Wordpress - Realizzazione siti web a Palermo - kifulab

Tag: Wordpress

WordPress, mettere in sicurezza la cartella wp-content/uploads/

wordpress, sicurezza in pillole La cartella wp-content/uploads/ è spesso l’oggetto di attacchi da parte di malintenzionati che sfruttando la diffusa abitudine di rendere questa cartella “scrivibile dal mondo” riescono a caricare script malevoli sui siti in wordpress vittima dei loro attacchi.

Una corretta gestione dei permessi di questa cartella sarebbe la soluzione piu auspicabile ma spesso ci troviamo a dover scendere a compromessi a causa di plugin o script esterni che richiedono i permessi di scrittura per questa cartella.

Se non possiamo impedire che vengano caricati file usando delle vulnerabilità di wordpress possiamo però evitare che eventuali file php caricati su wp-content/uploads/ possano essere eseguiti. Per fare ciò dobbiamo fare affidamento su htaccess e apache.

Inserite il seguente codice all’interno di un file .htaccess e inserite il file dentro la cartella wp-content/uploads/:


order deny,allow
deny from all

Queste sparute righe di codice possono rivelarsi estremamente utili e sono applicabili ovviamente a tutte le situazioni analoghe a quella della cartella wp-content/uploads/ di wordpress. Quello che fanno è bloccare l’esecuzione di file .php presenti all’interno della cartella (e sottocartelle) in modo da rendere inutilizzabili eventuali script malevoli caricati da malintenzionati. Occorre fare una precisazione relativamente all’esempio: ho usato l’estensione .php dando per scontato che i file eseguibili siano .php. Ovviamente questo stesso accorgimento può essere applicato a tutti le estensioni di file che vogliamo bloccare sulla nostra directory.

Si ringrazia Filippo Civiletti per il supporto tecnico

{ 2 Commenti }

fulippo il 31 luglio 2009 alle
Tags: Sicurezza, Wordpress, wp-content
Categorie: Tips & tricks, Wordpress

7 trucchi per WordPress

Ecco a voi 7 piccoli trucchi per ottenere il massimo da WordPress. Eccoli, in ordine sparso:

1. Homepage personalizzata
Wordpress offre diverse possibilità per scegliere l’homepage del proprio sito. Pochi però sanno che oltre al file index.php e alle pagine statiche (selezionabili dal pannello di controllo) è possibile inserire all’interno del tema un file home.php. Questo file ha la precedenza sugli altri e viene caricato come homepage se presente nella cartella del tema.

2. Categorie con template dedicato
Con wordpress è possibile specificare dei file template diversi per ogni categoria. Per attivare questa caratteristica è sufficiente identificare l’ID (numero identificativo) della categoria e salvare all’interno del tema usato un file chiamato category-{ID-della-categoria}.php dove {ID-della-categoria} è il numero che identifica la categoria sul database (es. category-8.php). Se presente, il file verrà caricato al posto del classico archive.php.

3. Pannello delle opzioni nascoste
tutti i plugin i temi e wordpress stesso fanno un abbondante uso delle opzioni di WordPress. Per intenderci, tutti i settaggi del CMS, dal nome del blog ai settaggi più avanzati, vengono gestiti tramite questo sistema. WordPress permette di gestire tutte le opzioni tramite un pannellino nascosto (non linkato). Per aprirlo e quindi modificare comodamente tutti i settaggi del CMS è sufficiente aprire il proprio pannello di controllo e richiamare dalla barra degli indirizzi il file options.php (es. http://miosito.com/wp-admin/options.php

4. WordPress come framework
Volete integrare wordpress all’interno di una vostra applicazione? Niente di più semplice: wordpress permette di essere incluso all’interno di altre applicazioni semplicemente includendo un unico file php. Come? Includete wp-blog-header.php dentro il vostro file e magicamente tutte le funzioni di wordpress, i post e tutte le funzionalità del vostro script saranno immediatamente disponibili all’interno del vostro script

5. Abilitare Thickbox Scriptaculous, Jquery e altri script
Wordpress include con la sua installazione base già moltissimi script web tra i più famosi e usati del mondo open source. E’ necessario includere nel file functions.php la chiamata alla funzione wp_enqueue_script. Ecco del codice di esempio:

6. JOIN SQL su tabelle esterne
Con wordpress è possibile eseguire delle JOIN SQL su tabelle esterne in modo del tutto trasparente. Basta aggiungere due filtri, uno per eseguire la JOIN e l’altra per rendere i campi scelti disponibile all’interno di ogni loop. Ecco il codice:

function my_join_function($join){
	global $wpdb;
	$join .= "LEFT JOIN mia_tabella ON " . $wpdb->posts . ".ID = mia_tabella.post_id ";
	return $join;
}
function my_fields_function($fields){
	$fields.= ",mia_tabella.mio_campo";
	return $fields;
}

add_filter('posts_join', 'my_join_function' );
add_filter('posts_fields', 'my_fields_function');

7. Modificare o rimuovere il meta tag Generator
Eliminiamo il meta tag “generator” per evitare di esporre la versione di WordPress. E’ possibile aggiungere un filtro al file functions.php:

    remove_action("wp_head","wp_generator");

Enjoy!

{ 4 Commenti }

fulippo il 19 luglio 2009 alle
Tags: Categorie, Framework, Homepage, How to, jQuery, Opzioni, Scriptaculous, Thickbox, Trucchi, Wordpress, wp_enqueue_script();
Categorie: Tips & tricks, Wordpress

Italia.it e se lo facessimo in WordPress?

La scenetta si ripropone ogni anno con una sempre rinnovata nota di involontaria comicità: conferenza stampa, giornalisti riuniti e ministro di turno che con tono di soddisfazione annuncia le meraviglie del ~~nuovo~~ portale nazionale dedicato al turismo.
Sto parlando di italia.it il portalone (a giudicare dai costi, ma solo da quelli) che viene realizzato con cadenza quasi annuale dal governo.
Anche quest’anno ovviamente non è mancata la classica rassegna di numeri: 10 (5?) Milioni di euro per la realizzazione del sito, solo 1/4 della spesa inizialmente sostenuta dal governo precedente. Davvero encomiabile.

Peccato che stiamo parlando di un sito web. Certo, non è un sito web qualunque: è un portale “emozionale” per cui è possibile che emozionare la gente abbia un costo alto.. molto alto. Personalmente mi sono già emozionato appena ho sentito i costi (molti dei quali per sostenere le spese di comunicazione) ma soprattutto ad una idea che mi è saltata in mente, una piccola balzana idea: e se lo facessimo in wordpress?

Utilizzare una piattaforma basata su tecnologie open source sarebbe un segno di apertura dei nostri governanti verso una realtà che in Italia fatica a diffondersi (soprattutto nelle PA) e che sono sicuro riscuoterebbe un enorme successo. E se oltre ad usare un software open source si assegnasse la realizzazione del portale tramite un contest aperto? Troppo?
Sono sicuro che le aziende del settore farebbero a cazzotti per realizzare un portale nuovo, competitivo e al passo con quello delle altre e pure a costo zero..

Forse mi sono emozionato troppo…

{ 2 Commenti }

fulippo il 16 luglio 2009 alle
Tags: italia.it, Wordpress
Categorie: Internet

Pagina 6 di 8« Prima...«567 »...Ultima »