Autore: La Redazione

Come sfruttare una vulnerabilità del plugin WordPress: un caso di studio di TheCartPress | di Security Lit Limited | Codice
fotografato da Justin Morgan SU Unsplash

I plugin di WordPress sono essenziali per aggiungere funzionalità e caratteristiche al tuo sito web, ma possono anche introdurre rischi per la sicurezza se non vengono aggiornati o mantenuti correttamente. In questo post del blog, ti mostrerò come sfruttare una vulnerabilità di escalation dei privilegi nel plugin TheCartPress, che consente a un utente malintenzionato non autenticato di creare un account amministratore su qualsiasi sito WordPress che utilizza questo plugin.

TheCartPress è un plug-in WordPress che ti consente di creare un negozio online con varie funzionalità come gestione del prodotto, carrello della spesa, checkout, gateway di pagamento e altro ancora. Ha oltre 10.000 installazioni attive ed è compatibile con le versioni di WordPress fino alla 5.7.

Tuttavia, il plugin TheCartPress presenta una grave falla di sicurezza che è stata scoperta da Spacehen, un ricercatore di sicurezza che ha pubblicato un codice exploit il 4 ottobre 2021 1. La vulnerabilità è un’escalation di privilegi non autenticata che consente a un utente malintenzionato di creare un account amministratore sul sito di destinazione inviando una richiesta appositamente predisposta al file admin-ajax.php con il parametro di azione impostato su tcp_register_and_login_ajax.

Il codice exploit funziona inviando i seguenti dati al file admin-ajax.php:
```
data = {
"tcp_new_user_name" : "admin_02",
"tcp_new_user_pass" : "admin1234",
"tcp_repeat_user_pass" : "admin1234",
"tcp_new_user_email" : "test@test.com",
"tcp_role" : "administrator"
}
```
Il parametro tcp_role è la chiave di questa vulnerabilità, poiché consente all’aggressore di specificare qualsiasi ruolo desideri per il nuovo utente, incluso l’amministratore. Il plugin non controlla né convalida questo parametro prima di creare l’utente, quindi bypassa di fatto il sistema di autenticazione di WordPress.

Per trovare siti vulnerabili che utilizzano il plug-in TheCartPress, puoi utilizzare un dork di Google come:

inurl:/wp-content/plugins/thecartpress/
23/12/2023
GoDaddy lancia le nuove estensioni WooCommerce

Quello che due mesi fa era solo un piano annunciato, ora è diventato realtà registrar del dominio E web hosting la società GoDaddy ha attivato l’espansione del pacchetto di plug-in per il suo WordPress gestito Clienti dell’e-commerce.

La nuova offerta prevede l’accesso gratuito a una libreria di oltre 75 premium WooCommerce estensioni provenienti da GoDaddy acquisizione dello sviluppatore WooCommerce SkyVerge otto mesi fa.

Con la società che ora offre la possibilità di includere carte regalo digitali ai propri clienti, includerà Google Analytics Pro e abbonamenti, nonché nuovi miglioramenti alla revisione dei prodotti e opzioni di spedizione.

Di più con WooCommerce

Vai papà si vanta che i nuovi plugin daranno web designer e agli sviluppatori maggiore flessibilità e capacità di creare piattaforme WooCommerce complete e personalizzate per i propri clienti.

Parlando del nuovo sviluppo, James Eadie, Senior Director Brand Marketing di GoDaddy, ha dichiarato: “Aiutando gli imprenditori del Regno Unito ad andare online e a far crescere la propria attività, sappiamo che è importante che i progettisti e gli sviluppatori di siti web dispongano degli strumenti giusti per creare siti online di grande impatto. negozi per i loro clienti.

“Sono lieto di fornire ai nostri clienti ancora più funzionalità senza costi aggiuntivi con WooCommerce, la soluzione di e-commerce open source più popolare al mondo, insieme alla forza e alla versatilità di WordPress che alimenta oltre un terzo dei siti Web online oggi.”

Le estensioni ora attive quasi il doppio del valore dei plugin WooCommerce di GoDaddy disponibili gratuitamente per i clienti di e-commerce WordPress gestito di GoDaddy.

Ora, gli utenti GoDaddy hanno la possibilità di accettare pagamenti da più processori e hanno accesso alle integrazioni di accesso social, Google Analytics Pro e Abbonamenti, nonché nuove offerte di buoni regalo digitali o stampabili.

Altrove questa settimana, costruttore di siti web israeliani Lo ha annunciato anche Wix una nuova aggiunta alla sua offerta attuale che includerà allo stesso modo carte regalo e programmi fedeltà.

GoDaddy sta inoltre introducendo una nuova esperienza fluida e un flusso di costruzione del sito per i clienti di e-commerce WordPress gestito che desiderano creare negozi online per i propri clienti.

Il piano include una nuova dashboard di supporto integrata, backup giornalieri con ripristino con un clic e scansioni e riparazioni giornaliere di malware, incluso il controllo delle attività di sicurezza, malware scansione e notifiche di sicurezza con repressione garantita su qualsiasi malware trovato sul sito di un cliente, secondo il costruttore del sito web.

22/12/2023
Questo plugin WordPress per Elementor lascia i siti Web vulnerabili agli hacker

Se il tuo sito web è basato sul generatore di pagine WordPress Elementor, ricontrolla se stai utilizzando questo popolare plugin. Perché se lo sei, gli hacker possono facilmente prendere il controllo completo del tuo sito web grazie a una falla di sicurezza appena scoperta.

I ricercatori di sicurezza di Patchstack hanno rilasciato un file nuovo rapporto su un problema di sicurezza informatica relativo al plugin WordPress Essential Addons per Elementor. Il plug-in fornisce agli utenti un assortimento di blocchi e modelli WordPress predefiniti da utilizzare durante la creazione o l’aggiornamento del proprio sito Web.

“Questo plugin soffre di una vulnerabilità legata all’escalation dei privilegi non autenticati e consente a qualsiasi utente non autenticato di aumentare i propri privilegi a quelli di qualsiasi utente sul sito WordPress”, scrive Patchstack nel suo rapporto.

GUARDA ANCHE:

Questo keynote di Google AI avrebbe potuto essere un Gmail

Fondamentalmente, gli autori malintenzionati possono trarne vantaggio per reimpostare la password di qualsiasi utente, compreso l’account dell’amministratore. Se la password di quest’ultimo account viene reimpostata, un hacker potrebbe sostanzialmente avere accesso all’intero sito Web – backend e tutto il resto – e prendere il controllo del sito dal legittimo proprietario. Se un sito Web preso di mira memorizza le informazioni dell’utente, questo malintenzionato avrà accesso e controllo anche su quelle.

“Questa vulnerabilità si verifica perché questa funzione di reimpostazione della password non convalida una chiave di reimpostazione della password e modifica invece direttamente la password di un determinato utente”, spiega Patchstack.

Aggiorna il plugin il prima possibile

Da allora la vulnerabilità del plugin è stata risolta e i componenti aggiuntivi essenziali per gli utenti di Elementor sono stati invitati ad aggiornarsi alla versione 5.7.2. Tutte le versioni precedenti del plugin, a partire dalla versione 5.4.0, sono interessate da questa vulnerabilità. Quindi, assicurati di aggiornare il plugin!

Più di 43 per cento di tutti i siti web su Internet utilizzano WordPress. Elementor è un popolare costruttore di siti Web per siti basati su WordPress. Più di 12 milioni I siti WordPress utilizzano Elementor. Secondo la Directory dei plugin di WordPress, più di 1 milione i siti Web attivi hanno installati i componenti aggiuntivi essenziali per Elementor.

22/12/2023
Componenti aggiuntivi essenziali per le patch Elementor Vulnerabilità critica dell’escalation dei privilegi – WP Tavern

Componenti aggiuntivi essenziali per Elementorun plugin con più di un milione di installazioni attive, ha corretto una vulnerabilità di escalation dei privilegi non autenticati nella versione 5.7.2. La vulnerabilità è stata scoperta l’8 maggio 2023 e segnalata dal ricercatore di Patchstack Rafie Muhammad. Gli è stato assegnato un punteggio CVSS 3.1 di 9,8 (gravità critica) e non è ancora noto che sia stato sfruttato.

Muhammad ha delineato la vulnerabilità in a consulenza sulla sicurezza pubblicato oggi:

Questo plugin soffre di una vulnerabilità legata all’escalation dei privilegi non autenticati e consente a qualsiasi utente non autenticato di aumentare i propri privilegi a quelli di qualsiasi utente sul sito WordPress.

È possibile reimpostare la password di qualsiasi utente purché si conosca il suo nome utente, potendo così reimpostare la password dell’amministratore e accedere al proprio account. Questa vulnerabilità si verifica perché questa funzione di reimpostazione della password non convalida una chiave di reimpostazione della password e modifica invece direttamente la password di un determinato utente.

Gli autori del plugin hanno pubblicato la patch oggi, 11 maggio, con la seguente nota nel registro delle modifiche:

5.7.2 – 05/11/2023
Migliorato: modulo di accesso/registrazione EA per il miglioramento della sicurezza
Alcune correzioni di bug e miglioramenti minori

La vulnerabilità colpisce i siti che utilizzano le versioni da 5.4.0 a 5.7.1 di Essential Addons for Elementor. Si consiglia agli utenti di aggiornare immediatamente all’ultima versione 5.7.2 ora che è disponibile Patchstack pubblicato la prova del concetto per sfruttarlo.

22/12/2023
PostX – Blocchi post Gutenberg per la griglia dei post

Stupito dalla qualità, dalla potenza e dal rispetto della privacy, è un plugin meraviglioso e dopo averlo testato per diverse ore lo consiglio vivamente come il plugin più potente, robusto e compatibile con Gutenberg della sua categoria. È anche molto ben documentato sul loro sito, insieme a una serie di esempi e istruzioni. C’è anche una tabella di marcia molto promettente.

Il miglior blocco di griglia di post che abbia mai visto, ho esaminato molte raccolte di blocchi e opzioni di griglia di post e questo è il migliore che ho visto finora. (Abbastanza buono da aver acquistato la versione pro, in effetti.) Ho un piccolo commento: la parola è “Avanzato”, non “Advacned”. Se correggi questo errore di battitura, sembrerai molto più professionale. Puoi regolare praticamente tutto, inclusi i layout per 4 dimensioni dello schermo, gli elementi da includere (intestazione e sottointestazione della sezione (con livello di intestazione), titolo (con livello di intestazione), meta post , visualizzazione delle categorie, immagine in primo piano, estratto, effetto al passaggio del mouse), sfondi, bordi, riempimento… Funziona con qualsiasi tipo di post. La versione premium contiene query avanzate, più opzioni di progettazione e molti altri progetti predefiniti.

Adoro questo plugin, lo uso con il tema Kadence e adoro tutto ciò che posso fare con questo plugin. È molto flessibile. Ho acquistato la versione Pro anche perché è ancora più flessibile. Ho semplicemente posto una domanda nella chat di supporto e ho ricevuto subito la mia risposta con uno screenshot realizzato da Hemang per mostrarmi dove si trovava l’impostazione di cui avevo bisogno. Molta personalizzazione.

Ottimo plugin per aggiungere pepe al tuo blog. E risolvono i bug in pochissimo tempo!

Incredibili progetti di blocchi post, l’ho scoperto quasi per caso perché il blocco corrente utilizzato non funziona più correttamente con WordPress 5.5, e questo è sorprendente. Disegni bellissimi e molto utilizzabili. Alcuni problemi minori (come lievi incoerenze nelle dimensioni predefinite dei caratteri e nelle dimensioni dei bordi tra alcuni stili di intestazione nei blocchi) ma questo plug-in potrebbe essere tutto ciò di cui hai bisogno per un sito blog. L’ho usato con il tema CoBlog corrispondente degli stessi sviluppatori.

Strabiliante Post Styler…!, È più di quanto mi aspettassi da qualsiasi plugin per il layout del blog. Non è necessario installare un plug-in per la creazione di pagine esterno. Grazie sviluppatore wpxpo e WordPress.

Plugin flessibile, ottimo supporto, sto utilizzando questo plugin per offrire a un cliente maggiore flessibilità su come configurare una prima pagina di più query di database. È super intuitivo e offre un’enorme flessibilità. Quando ho riscontrato un bug in una delle impostazioni del pannello di controllo, lo sviluppatore ha risposto rapidamente e ha rilasciato un aggiornamento il prima possibile. Lavoro eccellente!

Mi è piaciuto molto questo plugin. Ha reso il mio sito web fantastico. Grazie 🙂

Un ottimo plugin per un blog o un sito di notizie, con il suo aiuto puoi creare non solo la pagina principale, ma anche visualizzare post simili o recenti per tag o categorie, aggiungere eccezioni. Ha molti stili già pronti che puoi perfezionare tu stesso, poiché esiste un blocco per il codice personalizzato.

Un plugin completo per visualizzare magnificamente i post🤩, grazie Q per questo fantastico plugin con opzioni folli gratuite. Credo che la versione pro sia in arrivo…? Mi è davvero piaciuto usare il tuo plugin per ottenere diversi bellissimi layout.

Probabilmente il blocco Post Grid & Slider più completo. Compreso il supporto dei CPT. Congratulazioni per aver pubblicato questo plugin, è il plugin più completo per aggiungere griglie di post, elenchi e cursori che ho trovato finora. Mi piace particolarmente il fatto che tu abbia incluso l’impaginazione, l’offset e i filtri. La quantità di dettagli che inserisci in alcuni dettagli, come la parte post meta, è quasi folle!

Plug-in davvero buono! , sono rimasto sorpreso dalla versatilità di questo plugin. È fantastico. L’altra cosa più importante è che ho contattato gli sviluppatori e loro hanno risolto sia i miei dubbi che alcuni problemi minori. Grazie!!!!!

22/12/2023
1 milione di siti WordPress colpiti dalla vulnerabilità del plugin sfruttata – SecurityWeek

1 milione di siti WordPress colpiti dalla vulnerabilità del plugin sfruttata Settimana della sicurezza

22/12/2023
Bypassare la vulnerabilità nell’autenticazione dei plugin WordPress
La vulnerabilità di bypass dell’autenticazione è un difetto di sicurezza che consente a un autore di minacce di aggirare o aggirare il processo di autenticazione di un’applicazione o di un sistema. Il 29 maggio 2023, un team di esperti di sicurezza informatica ha scoperto una vulnerabilità in Abandoned Cart Lite. Questo era per WooCommerce sviluppato da Tyche Software. Questo bug rilevato era una vulnerabilità di bypass dell’autenticazione, ID CVE: CVE-2023-2986, trovata nel plug-in Ultimate Member di WordPress. Il plug-in Ultimate Member è un plug-in gratuito per il profilo utente che consente agli utenti di creare risorse efficienti e siti Web di appartenenza

Ciò garantisce l’accesso non autorizzato a dati o funzionalità sensibili. Questa vulnerabilità della sicurezza può verificarsi a causa di backdoor nei meccanismi di autenticazione, come una gestione impropria della sessione e una scarsa sicurezza della password. Ciò accade anche a causa di una convalida errata dell’input. Presenta un rischio significativo per l’integrità e la sicurezza del sistema. Ciò accade poiché consente a individui non autorizzati di impersonare utenti legittimi e potenzialmente eseguire attività dannose. Robuste misure di sicurezza e protocolli di autenticazione adeguati sono fondamentali per mitigare questa vulnerabilità.

Analisi Tecnica della Vulnerabilità

In base alle sue impostazioni, Abandoned Cart Lite per WooCommerce invia una notifica all’indirizzo email dei potenziali clienti che hanno lasciato il carrello. Hanno abbandonato il carrello senza effettuare alcun acquisto o hanno semplicemente abbandonato il carrello.

Il messaggio di notifica incorpora un collegamento che consente all’utente di completare l’acquisto in sospeso. Dopo aver esaminato il codice, gli esperti hanno scoperto che il codice contiene un valore crittografato per identificare il carrello abbandonato.

Il collegamento di notifica funziona solo quando il valore di crittografia è corretto e valido, il che richiede la presenza di una chiave di crittografia per creare i valori. Ma dopo aver esaminato il codice, gli esperti hanno scoperto che la chiave di crittografia era codificata nei plugin, il che indica direttamente che il file attori della minaccia può anche accedere alla chiave di crittografia e creare un valore valido che può essere inserito nel collegamento dell’identificatore del carrello abbandonato di altri clienti perché ogni identificatore del carrello ha un valore crescente in modo sequenziale a partire da uno.

Tuttavia, un utente malintenzionato si limita ad accedere solo agli account del carrello abbandonato, il che significa che un utente malintenzionato può accedere solo all’account degli utenti che non hanno completato l’acquisto e hanno abbandonato il sito a metà, perché, con il valore di crittografia manipolato, possono accedi solo come utenti con carrelli abbandonati. Tenendo conto di ciò, un autore di minacce può accedere agli account a livello utente ma potenzialmente può sfruttare questa vulnerabilità di bypass dell’autenticazione per accedere all’account amministrativo o a un altro account utente di livello superiore.

In che modo i plugin di WordPress sono soggetti alla vulnerabilità del bypass dell’autenticazione?

I plugin di WordPress possono essere soggetti a vulnerabilità di bypass dell’autenticazione per una serie di motivi. Alcuni di essi sono riportati di seguito:
- Credenziali deboli o prevedibili: Se un plugin WordPress utilizza credenziali deboli o facilmente indovinabili per l’autenticazione, gli aggressori possono sfruttare questa debolezza. Gli aggressori tentano di aggirare il processo di autenticazione.
- Meccanismi di autenticazione non sicuri: Alcuni plugin potrebbero implementare meccanismi di autenticazione non sicuri o difettosi, come una gestione impropria della sessione o una crittografia debole delle credenziali dell’utente. Queste vulnerabilità possono essere sfruttate per aggirare il meccanismo di autenticazione.
- Mancanza di convalida dell’input: Una convalida insufficiente dell’input nei plugin WordPress può portare al bypass dell’autenticazione. Gli aggressori possono manipolare campi o parametri di input per aggirare i controlli di autenticazione e ottenere un accesso non autorizzato.
- Bug del software o difetti di progettazione: I plugin con bug del software o difetti di progettazione possono introdurre vulnerabilità che consentono di aggirare l’autenticazione. Questi difetti possono derivare da una gestione inadeguata dell’input dell’utente, da un controllo degli accessi improprio o dall’archiviazione non sicura dei dati relativi all’autenticazione.
- Mancata applicazione dei controlli di autenticazione: in alcuni casi, i plugin potrebbero non riuscire ad applicare i controlli di autenticazione su funzioni o risorse critiche. Ciò consente inavvertitamente l’accesso non autorizzato senza un’adeguata autenticazione.
- Versioni di plugin obsolete o vulnerabili: Se i plugin di WordPress non vengono aggiornati o mantenuti regolarmente, potrebbero contenere vulnerabilità note. Questi possono essere sfruttati per bypassare l’autenticazione. Gli aggressori possono sfruttare queste vulnerabilità per aggirare i meccanismi di autenticazione.
Per mitigare l’autenticazione aggirare le vulnerabilità nei plugin WordPress, è fondamentale seguire le migliori pratiche. Pratiche come l’utilizzo di credenziali forti e uniche, il mantenimento dei plugin aggiornati e l’esecuzione di controlli di sicurezza regolari svolgono un ruolo fondamentale. Questo viene fatto per utilizzare pratiche di codifica sicure per garantire meccanismi di autenticazione robusti.

Conclusione

È da notare che gli sviluppatori hanno sviluppato la funzionalità all’indietro, che era compatibile con la versione 5.15.0. Ciò significa che i carrelli vecchi o precedentemente abbandonati possono ancora essere sfruttati anche se il plugin viene aggiornato all’ultima versione. Inoltre, il rafforzamento della sicurezza è stato lanciato in una versione avanzata, la 5.15.1. Ciò garantisce che i siti Web siano infallibili attraverso i vecchi collegamenti di notifica del carrello abbandonato. Pertanto, è necessario garantire che tutti i siti siano aggiornati alla versione.

La vulnerabilità del bypass dell’autenticazione può essere rilevata mediante una revisione sicura del codice e Kratikal sta lavorando ininterrottamente per garantire l’assenza di backdoor. Kratikal, un’organizzazione controllata dal CERT-In, crede nella fornitura di soluzioni versatili di sicurezza informatica per le aziende che affrontano la complessità nel rafforzare la propria posizione di sicurezza delle informazioni.

Come azienda, abbiamo ottenuto numerosi premi. Abbiamo incorporato una gamma di professionisti esperti e qualificati della sicurezza informatica che forniscono servizi e soluzioni di prima classe. Il nostro team interno di pen-test ha protetto migliaia di siti Web, applicazioni, cloud, reti, ecc. dei clienti. Il nostro motto è rendere sicure le risorse digitali.

La posta Bypassare la vulnerabilità nell’autenticazione dei plugin WordPress è apparso per primo Blog critici.

*** Questo è un blog diffuso da Security Bloggers Network Blog critici scritto da Riddika Grover. Leggi il post originale su: https://kratikal.com/blog/bypass-vulnerability-in-wordpress-plugins-authentication/
21/12/2023
I migliori plugin WordPress premium e gratuiti per la SEO nel 2022

L’ottimizzazione per i motori di ricerca (SEO) è molto complicata e ogni proprietario di sito web o blogger desidera che il proprio sito sia uno dei primi risultati per termini di ricerca pertinenti. Ma con così tanti altri siti Web simili pubblicati contenuto sugli stessi argomenti, questo diventa davvero difficile. Dovrai far salire di livello il tuo gioco SEO per assicurarti di essere tra i migliori risultati su qualsiasi motore di ricerca.

Se il tuo sito web è su WordPress, ce ne sono così tanti fantastici plugin che può aiutarti non solo con suggerimenti SEO di base ma anche con consigli approfonditi. Possono aiutarti a migliorare la sicurezza, la velocità di caricamento della pagina, l’esperienza utente e molto altro. Tutte queste piccole cose aiutano anche ad aumentare il tuo punteggio SEO complessivo. Sì, tuttavia, la parte più impegnativa della scrittura del contenuto dipende da te, ma almeno avrai un partner fidato nella parte di ottimizzazione. Devi produrre contenuti accattivanti che i tuoi lettori apprezzeranno e il plug-in che scegli ti dirà quali parole chiave devi aggiungere, dove e così via.

Gli algoritmi SEO potrebbero cambiare rapidamente e tutto ciò a cui devi pensare quando ottimizzi i tuoi contenuti è molto. Ecco perché il plugin WordPress giusto ti dirà se, ad esempio, i file delle tue immagini sono troppo grandi e rallentano il caricamento della tua pagina. Essere al passo con tutte le migliori pratiche SEO può cambiare le regole del gioco e metterti in cima ai risultati di ricerca. Lascia che ti presentiamo alcuni dei migliori plugin SEO WordPress per il 2022 che diventeranno il tuo partner indispensabile.

Plugin WordPress gratuiti per la SEO nel 2022

Esistono molti plugin gratuiti per WordPress e l’argomento SEO non fa eccezione. Puoi trovarne un paio tra i migliori qui sotto.

Kit del sito di Google

Come puoi suggerire, questo plugin è sviluppato da Google. Questo è già un segno che è uno dei migliori perché fondamentalmente aiuta a posizionarsi nel motore di ricerca più utilizzato. Kit del sito ti consentirà di analizzare i dati di varie soluzioni Google nel tuo WordPress. I prodotti Google che puoi integrare nella tua dashboard sono Google Search Console, Google Analytics, Google AdSense, Google Optimize e altri.

Ti aiuterà a ridurre molti plugin di cui hai bisogno in modo da poter vedere tutti questi dati nel tuo WordPress. Ti farà anche risparmiare tantissimo tempo e ottimizzerà il tuo flusso di lavoro. Oltre a ciò, ti fornirà preziose informazioni su cosa dovresti migliorare in termini di SEO, prestazioni del sito web, metriche dei clienti e altro ancora.

Classifica matematica

Classifica matematica è un plugin che ti offrirà tantissime funzionalità molto utili per il tuo punteggio SEO. È molto facile da usare e non sono necessarie conoscenze tecniche per configurarlo e utilizzarlo. Con il suo aiuto, puoi definire i titoli delle intestazioni delle descrizioni dei metadati, manipolare gli snippet nei risultati di ricerca e altro ancora. Offre anche un’integrazione con Google Search Console. I creatori hanno detto che avrebbero introdotto una versione premium con ancora più funzionalità in seguito.

È sicuramente un plugin in grado di coprire tutte le tue esigenze SEO. Ha un’opzione per monitorare gli errori 404 e un modulo di reindirizzamento che indirizzerà quelle pagine 404 a un’altra pagina utile sul tuo sito. È incluso anche il supporto per i Rich Snippet.

Controllo collegamenti interrotti

I collegamenti interrotti non sono positivi per il tuo punteggio SEO, ed ecco perché Controllo collegamenti interrotti può aiutarti a identificarli. È un plug-in WordPress gratuito che eseguirà la scansione dei tuoi contenuti alla ricerca di collegamenti che non funzionano. Se produci regolarmente molti contenuti, ad un certo punto, sarà difficile tenere traccia e controllare periodicamente i tuoi pezzi più vecchi e i backlink che hai utilizzato lì.

I collegamenti che non funzionano sono dannosi per la SEO e per l’impressione che lasci sui tuoi visitatori. Di solito usi questi collegamenti per indirizzare le persone a contenuti gratuiti. Se non funzionano, forse un lettore non sarà in grado di comprendere completamente la tua idea. Con Broken Link Checker, riceverai una notifica se un collegamento smette di funzionare.

Plugin WordPress freemium e premium per la SEO nel 2022

Molti degli strumenti che vedrai di seguito offrono una versione gratuita da provare con funzionalità limitate e versioni premium molto utili e ricche di ottime opzioni.

Ottimo SEO

Questo è probabilmente il miglior collegamento SEO su WordPress. Ottimo SEO è un plugin freemium che ti aiuterà con ogni aspetto della SEO. Ti consente di creare contenuti migliori e consiglia di migliorarli ancora in termini di SEO e leggibilità. E la nostra versione gratuita ti offrirà quasi tutto ciò di cui avrai bisogno.

Naturalmente, la versione premium ti darà accesso a molto di più. Avrai accesso alla mappa del sito XML di Google per una migliore indicizzazione, aggiungi e modifica parole chiave focus per ogni contenuto, modifica snippet per risultati di ricerca, imposta URL canonici, ecc. Gestire meta descrizioni e nomi di pagina non è mai stato così facile.

Semrush

Ogni esperto di marketing digitale lo sa Semrush ottimo. È lo strumento perfetto per i professionisti SEO e il plugin WordPress lo rende ancora più facile da usare. Questo plugin ti offrirà tantissimo: migliorare il SEO, l’ottimizzazione dei contenuti, i social media, l’ottimizzazione delle acquisizioni a pagamento e così via. La versione premium ti consentirà di analizzare le parole chiave e saprai quali includere nei tuoi contenuti.

Potrai analizzare le strategie dei tuoi concorrenti controllando le loro parole chiave e la strategia di backlinking. In questo modo, puoi costruire un’ottima strategia di marketing che migliorerà il tuo posizionamento SEO, i social media e le acquisizioni a pagamento perché tutto funzionerà perfettamente insieme.

MonsterInsights

MonsterInsights ti aiuterà a monitorare le prestazioni del tuo sito web e a comprendere meglio i tuoi utenti oltre a migliorare le tue prestazioni SEO. Analizzare le prestazioni del tuo sito web è così importante perché, in base a ciò, puoi elaborare una strategia su come migliorarlo ulteriormente. MonsterInsights ti consentirà di connetterti a Google Analytics e vedere tutte le informazioni preziose direttamente sulla dashboard di WordPress. Sarai in grado di visualizzare approfondimenti come i contenuti più visitati, le parole chiave principali, i siti di riferimento, i collegamenti in uscita e molto altro.

Riassumendo

Conoscere tutti i piccoli segreti della SEO è quasi impossibile. Le cose cambiano velocemente e gli algoritmi vengono aggiornati, rendendo difficile tenerne traccia. Ma il giusto plugin WordPress può aiutarti molto dandoti i giusti consigli e aiutandoti a migliorare il tuo punteggio SEO. Includere parole chiave, gestire immagini, backlink e molto altro ancora è facile con il partner giusto. Dai un’occhiata ai plugin che abbiamo suggerito e troverai sicuramente quello giusto per te.

21/12/2023
Gli hacker prendono di mira il difetto del plugin WordPress dopo il rilascio dell’exploit PoC

Gli hacker stanno sfruttando attivamente una vulnerabilità recentemente risolta nel plugin WordPress Advanced Custom Fields circa 24 ore dopo che un exploit proof-of-concept (PoC) è stato reso pubblico.

La vulnerabilità in questione è CVE-2023-30777, un difetto di cross-site scripting (XSS) riflesso di elevata gravità che consente agli aggressori non autenticati di rubare informazioni sensibili e aumentare i propri privilegi sui siti WordPress interessati.

La falla è stata scoperta dalla società di sicurezza dei siti Web Patchstack il 2 maggio 2023 ed è stata divulgata insieme a un exploit proof-of-concept il 5 maggioun giorno dopo che il fornitore del plugin aveva rilasciato un aggiornamento di sicurezza con la versione 6.1.6.

Come riportato ieri dall’Akamai Security Intelligence Group (SIG), a partire dal 6 maggio 2023, è stata osservata un’attività significativa di scansione e sfruttamento utilizzando il codice di esempio fornito nell’articolo di Patchstack.

“Il SIG di Akamai ha analizzato i dati sugli attacchi XSS e ha identificato gli attacchi che hanno avuto inizio entro 24 ore dalla pubblicazione del PoC dell’exploit,” si legge il rapporto.

“Ciò che è particolarmente interessante è la query stessa: l’autore della minaccia ha copiato e utilizzato il codice di esempio Patchstack dall’articolo.”

Tentativi di sfruttamento da parte di un singolo attore della minaccia (Akamai)

Considerando che oltre 1,4 milioni di siti web che utilizzano il plugin WordPress interessato non sono stati aggiornati alla versione più recente, basato sulle statistiche di wordpress.orggli aggressori hanno una superficie di attacco piuttosto ampia da esplorare.

La falla XSS richiede il coinvolgimento di un utente registrato che ha accesso al plugin per eseguire codice dannoso sul proprio browser che fornirà agli aggressori un accesso privilegiato al sito.

Le scansioni dannose indicano che questo fattore di mitigazione non scoraggia gli autori delle minacce che confidano di poterlo superare attraverso trucchi di base e ingegneria sociale.

Inoltre, l’exploit funziona sulle configurazioni predefinite delle versioni dei plugin interessate, il che aumenta le possibilità di successo per gli autori delle minacce senza richiedere ulteriori sforzi.

Gli amministratori dei siti WordPress che utilizzano i plugin vulnerabili sono invitati ad applicare immediatamente la patch disponibile per proteggersi dalle continue attività di scansione e sfruttamento.

L’azione consigliata è aggiornare i plugin gratuiti e professionali “Advanced Custom Fields” alla versione 5.12.6 (backport) e 6.1.6.

21/12/2023
Modern Tribe lancia un importante aggiornamento del suo plugin per il calendario degli eventi WordPress
Modern Tribe lancia un importante aggiornamento del suo plugin per il calendario degli eventi WordPress
Notizia

Sviluppo Web
Il miglior plugin di calendario per WordPress, The Events Calendar, ha rilasciato una nuova versione che è stata ricostruita da zero. Il nuovo plugin, versione 5, include una visualizzazione ed un’esperienza del calendario completamente ridisegnate.

Il calendario degli eventi versione 5 su iPhone

Il Calendario degli Eventi è stato creato più di dieci anni fa ed è ora installato su oltre 800.000 WordPress siti. La sua popolarità è dovuta in parte al suo robusto set di funzionalità e alla facilità d’uso. Poiché il plugin è stato migliorato nel tempo, il suo design è rimasto indietro. Tribù modernal’agenzia di progettazione e sviluppo digitale dietro The Events Calendar, ha deciso che era finalmente giunto il momento di riprogettare e modernizzare il calendario UX.

WordPress webmaster che utilizzano il plugin saranno piacevolmente sorpresi dalla nuova versione. IL interfaccia utente ha un aspetto fresco e minimalista che si integra bene con la maggior parte dei temi WordPress e tutte le visualizzazioni del calendario sono ottimizzate per i dispositivi mobili. La riprogettazione include anche una nuova visualizzazione della mappa che è stata notevolmente migliorata.

Il calendario degli eventi è gratuito Versione principale e basato su abbonamento Versione Pro. Il plugin può essere esteso con componenti aggiuntivi, come il suo Aggregatore di eventiche può importare automaticamente eventi da Meetup, Eventbrite, Google Calendar, iCalendar e altri URL.

Se ti piacciono la tecnologia web e le notizie di marketing, oltre a cose casuali occasionali, allora questa è la newsletter che fa per te. Nessuna pubblicità. Nessuno sponsor. Niente spam. Solo storie interessanti e attuali. Annulla l’iscrizione in qualsiasi momento.

Jon Henshaw

Jon Henshaw è il fondatore di Coywolf e un veterano del settore con quasi tre decenni di esperienza SEOesperienza nel marketing digitale e nelle tecnologie web. Seguire @[email protected]

Menu di navigazione

Torna in cima

UN Coywolf Adattamento

Questo sito utilizza la privacy in primo luogo Analisi dei dati ed è ospitato su WPEngine.

Contatta Coywolf Notizie

Coywolf LLC
Pista Fieldstone 2020
STE 900-122
Franklin, TN 37069-4337

+1 615-461-0902 / contact@coywolf.news

© 2017-2023
Coywolf LLC Tutti i diritti riservati
Politiche e standard relativi alle notizie – politica sulla riservatezza – Termini di servizio
Coywolf e il logo Coywolf sono marchi registrati di Coywolf LLC

Scansiona il codice QR per visualizzare l’articolo online
21/12/2023