei blocchi precedentemente disponibile come funzionalità sperimentale è ora abilitata per tutte le installazioni di Gutenberg.

WordPress aumenta la versione minima consigliata di PHP a 7.2

In un importante aggiornamento, WordPress ha portato la versione PHP minima raccomandata a 7.2. L’API ServeHappy è stata aggiornata per impostare la versione minima accettabile di PHP 7.2, mentre la pagina di download di WordPress consiglia la versione 7.3 o più recente. In precedenza, il widget ServeHappy nella Dashboard mostrava l’avviso di aggiornamento agli utenti di PHP 5.6 o versioni precedenti. Questa decisione arriva dopo le discussioni tra il team principale di Site Health e il team di hosting, entrambi i quali hanno raccomandato che l’avviso di aggiornamento fosse mostrato agli utenti di PHP <= 7.1.

WordCamp Europe 2020 Online

Dopo il successo di WordCamp Spagna online, WordCamp Europe si è tenuto completamente online dal 4 al 6 giugno. L’evento ha registrato un record di 8.600 registrazioni da persone con sede in 138 paesi, insieme a 2.500 registrazioni per il Contributor Day. Ci sono stati 33 relatori e 40 sponsor, oltre a una sessione di domande e risposte con Matt Mullenweg. Puoi trovare i video dell’evento in WordPress.tv seguendo questo link oppure nel canale YouTube di WP Europe.

WordPress 5.4.1

WordPress 5.4.1 è ora disponibile!

Questa versione di sicurezza e manutenzione presenta 17 correzioni di bug oltre a 7 correzioni di sicurezza. Poiché si tratta di una security release, si consiglia di aggiornare immediatamente i siti. Anche tutte le versioni da WordPress 3.7 sono state aggiornate.

WordPress 5.4.1 è una versione di sicurezza e manutenzione short-cycle.
La prossima versione principale sarà la versione 5.5.

Puoi scaricare WordPress 5.4.1 da WordPress.org o visitando Bacheca → Aggiornamenti e facendo clic su Aggiorna ora

Se disponi di siti che supportano gli aggiornamenti automatici in background, hanno già avviato il processo di aggiornamento.

Aggiornamenti di sicurezza

Sette problemi di sicurezza riguardano WordPress versioni 5.4 e precedenti. Se non hai ancora aggiornato alla 5.4, anche tutte le versioni di WordPress dalla 3.7 sono state aggiornate per risolvere i seguenti problemi di sicurezza:

  • Proposto da Muaz Bin Abdus Sattar e Jannes che entrambi hanno segnalato indipendentemente un problema in cui i token di reimpostazione della password non sono stati correttamente invalidati
  • Proposto da ka1n4t per trovare un problema in cui alcuni post privati possono essere visualizzati non autenticati
  • Proposto da to Evan Ricafort per aver scoperto un problema XSS nel Customizer
  • Proposto da Ben Bidner dal team di sicurezza di WordPress che ha scoperto un problema XSS nel blocco di ricerca
  • Proposto da Nick Daugherty di WordPress VIP / Il team di sicurezza di WordPress che ha scoperto un problema XSS in wp-object-cache
  • Proposto da Ronnie Goodrich (Kahoots) e Jason Medeiros che ha segnalato indipendentemente un problema XSS nei caricamenti di file.
  • Proposto da Weston Ruter per aver risolto una vulnerabilità XSS memorizzata nel customizer di WordPress.
  • Inoltre, Nguyen The Duc ha scoperto un problema XSS di autenticazione nell’editor blocchi (ducnt) in WordPress 5.4 RC1 e RC2. È stato risolto in 5.4 RC5. Volevamo essere sicuri di dare credito e ringraziarli per tutto il loro lavoro nel rendere WordPress più sicuro.

Grazie a tutti i segnalatori per le segnalazioni sulle vulnerabilità. Ciò ha dato al team di sicurezza il tempo di correggere le vulnerabilità prima che i siti WordPress potessero essere attaccati.

Per ulteriori informazioni, consultare il l’elenco completo dei cambiamenti su Trac, o leggere la pagina di documentazione sulla versione 5.4.1 su HelpHub.

Oltre ai segnalatori sulla sicurezza sopra menzionati, grazie a tutti coloro che hanno contribuito a far sì che WordPress 5.4.1 fosse rilasciata:

Alex Concha, Andrea Fercia, Andrew Duthie, Andrew Ozz, Andy Fragen, Andy Peatling, arnaudbroes, Chris Van Patten, Daniel Richards, DhrRob, Dono12, dudo, Ehtisham Siddiqui, Ella van Durpe, Garrett Hyder, Ian Belanger, Ipstenu (Mika Epstein), Jake Spurlock, Jb Audras, John Blackbourn, John James Jacoby, Jonathan Desrosiers, Jorge Costa, K. Adam White, Kelly Choyce-Dwan, MarkRH, mattyrob, Miguel Fonseca, Mohammad Jangda, Mukesh Panchal, Nick Daugherty, noahtallen, Paul Biron, Peter Westwood, Peter Wilson, pikamander2, r-a-y, Riad Benguella, Robert Anderson, Samuel Wood (Otto), Sergey Biryukov, Søren Brønsted, Stanimir Stoyanov, tellthemachines, Timothy Jacobs, Toro_Unit (Hiroshi Urabe), treecutter, and yohannp.

ThemeGrill Demo Importer Hacked

Di solito non discutiamo delle vulnerabilità pubblicamente.

Questa è una traduzione in italiano di un post dell’ottimo @sterndata sull’argomento

Visto che recentemente un bug presente in questo plugin ha causato dei danni a molti siti che lo avevano installato, riepiloghiamo alcune pratiche per aumentare la sicurezza della vostra installazione WordPress


Assicurati di essere sull’ultima versione del plug-in importatore (o semplicemente eliminalo perché, davvero, ne hai bisogno più di una volta?).


Se il tuo sito è sparito, dovrai ripristinare il database da un backup, uno che hai creato o uno dal tuo host.
POI, prendi una tazza di caffè fresca, fai un respiro profondo e segui attentamente questa guida.

Al termine, potresti voler implementare alcune (se non tutte) le misure di sicurezza consigliate.


Se non riesci a pulire correttamente i tuoi siti, ci sono organizzazioni affidabili che possono pulire i tuoi siti per te. Sucuri e Wordfence sono un esempio.

tratto da https://wordpress.org/support/topic/themegrill-demo-importer-hacked/

WordPress 4.9.5 rilascio di sicurezza e di mantinemento

Le versioni di WordPress 4.9.4 e precedenti sono interessate da tre problemi di sicurezza:

  • Non considerare localhost come stesso host per impostazione predefinita.
  • Utilizzare reindirizzamenti sicuri quando si reindirizza la pagina di login se SSL è forzato.
  • Assicurati che la stringa di versione sia correttamente sottoposta a escape per l’utilizzo nei tag del generatore.

Venticinque altri bug sono stati corretti in WordPress 4.9.5:

  • Gli stili precedenti sugli shortcode caption sono stati ripristinati.
  • Cropping sui dispositivi touch è ora supportato.
  • Una varietà di stringhe, come i messaggi di errore, sono state aggiornate per una maggiore chiarezza.
  • La posizione di un placeholder per gli allegati durante i caricamenti è stata corretta.
  • La funzionalità nonce custom nel client JavaScript dell’API REST è stata resa coerente in tutto il codice base.
  • Migliore compatibilità con PHP 7.2.

Grazie a Luciano Croce per la traduzione

WordPress versione 4.9.4 – dettagli tecnici

Ieri è stata rilasciata la versione 4.9.4 di WordPress, il giorno dopo del rilascio della versione 4.9.3.

WordPress 4.9.4 è la prima minor release di WordPress, in oltre 4 anni, da quando WordPress 3.7 è stato rilasciato, dove non tutti gli utenti riceveranno l’aggiornamento automatico.

Non è stata una nostra scelta – un bug che non è stato scoperto durante tutto il ciclo di sviluppo della 4.9.3, e che è stato scoperto solo qualche ora dopo il rilascio della 4.9.3. Questo bug causa un errore fatale di PHP quando WordPress cerca di aggiornarsi.

Questo significa che gli amministratori dei siti sviluppati con WordPress, dovranno eseguire l’aggiornamento manualmente, facendo clic sul pulsante aggiorna in bacheca o via ftp.

Sembra che le versioni localizzate, come quella italiana, soffrano di questo bug in maniera molto minore, quindi potreste, facilmente, trovare i siti aggiornati senza problemi.

Per quanto riguarda la sicurezza, non c’è nulla da temere, sia la 4.9.3 che la 4.9.4 NON sono rilasci di sicurezza.

Per ulteriori dettagli tecnici e per altri metodi per aggiornare, vi rimando al post di rilascio, in inglese, su make/core.

WordPress 4.9.1 Release di Mantenimento e Sicurezza

È disponibile WordPress 4.9.1. Questa è una release di mantenimento e sicurezza per tutte le versioni a partire dalla 3.7. Vi incoraggiamo caldamente ad aggiornare i vostri siti al più presto.

La versione 4.9 e le precedenti di WordPress sono soggette a quattro vulnerabilità che potrebbero essere utilizzate per attacchi multi-vector.

Nell’ottica dell’impegno costante del team Core per migliorare la sicurezza, sono state apportate le seguenti correzioni nella versione 4.9.1:

  1. Utilizzo di un hash generato in modo corretto per la chiave newbloguser invece di una determinata sottostringa.
  2. Aggiunta di escaping agli attributi di linguaggio usati negli elementi html.
  3. Controllo che gli attributi delle enclosure vengano gestiti correttamente (escaped) nei feed RSS e Atom.
  4. Rimozione della possibilità di caricare dei file JavaScript per gli utenti che non hanno un ruolo che consente di pubblicare unfiltered_html.

Grazie a Rahul Pratap Singh and John Blackbourn per aver segnalato queste vulnerabilità in modo responsabile.

Oltre a questi problemi, WordPress risolve altri undici bug. Da segnalare in particolare:

  • Problemi con il caching dei file di template dei temi.
  • Un errore Media Element JavaScript che impedisce agli utenti di alcune versioni tradotte di caricare i file nella libreria media.
  • L’impossibilità di modificare file di temi e plugin su server Windows.

Se volete approfondire, questo articolo ha altre informazioni sui bug risolti dalla versione 4.9.1.

Scaricate WordPress 4.9.1 o andate in Dashboard → Aggiornamenti e semplicemente cliccate su “Aggiorna Ora”. I siti che supportano gli aggiornamenti automatici stanno già iniziando l’aggiornamento a WordPress 4.9.1.

Grazie a tutti quelli che hanno contribuito alla release 4.9.1:

Alain SchlesserAndrea FerciaAngelika ReisigerBlobfoliobobbingwideChetan PrajapatiDion HulseDominik Schilling (ocean90)edo888Erich MunzFelix ArntzFlorian TIARGary PendergastIgor BenicJeff FarthingJeffrey PauljeremyescottJoe McGillJohn BlackbournjohnpgreenKelly DwanlenastergMarius L. J.Mel ChoyceMário ValneynatacadoodysseypreciesSašaSergey Biryukov, and Weston Ruter.

Annuncio originale in inglese 

WordPress 4.4.2 Release di Mantenimento e Sicurezza

È disponibile WordPress 4.42. Questa è una release di sicurezza per tutte le precedenti versioni e vi incoraggiamo caldamente ad aggiornare i vostri siti immediatamente.

La versione 4.4.1 e le precedenti di WordPress sono soggette a due vulnerabilità: una possibile SSRF per alcuni URI locali, segnalata da Ronni Skansing; un attacco sulle redirection, segnalato da Shailesh Suthar.

Grazie a entrambi per avere avere segnalato le vulnerabilità.

Altre a questi problemi, WordPress 4.4.2 risolve 17 bugs delle versioni 4.4 e 4.4.1. Per maggiori informazioni, potete leggere le note di rilascio o consultare la lista dei cambiamenti.

Scaricate WordPress 4.4.2 o andate in Dashboard → Aggiornamenti e semplicemente cliccate su “Aggiorna Ora”. I siti che supportano gli aggiornamenti automatici stanno già iniziando l’aggiornamento a WordPress 4.4.2.

Grazie a tutti quelli che hanno contribuito alla release 4.4.2:

Andrea Ferciaberengerzyla, Boone Gorges, Chandra Patel, Chris Christoff, Dion Hulse, Dominik Schilling, firebird75, Ivan Kristianto, Jennifer M. Dodd, salvoaranzulla

WordPress 4.4.1 Release di Mantenimento e Sicurezza

È disponibile WordPress 4.4.1. Questa è una release di sicurezza critica per tutte le precedenti versioni e vi incoraggiamo fortemente ad aggiornare i vostri siti immediatamente.

La versione 4.4 di WordPress è soggetta a una vulnerabilità di scripting cross-site che potrebbe compromettere il vostro sito, scoperta da Crtc4L.

Ci sono anche delle soluzioni di bug non relativi alla sicurezza:

  • Aggiornamento del supporto per gli emoji che include tutti gli ultimi caratteri, inclusi quelli che celebrano la diversità! 👍🏿👌🏽👏🏼
  • Alcuni siti con versioni vecchie di OpenSSL installato non riuscivano a comunicare con altri servizi resi disponibili da diversi plugin.
  • Nel caso di riutilizzo dell’URL di un post, il sito poteva reindirizzare al post scorretto.

WordPress 4.4.1 risolve 52 bug della versione 4.4. Per maggiori informazioni guardate anche le note di rilascio o consultate la lista delle modifiche.

 

Scaricate WordPress 4.4.1 o andate in Dashboard → Aggiornamenti e semplicemente cliccate su “Aggiorna Ora”. I siti che supportano gli aggiornamenti automatici stanno già iniziando l’aggiornamento a WordPress 4.4.1.

 

Grazie a tutti quelli che hanno contribuito alla release 4.4.1:

Aaron D. Campbell, Aaron Jorbin, Andrea Fercia, Andrew Nacin, Andrew Ozz, Boone Gorges, Compute, Daniel Jalkut (Red Sweater), Danny van Kooten, Dion Hulse,Dominik Schilling (ocean90), Dossy Shiobara, Evan Herman, Gary Pendergast, gblsm,Hinaloe, Ignacio Cruz Moreno, jadpm, Jeff Pye Brook, Joe McGill, John Blackbourn, jpr,Konstantin Obenland, KrissieV, Marin Atanasov, Matthew Ell, Meitar, Pascal Birchler,Peter Wilson, Roger Chen, Ryan McCue, Sal Ferrarello, Scott Taylor,scottbrownconsulting, Sergey Biryukov, Shinichi Nishikawa, smerriman, Stephen Edgar, Stephen Harris, tharsheblows, voldemortensen, and webaware.

Annuncio in inglese

WordPress 4.2.4 Release di Mantenimento e Sicurezza

È disponibile WordPress 4.2.4. Questa è una release di sicurezza critica per tutte le precedenti versioni e vi incoraggiamo fortemente ad aggiornare i vostri siti immediatamente.

Questa versione risolve sei segnalazioni, incluse 3 vulnerabilità di scripting cross-site e una potenziale SQL injection che potrebbe compromettere il vostro sito, scoperte da Marc-Alexandre Montpas di Sucuri, Helen Hou-Sandí del team di sicurezza di WordPress, Netanel Rubin di Check Point, e Ivan Grigorov.

Contiene anche una correzione per un possibile attacco di tipo temporale per carpire informazioni del sistema, segnalato da Johannes Schmitt di Scrutinizer, e impedisce ad un utente malintenzionato di bloccare i post, rendendone così impossibile la modifica (scoperto da Mohamed A. Baset).

Ringraziamo tutti quelli che effettuano la divulgazione responsabile dei problemi di sicurezza.

WordPress 4.2.4 risolve anche quattro bug della versione precedente. Per maggiori informazioni, guardate anche le note di rilascio e consultate la lista delle modifiche.

Scaricate WordPress 4.2.4 o andate in Dashboard → Aggiornamenti e semplicemente cliccate su “Aggiorna Ora”. I siti che supportano gli aggiornamenti automatici stanno già iniziando l’aggiornamento a WordPress 4.2.4.

State già testando WordPress 4.3? La seconda RC è disponibile (zip) e include queste correzioni. Per maggiori informazioni su 4.3, leggete l’articolo con l’annuncio della release.

Annuncio in inglese

WordPress 4.2.3 Release di Mantenimento e Sicurezza

È disponibile WordPress 4.2.3. Questa è una release di sicurezza critica per tutte le precedenti versioni e vi incoraggiamo fortemente ad aggiornare i vostri siti immediatamente.

Le versioni 4.2.2 e precedenti di WordPress hanno una vulnerabilità critica di scripting cross-site, che potrebbe permettere ad utenti anonimi di compromettere un sito. Questo è stato riportato da Jon Cave del Team Security di WordPress, e risolto da Robert Chapin.

Abbiamo anche risolto un problema in cui per un utente con permessi da Sottoscrittore era possibile creare una bozza tramite lo strumento Bozza Veloce. Segnalato da Netanel Rubin di Check Point Software Technologies.

Ringraziamo tutti quelli che effettuano la divulgazione responsabile dei problemi di sicurezza.

WordPress 4.2.3 risolve anche 20 bug della versione 4.2. Per maggiori informazioni, guardate le note di rilascio o consultate la lista delle modifiche.

Scaricate WordPress 4.2.3 o andate in Dashboard → Aggiornamenti e semplicemente clicca su “Aggiorna Ora”. I siti che supportano gli aggiornamenti automatici stanno già iniziando l’aggiornamento a WordPress 4.2.3.

Grazie a tutti quelli che hanno contribuito alla 4.2.3:

Aaron Jorbin, Andrew Nacin, Andrew Ozz, Boone Gorges, Chris Christoff, Dion Hulse,Dominik Schilling, Ella Iseulde Van Dorpe, Gabriel Pérez, Gary Pendergast, Mike Adams, Robert Chapin, Nikolay Bachiyski, Ross Wintle, e Scott Taylor.

Annuncio in inglese