Dopo l’uscita di WordPress 5.0, aggiornamento che ha visto la definitiva comparsa dell’editor Gutenberg come editor di default, il team di sviluppo del CMS più famoso al mondo ha rilasciato una nuova versione dedicata alla sicurezza: WordPress 5.0.1.
WordPress 5.0.1 va a risolvere parecchi bug di WordPress 5 ed è valido per tutte le versioni da WordPress 3.7, quindi se avete aggiornato a WordPress 5 i vostri siti web, è necessario fare anche questo aggiornamento.
Invece, per tutti quelli che non hanno aggiornato a WordPress 5.0, dovreste aver ricevuto un aggiornamento automatico a WordPress 4.9.9 che mette al riparo l’installazione dalle stesse problematiche, quindi:
[adrotate banner=”1″]
- Se avete aggiornato a WordPress 5.0 –> aggiornate a WordPress 5.0.1 immediatamente;
- Se NON avete aggiornato a WordPress 5.0 –> aggiornate a WordPress 4.9.9 immediatamente.
Facciamo però ora il punto della situazione su WordPress 5, andando ad elencare i bug riscontrati che non sono pochi:
I bug di WordPress 5
- Gli utenti autori possono alterare i metadati per cancellare i file a cui non erano autorizzati;
- gli utenti autori possono creare post non autorizzati con input appositamente predisposti;
- gli utenti contributori possono creare metadati tramite una injection PHP;
- gli utenti contributori possono modificare i nuovi commenti degli utenti con privilegi più elevati, portando potenzialmente a una vulnerabilità di scripting cross-site;
- alcuni input URL appositamente predisposti potrebbero portare a una vulnerabilità di scripting cross-site in alcune circostanze; WordPress non è stato influenzato, ma alcuni plugin potrebbero risentirne;
- il team di Yoast, che ha sviluppato il famoso plugin dedicato alla SEO, ha scoperto che la schermata di attivazione dell’utente può essere indicizzata dai motori di ricerca in alcune configurazioni non comuni, che portavano all’esposizione di indirizzi e-mail e, in alcuni rari casi, a password generate in modo predefinito;
- alcuni utenti autori sui siti ospitati da Apache potevano caricare file appositamente predisposti che ignoravano la verifica MIME, portando a una vulnerabilità di scripting cross-site.
WordPress 5.0 e la corsa all’aggiornamento
Da quando è stato rilasciato WordPress 5 abbiamo notato una “corsa all’aggiornamento” mai vista, neanche quando si è passato dalla versione 3.9 alla 4.
Per carità, tenere aggiornato WordPress va bene e guai a non farlo, ma è bene aggiornare con cognizione di causa e farlo al momento giusto, dando tempo agli sviluppatori di sistemare i bug che, come abbiamo visto, si sono presentati.
Come esempio vi riportiamo quello che ha dichiarato WPML, azienda produttrice di uno dei più famosi plugin per i siti web multi lingua, secondo cui l’aggiornamento a WordPress 5.0 si dovrà effettuare non prima di gennaio:
Dicembre è la stagione delle vacanze quasi per tutti. A meno che non ti manchi una scarica di adrenalina, non ha senso fare un aggiornamento importante al momento. Un viaggio divertente in un parco avventura con amici e familiari costerà meno e sarà meno stressante. Aggiorneremo i nostri siti in produzione a WordPress 5.0 a gennaio.
Oltre a questo, sia nei gruppi Facebook che in altri lidi, c’è stata una vera e propria bagarre per quanto riguarda questo grosso aggiornamento e noi ci siamo veramente stupiti perché è strano che una grossa fetta di utenti che utilizza WordPress abbia voluto subito fare l’aggiornamento in maniera così veloce.
Conclusione
Badate bene, è un bene aggiornare WordPress e dovete continuare a farlo, tuttavia bisogna aggiornare cercando di capire alcune dinamiche.
Se la nostra installazione contiene tanti plugin, è opportuno fare le verifiche del caso “plugin per plugin” ed inoltre, la storia di WordPress ci insegna: tutte le versioni principali (per versioni principali intendiamo quelle che hanno uno o due numeri –> WordPress 4.9, WordPress 3.8 etc…) hanno sempre avuto dei grossi bug inizialmente, risolti poi con le versioni minori che hanno sempre una grossa importanza.
Come Provider di servizi di Hosting abbiamo l’obbligo di comunicare quanto siano importanti gli aggiornamenti dei CMS, come WordPress in questo caso, ma è altrettanto importante capire quello che si sta facendo e che problematiche potrebbe portare un aggiornamento in “due click” senza pensare e documentarsi.
Come ultima spiaggia esiste poi il servizio di Backup che potrebbe letteralmente salvarvi da situazioni drammatiche ma se non ce l’avete sono veramente dolori: ha senso veramente aggiornare velocemente senza pensare? Quei due click potrebbero farvi perdere ore e ore di tempo.
No Responses