Uno dei server di WordPress è risultato compromesso (fonte): un cracker ha avuto accesso alla macchina e modificato i file del pacchetto WordPress 2.1.1 inserendo dei bug nel codice.

Chi ha scaricato i file di installazione di WordPress 2.1.1 negli ultimi 3-4 giorni potrebbe avere una piattaforma vulnerabile e facilmente bucabile.

Per evitare ulteriori problemi il team di WordPress ha deciso di dichiarare dangerous la versione 2.1.1 e rilasciare una versione 2.1.2 completamente verificata e sicura: il consiglio è quello di sostituire tutti i file della propria installazione con quelli del pacchetto 2.1.2

If you are a web host or network administrator, block access to “theme.php” and “feed.php”, and any query string with “ix=” or “iz=” in it. If you’re a customer at a web host, you may want to send them a note to let them know about this release and the above information.

UPDATE delle 11:07

Credo sia utile anche questo post

It doesn’t matter if you installed 2.1.1 on the first day it came out, well before the cracker modified the file on wordpress.org. It doesn’t matter if you upgraded to 2.1.1 using SVN.
WordPress 2.1.2 has a security fix that 2.1.1 doesn’t have. And it has several fixes that 2.1 doesn’t have. So please, upgrade to 2.1.2 now.

In altre parole: la versione 2.1.2 contiene security fix non presenti nella 2.1.1, non conta quando avete scaricato ed installato la 2.1.1 😉

Apprendo dalla bacheca di WordPress che sono disponibili le versioni 2.1.1 e 2.0.9 (niente 2.0.8) di WordPress.

Se avete più di 1000 articoli o 1000 commenti (nel mio caso 2689 commenti), nella bacheca del vostro pannello di amministrazione avrete un errore simile al seguente (sul fondo della colonna di destra)

Parse error: syntax error, unexpected ',' in /percorso_del_vostro_blog/wp-includes/gettext.php(313) : eval()'d code on line 1

Questo è il bug relativo, la soluzione è modificare il file wp-admin/index.php utilizzando questo diff; per i più pigri è possibile scaricare un file index.php già modificato (rinominare il file indexphp.txt in index.php), se siete disposti a sopportare la visione quotidiana di questo errore potrete aspettare la 2.1.1 😉

Da queste parti si è appena aggiornato a WordPress 2.1: si ringrazia WordPress Italy per la localizzazione in italiano, DreamHost per l’accesso ssh (mi ha fatto risparmiare una mezz’ora buona in backup e ravanamenti vari), MAMP per le verifiche in locale.

Tutto sembra funzionare al meglio (bello il nuovo editor!), l’unico plugin non funzionante è AJAX Comment Preview (al momento disattivato).

Diario del capitano, data astrale 2*1o^4

P.S. ovviamente qualcuno è riuscito ad infilarmi un commento subito dopo il backup del db: tempismo perfetto, considerando che tra l’ultimo backup e il passaggio alla 2.1 sono passati 30 secondi 😛

Ho approfittato dell’aggiornamento alla versione 2.0.6 di WordPress per aggiornare i (pochi) plugin che utilizzo e, purtroppo, mi sono appena accorto che la versione 2.0.20 di WP-Cache presenta dei problemi: quando viene inserito un commento la pagina non viene marcata come expired.
Di conseguenza l’utente non vede il proprio commento dopo averlo inserito; il commento non sarà visibile né sulla home page né sulla pagina del singolo articolo fino a quanto le pagine in questione non saranno scadute “naturalmente” (come impostazione predefinita questo avviene dopo un’ora).

Per il momento ho risolto installando la versione 2.0.19; l’autore è già a conoscenza del problema e sicuramente rilascerà a breve un aggiornamento per questo utilissimo plugin.

A poche ore dal rilascio della versione inglese di WordPress, su WordPress-it è già disponibile il download del pacchetto contenente la localizzazione in lingua italiana.
Buon aggiornamento;-)