MENU


Nextgen gallery security issue – problema di sicurezza per nextgen


ITA Il mio sito è stato infettato, devo ancora approfondire, ma apparentemente se il folder contenitore delle immagini di next gen si trova fuori da upload e in chmod 777, 757 or 755 (la configurazione giusta dovrebbe essere 755) è possibile effettuare una code injection. Per questo sul mio sito erano presenti un po’ di file php (nella cartella gallery) con l’istruzione eval() al loro interno, e quindi nell’ordine era stato riscritto l’htaccess e poi veniva usato il server per mandare delle mail. La soluzione, da verificare completamente, è di spostare il default di caricamento di next gen in uploads/gallery  e di spostare la cartella gallery con le sottocartelle dentro uploads. Per evitare che i motori di ricerca mandino gli utenti a immagini che non esistono più è possibile editare l’.htaccess come segue RewriteRule ^wp-content/gallery/(.*)$ /wp-content/uploads/gallery/$1 [R=301,NC,L] bisogna poi lanciare un update da mySql per aggiornare il percorso delle immagini update wp_ngg_gallery set path = REPLACE(path, 'wp-content/gallery/', 'wp-content/uploads/gallery/'); e chiedere una revisione dei link da parte dei motori di ricerca. ================================================================================ ENG I guess I found out a security issue for next gen gallery: it seems that if the main folder (gallery) is outside uploads forlder some code can be […]
Read More ›


Controllare se un sito web è infetto da Malware, Virus o Trojan


Anche i siti si possono ammalare, ecco come avere loro cura prima che venga segnalato “infetto” o “pericoloso” dai motori di ricerca. Questo comporta una serie di problemi quali: un calo nelle visite al sito, un abbassamento dei guadagni, discesa della “reputability”. E’ alquanto complicato per uno sviluppatore, scovare un malware o il virus nel codice sorgente, vistro che l’infezione potrebbe essere ovunque, sotto più forme, tramite codici decodificati, di reindirizzamento, iframe o altro ancora. Fortunatamente esistono servizi online e gratuiti che consentono di controllare ed effettuare delle scansioni gratuitamente, per verificare se il vostro sito web è stato o meno infetto da malware, virus o trojan. A seguire una lista strumenti online: Dr. web A discapito dell’infelice nome URLologist la scansione del sito è accurata Sucuri Interessante anche in quanto rilascia un plugin per wordpress che permette di controllare il sito dal suo interno Online Link Scan verifica se un sito web sono presenti infezioni di malware, link sospetti o altre anomalie, (utile come procedimento anche per PC). Url Void strumento di verifica per domini, sottodomini e pagine web. In caso di infezione, il servizio riporta il nome del malware che ha infetto il sito web, e solitamente anche […]
Read More ›


Il file caricato non può essere spostato in wp-content/uploads – wordpress


“Il file caricato non può essere spostato in wp-content/uploads”. Controllate che la cartella sia stata creatanella cartella “uploads”. WordPress deve essere in grado di creare da solo la cartella per cui andate con il vostro client FTP su uploads e conferite i permessi per la cartella e tutte le sotto cartelle (ma non i file – filezilla ha quest’opzione ad esempio) a 755. Non funziona ancora??? A me è capitato che non funzionasse ancora e dopo un attimo di incomprensione, ho intuito che lo spazio sul server era finito! Qui a seconda del vostro provider la soluzione è diversa!
Read More ›


DOS creare direstories da 000 a 999


Creazione ricorsiva di cartelle numerate con DOS (esempio: da 000 a 999) for /l %i in (0,1,9) do md 00%i for /l %i in (10,1,99) do md 0%i for /l %i in (100,1,999) do md %i
Read More ›


WordPress personalizzazione di un tema identificare i file


Lavorando con wordpress spesso mi è capitato di incorrere in questo problema: voglio modificare una pagina da codice ma non so quale fila aprire a modificare. Ho trovato questa semplice, veloce ed efficace soluzione: nel file footer subito dopo <?php wp_footer(); ?> si può aggiungere lo snippet che ho inserito a seguire per visualizzare i file coinvolti nel rendering di una “pagina” specifica. Per configurarlo sostituite LoginUtente con il login dell’utente con cui avete fatto login in amministrazione e NomeTemplate con il nome della cartella in cui è contenuto il template che avete usato (questo per evitare che vi escano listati anche i file di sistema). <?php global $current_user; get_currentuserinfo(); $login=$current_user->user_login; //echo $login; if($login==”LoginUtente”){ echo ‘<div id=”bottom_debug”>’; $included_files = get_included_files(); foreach ($included_files as $filename) { if (strpos($filename,’NomeTemplate’) !== false){ echo “<br />”.”$filename\n”; } } echo ‘</div>’; } ?>
Read More ›


WordPress crop di un immagine dal top


Come sempre se trovo un problema ed ho tempo condivido. Oggi mi sono ritrovato a cercare di capire come poter fare in modo che wordpress non decapitasse le persone effettuando il crop di foto verticali. Dapprima ho cercato la soluzione nel codice del template usato, invece di tratta di una caratteristica nativa. Il “problema” è contenuto in wp-include/media.php La soluzione non può essere di modificare il file perchè altrimenti al primo aggiornamento avremo un roll back della funzionalità. Si può ricorrere ad un filtro in cui si riscriva la function con le caratteristiche desiderate. Il codice si posiziona in un proprio plugin o nelle file function.php del template. Per i thumbnail già creati è necessario che essi vengano rigenerati. Per questo si può usare un plugin (es Regenerate Thumbnails) add_filter( 'image_resize_dimensions', 'custom_image_resize_dimensions', 10, 6 ); function custom_image_resize_dimensions( $payload, $orig_w, $orig_h, $dest_w, $dest_h, $crop ){ // Change this to a conditional that decides whether you // want to override the defaults for this image or not. if( false ) return $payload; if ( $crop ) { // crop the largest possible portion of the original image that we can size to $dest_w x $dest_h $aspect_ratio = $orig_w / $orig_h; $new_w = […]
Read More ›


WordPress accenti che tagliano la stringa – problema di encoding


Uno degli aspetti ottimali di wordpress stanno nel fatto che si tratta di un CMS con pochissimi requirements sia in termini di risorse che in termini di configurazione del server. In uno degli ultimi lavori che ho in avanzamento adesso ho effettuato l’installazione di wordpress come sempre ma qualcosa è andato storto, quando nel backoffice tentavo di inserire un testo con una lettera accentata il testo veniva troncato. E’ evidentemente un problema di encoding dei caratteri… almeno questo l’ho capito al volo. Purtroppo però la soluzione non è stata così semplice. Controllato il DB, in utf-8, tabelle in utf-8, nelle pagine html era esplicitato utf-8, e infatti i caratteri accentati sul db ci arrivavano, il probalema era che non ci uscivano più. Ho scritto una mail in assistenza, che non ha avuto risposta per cui mi sono rimboccato le maniche e perdendo un bel po’ di tempo per capire quali fossero i parametri sono riuscito a risolvere. Nell’.htaccess del sito in questione ho spiattellato ######################################## # Locale settings ############################## php_value date.timezone "Europe/Rome" SetEnv   LC_ALL  it_IT.UTF-8 ############################## # Set up UTF-8 encoding ############################## AddDefaultCharset UTF-8 AddCharset UTF-8 .php php_value default_charset "UTF-8" php_value iconv.input_encoding "UTF-8" php_value iconv.internal_encoding "UTF-8" php_value iconv.output_encoding "UTF-8" php_value […]
Read More ›


WordPress White Screen of Death – WordPress e la pagina bianca “della morte”


The blue Screen of Death, AKA BSOD, è uno dei peggiori errori di windows. Mentre voi serenamente ascoltate la vostra web radio preferita controllando la posta, lo schermo diventa blu, con una serie di orribili codici, mentre le casse emettono un suono molesto… come se lavorando al computer qualcuno per farvi uno scherzone si avvicinasse da dietro in silenzio e vi facesse: BUUUUU! Scherzosamente i programmatori americani hanno chiamato WordPress White Screen of Death quel fenomeno che è possibile (probabile incontrare sviluppando con wordpress) tale per cui un sito magari fuziona bene ma una pagina specifica è completamente bianca, sia a livello visivo, sia per quanto riguarda il codice: no errore 500, no 404,  no errori php. Personalmente la prima volta che ho incontrato questo problema ho definito la costante di debug uguale a true: ovvero si apre wp-config.php e si cambia da define(‘WP_DEBUG’, false); a define(‘WP_DEBUG’, true); a questo punto gli errori php dovrebbero apparire sulla pagina… nulla.  Ho capito subito (si un po’ me ne sto vantando 🙂 ) che si trattava di un problema di memoria (RAM). Poca memoria dedicata in una pagina pesante, fa si che la pagina non venga eseguita. Soluzione: in wp-config.php si aumenta […]
Read More ›


Tradurre un tema wordpress in poche semplici mosse con poedit


Chi sviluppa in wordpress spesso si trova a scaricare un tema in inglese. Per tradurlo semplicemente ci vuole poedit nella cartella del vostro tema troverete la cartella lang che contiene files a coppie: uno si chiamerà .po e l’altro .mo: il file .po è in “chiaro” il file “.mo” è “compilato”. Scaricate il file in inglese (en_US – inglese statunitense) . Crete una copia che si chiamerà it_IT.po . Apritelo con poedit e traducetelo. Potete eseguire un semplice find e tradurre solo le stringhe che vi interessano. Cliccate “salva”, viene prodotto il file .mo. Effettuate l’upload del file in lang all’interno del tema. Poi aprite wp-config.php (nella root di wordpress) e vericaficate che sia definita la costante di sitema WPLANG come it_IT altrimenti definitela come tale o create la definizione se inesistente ( define(‘WPLANG’, ‘it_IT’); ) Fatto! 🙂
Read More ›


Il vostro antivirus si lamenta del vostro client torrent?


Capita che l’altivirus si lamenti del client torrent, certo può essere che abbiate scaricato un client che non è sicuro. Ma se il  problema non è il client stesso allora generalmente è il tracker di un torrent che punta ad un URL maligno. Una breve parentesi sull’URL maligno, si tratta dell’indirizzo di un sito andando sul quale scarichereste uno o più file che sono potenzialmente dannosi per la vostra privacy o per il vostro sistema operativo. Per ovviare al problema le soluzioni semplici che mi vengono in mente sono 2: editare il file di host facendo puntare a 127.0.0.1 l’url incriminato sostituire i tracker del torrent contenente l’url maligno (o i tracker di tutti i torrent) Per editare il file di host andare in C:\Windows\System32\drivers\etc aprire con blocco note (usate mica blocco note davvero? se si scaricate subito Notepad++) o editor adatto e scrivere su una nuova riga. Per sostituire i tracker, scaricare una lista di tracker validi, attivi e puliti (fatevi dare una mano da google), andare nelle proprietà specifiche del torrent (basta un doppio click sul torrent in alcuni client) e inserire i nuovi tracker. 127.0.0.1    www.indirizzo-malevolo.com Il circuito torrent permette di scaricare file protetti da copyright, questo […]
Read More ›