Per chi è interessato alla risoluzione del problema di sicurezza può copiare e fare l’upgrade dei soli file wp-includes/feed.php e wp-includes/version.php della versione 2.6.5.

Si passa direttamente dalla versione 2.6.3 alla 2.6.5 saltando la numero 2.6.4.

link → http://wordpress.org/development/2008/11/wordpress-265/

Se è così, se proprio non riuscite a fare a meno di cambiare il look al vostro blog scaricando temi da qualsiasi sito internet, allora questo è il plugin che fa’ per voi.

TAC (Theme Authenticity Checker) è un plugin che controlla che i temi presenti sul blog, anche quelli non attivi, non contengano codice malevolo.

Il plugin cerca prevalentemente codice JavaScript potenzialmente pericoloso e segnala tutti i link verso altri siti contenuti nel tema, anche quelli che riguardano l’autore del tema e che naturalmente per motivi di copyright non è possibile/corretto rimuovere.

Il codice che il plugin segnala come potenzialmente malevolo non è detto che lo sia veramente, potrebbe trattarsi di codice criptato scritto per “beccare” coloro che si appropriano del lavoro altrui rimuovendo i link del copyright. Se il plugin vi segnala codice malevolo avete quindi 2 possibilità: cancellare il tema o eseguire il codice per vedere a cosa porta. Io vi consiglio di tagliare la testa al toro e cancellare il tema.

link → http://builtbackwards.com/projects/tac/

Quando un sito web viene compromesso vengono lasciati dei contenuti nascosti che questo plugin può scovare.

Il plugin è ancora alla versione 0.1, quindi non molto preciso nei risultati.
L’ho usato su un vecchio blog di un amico non aggiornato da un paio di anni e ha trovato 7 file “sospetti”, 5 appartenenti allo stesso plugin (secondo lo sviluppatore questo è un indizio che funziona), uno all’editor TinyMCE e uno alla funzione di importazione post da Blogger.

Ho sostituito i 2 file con gli originali forniti sul sito Wordpress ma la situazione non è cambiata.

Se notate attività sospette sul vostro blog installatelo e provatelo, ma non fatevi prendere dal panico se il plugin trova file compromessi, nella maggior parte dei casi si tratta di falsi positivi.

link → http://ocaoimh.ie/exploit-scanner/

<meta name="generator" content="WordPress 2.5.1" />

dando in pasto a malintenzionati utili informazioni per attaccare il vostro blog.

Fino a Wordpress 2.3.x bastava rimuovere il seguente codice dal proprio tema per risolvere il problema:
<?php bloginfo('version'); ?>

Da Wordpress 2.5.x invece il numero di versione viene automaticamente aggiunto da Wordpress, per rimuoverlo è necessario aggiungere questo codice
remove_action('wp_head', 'wp_generator');
al file functions.php del vostro tema.

Se il vostro tema non ha questo file basta crearne uno vuoto e inserire questo codice:
<?php
remove_action('wp_head', 'wp_generator');
?>

Si tratta di una versione che sistema un bel po’ di bug (oltre 70) e migliora le performance, ma che contiene anche un’importante correzione ad una falla di sicurezza, quindi è raccomandato l’aggiornamento immediato, sopratutto per blog che hanno attivato la registrazione degli utenti.

Per chi è interessato solo alla sicurezza, può scaricare e sostituire i soli file wp-includes/pluggable.php, wp-admin/includes/media.php, e wp-admin/media.php
da questa pagina.

I principali aggiornamenti riguardano:

• migliori performance di Bacheca, Scrivi post e Modifica commenti
• migliori prestazioni per chi ha molte categorie
• fix alla modalità di upload dei Media
• aggiornamento dell’editor avanzato alla versione TinyMCE 3.0.7
• fix al layout di IE

link → download

Qualsiasi persona, digitando l’indirizzo http://www.TUOBLOGG.it/index.php/wp-admin/

accede a tutti gli articoli con data futura.

Altri piccoli bug sono stati corretti.

È stata inoltre aggiunta la possibilità di creare una pagina di errore personalizzata per quando Wordpress non riesce a collegarsi al database.

http://wordpress.org/development/2007/12/wordpress-232/