Dopo poco più di un anno di vita di questo blog, la situazione spam comincia a farsi davvero pesante: ogni giorno Akismet e Simple Trackback Validation filtrano una 100inaia di commenti di spam, senza contare quelli che sfuggono al loro controllo mischiandosi tra i commenti “buoni” degli utenti. La cosa noiosa, poi, è quella di controllare periodicamente i commenti marcati come spam, per verificare che non ci sia qualche “falso positivo”.

Data la situazione descritta precedentemente, mi sono convinto a fare quello che non avevo mai voluto fare prima, ovvero installare un plugin lato client (cioè che si interfaccia con gli utenti, al contrario degli altri citati precedentemente che sono lato server) e la mia scelta è ricaduta su Math Comment Spam Protection che funziona in maniera molto semplice: dati due numeri interi che cambiano ogni volta, l’utente deve inserire la loro somma nel relativo campo di testo (se volete provare praticamente il funzionamento, lasciate pure un commento a questo post).

Vediamo come installare e far funzionare questo plugin:

1. scaricate il plugin da qui
2. decomprimete il file zippato
3. uppate la cartella risultante sul vostro ftp, precisamente in wp-content/plugins/
4. abilitate il plugin nella pagina di amministrazione dei plugin di WordPress
5. andate su Options / Math Comment Spam per configurarlo a dovere (anche se non cambiate nulla, la prima volta, clickate comunque su Update Options).
6. modificate il file comments.php del vostro tema aggiungendo, generalmente sotto del campo per inserire l’url del sito web, questo codice (di esempio):[quickcode:noclick]<?php
   if ( function_exists(‘math_comment_spam_protection’) ) {
   $mcsp_info = math_comment_spam_protection();
   ?> <p><input type=”text” name=”mcspvalue” id=”mcspvalue” value=”” size=”22″ tabindex=”4″ />
   <label for=”mcspvalue”><small>Spam protection: Sum of <?php echo $mcsp_info[‘operand1’] . ‘ + ‘ . $mcsp_info[‘operand2’] . ‘ ?’ ?></small></label>
   <input type=”hidden” name=”mcspinfo” value=”<?php echo $mcsp_info[‘result’]; ?>” />
   </p>
   <?php } ?>[/quickcode]
7. fate qualche prova per verificare che tutto funzioni alla perfezione

I più pessimisti dicono che questo sia sistema facile da bypassare per gli spambot, ma sta di fatto che, in 2 giorni che l’ho installato, non ho ricevuto alcun commento che fosse spam!

P.S. chi, come me, utilizza il tema K2/3K2 può utilizzare quest’altra versione del plugin, che si integra alla perfezione con il tema citato.

Ho appena appreso dal blog di crisis di una vulnerabilità  nel file templates.php di WordPress (il motore che fa funzionare questo sito) che consentirebbe, ad un utente malintenzionato che abbia accesso a questo file, di inserirvi del codice HTML o javascript arbitrario, che verrebbe poi eseguito dagli altri amministratori.

Sono affette da questa vulnerabilità  tutte le versioni di WordPress, compresa l’attuale 2.0.5.

Per rimediare alla vunerabilità , basta scaricare la versione corretta da qui, estrarre il file templates.php e utilizzarlo per sovrascrivere il file wp-admin/templates.php esistente.

UPDATE

Come mi ha fatto giustamente notare il mio amico Daxeel, sovrascrivendo il file e selezionando, dal menù di amministrazione, Gestione -> File, si ottiene un bel

Fatal error: Call to undefined function attribute_escape() in /wp-admin/templates.php on line 114

La soluzione alla quale, prima lui, poi io, siamo arrivati è quella di editare il vecchio file wp-admin/templates.php e sostituire la riga 114 con questa:

echo "<li><a href='templates.php?file=" . wp_specialchars($recent, true) . "'>" . wp_specialchars(get_file_description(basename($recent))) . "</a></li>";

Con questa piccola modifica, la vulnerabilità  dovrebbe essere risolta ed anche Gestione -> File dal menù d’amministrazione è tornato a funzionare!