identificare plugin non permessi

[loris]

Saluti,
sono nuovo e ho appena finito di installare wp nello spazio che ho acquistato e ho notato che alcuni plugin per wp non sono permessi, tra cui yet Another Related Posts Plugin, applicazioni per Facebook e social network in generale e Ogni applicazione che apre socket o connessioni da/verso qualunque server/host, sia interni che esterni alla rete Web4Web..

Le domande

1) come faccio a identificare quali sono le applicazioni che aprono connessioni verso server/host esterni?
2) i plugin per integrare wordpress con alcuni socialnetwork, per capirsi, con facebook o twitter e nei quali è necessaria creare la application all'interno del proprio profilo sul social network e "collegarla" alla propria installazione wp, sono permessi?

Ad esempio, io ho appena installato un tema con integrazione per social e jetpack per wordpress... devo toglierli?

:|

ditemelo prima che mi sospendete per ignoranza

[Gandalf]

(18-06-2013 13:03)loris Ha scritto:  : https://www.web4web.it/forum/post-4230.html#pid42301) come faccio a identificare quali sono le applicazioni che aprono connessioni verso server/host esterni?

Su questo solo un programmatore ti può aiutare (o gli autori del plugin, che dovrebbero fornirti la dovuta assistenza, essendo un loro software)

Citazione:2) i plugin per integrare wordpress con alcuni socialnetwork, per capirsi, con facebook o twitter e nei quali è necessaria creare la application all'interno del proprio profilo sul social network e "collegarla" alla propria installazione wp, sono permessi?

Ad esempio, io ho appena installato un tema con integrazione per social e jetpack per wordpress... devo toglierli?

se l'accesso ai server viene fatto a livello di codice PHP, si, li devi togliere. Discorso diverso, senza alcuna limitazione, nel caso l'accesso fosse fatto da browser ad esempio tramite javascript (come quasi tutti i vari link di "Mi piace", "+1", "Share" e così via)

[loris]

non lo faccio per lavoro ma di codice non sono a digiuno, proverò ad andare a guardarmi il codice di uno dei plugin non permessi.

grazie!

[webby1973]

(18-06-2013 13:09)Gandalf Ha scritto:  : https://www.web4web.it/forum/post-4231.html#pid4231se l'accesso ai server viene fatto a livello di codice PHP, si, li devi togliere. Discorso diverso, senza alcuna limitazione, nel caso l'accesso fosse fatto da browser ad esempio tramite javascript (come quasi tutti i vari link di "Mi piace", "+1", "Share" e così via)

Ciao,

mi accodo perché l'argomento IMHO meriterebbe un elenco stile FAQ
Ho letto in altro thread che questo problema una volta riguardava anche Akismet, quindi la domanda è: posso installare plugin di sicurezza come Wordfence? http://wordpress.org/plugins/wordfence/
Mi pare che usino AJAX per le scansioni, da una pagina di test dovrebbe funzionare, ma vorrei essere sicuro che non ci siano blocchi
Grazie!

[Gandalf]

E' impossibile fare un elenco altrimenti dovremmo controllare tutti gli script php del mondo.

[webby1973]

(01-07-2013 18:03)Gandalf Ha scritto:  : https://www.web4web.it/forum/post-4240.html#pid4240E' impossibile fare un elenco altrimenti dovremmo controllare tutti gli script php del mondo.

Vabbeh
magari un elenco che viene popolato man mano che i vs utenti installano dei plugin che voi vedete operare in modo non concesso.
O come per Akismet che invece si possono installare.
Almeno per i principali che verificano la sicurezza delle installazioni WP, tipo Wordfence, Better WP Security, WP Security Scan...

Scusa la domanda banale, ma se installo uno script che fa delle chiamate esterne in modo non ammesso, esce qualche errore? si blocca tutto? cioè come ci si accorge?

[Gandalf]

Gli script non permessi sono indicati nella pagina contenente la policy. Sempre nella stessa sezione è presente un elenco di siti in whitelist.

L'errore che solitamente si genera è un errore 500 causato dal timeout dello script (il nostro firewall blocca l'accesso, quindi lo script va in timeout) e/o errori vari mostrati dallo script stesso (curl, fsockopen, etc etc)

Dipende sempre da come è stato programmato lo script, non c'è uno standard, purtroppo.

[webby1973]

(01-07-2013 18:23)Gandalf Ha scritto:  : https://www.web4web.it/forum/post-4243.html#pid4243Gli script non permessi sono indicati nella pagina contenente la policy. Sempre nella stessa sezione è presente un elenco di siti in whitelist.

L'errore che solitamente si genera è un errore 500 causato dal timeout dello script (il nostro firewall blocca l'accesso, quindi lo script va in timeout) e/o errori vari mostrati dallo script stesso (curl, fsockopen, etc etc)

Eccomi di nuovo, ho installato Wordfence e durante il test delle funzioni viene bloccato, per fortuna il plugin spiega il motivo :
"Sorry, but your web hosting provider has disabled the 'fsockopen' function on your WordPress server. That means you can't use WHOIS. Please log a support call with them asking them to enable this function. Explain that you need it to be able to perform Whois lookups on IP addresses which will allow you to determine who owns the IP's that are attacking your website. "

E' possibile whitelistare i server di WordFence?
Da 69.46.36.0 a 69.46.36.32

Grazie

[Gandalf]

In questo caso il problema è dato dall'utilizzo della funzione fsockopen, che nel 99% dei casi viene usata a scopi malevoli. I plugin più recenti utilizzando quasi esclusivamente cURL in quanto dialogano tramite HTTP/HTTPS.

La funzione fsockopen non sarà sbloccata, abbiamo troppi casi di compromissione rispetto ai casi legittimi.

[webby1973]

(01-07-2013 22:42)Gandalf Ha scritto:  : https://www.web4web.it/forum/post-4245.html#pid4245In questo caso il problema è dato dall'utilizzo della funzione fsockopen, che nel 99% dei casi viene usata a scopi malevoli. I plugin più recenti utilizzando quasi esclusivamente cURL in quanto dialogano tramite HTTP/HTTPS.

La funzione fsockopen non sarà sbloccata, abbiamo troppi casi di compromissione rispetto ai casi legittimi.

Ciao,

questo è un bel problema, perché anche le chiamate a PayPal di tipo IPN avvengono così.
Devo fare delle prove di e-commerce usando WP+WooCommerce e scrivono che usano HTTPS verso PayPal ma sfruttando fsockopen e per la precisione la funzione:
http://codex.wordpress.org/Function_API/wp_remote_post

Domanda: l'attuale vs limitazione è solo per gli hosting condivisi o anche per i semidedicati?

Grazie.