Autore: La Redazione

Il National Vulnerability Database ha pubblicato un avviso di vulnerabilità relativo al plugin ShortPixel Enable Media replace WordPress utilizzato da oltre 600.000 siti web. È stata scoperta una vulnerabilità di elevata gravità che potrebbe consentire a un utente malintenzionato di caricare file arbitrari.

Il Vulnerability Database (NVD) degli Stati Uniti ha assegnato alla vulnerabilità un punteggio di 8,8 su 10, dove 10 rappresenta la gravità più alta.

Abilita la vulnerabilità del plug-in di sostituzione multimediale

Normalmente non è possibile caricare un’immagine con lo stesso nome file per aggiornare un’immagine esistente.

Il plugin Enable Media replace di ShortPixel consente agli utenti di aggiornare facilmente le immagini senza dover eliminare la vecchia immagine e quindi caricare la versione aggiornata con lo stesso nome file.

I ricercatori di sicurezza hanno scoperto che gli utenti con privilegi di pubblicazione possono caricare file arbitrari, comprese le shell PHP, note anche come backdoor.

Un plugin che consente i caricamenti (invio di moduli) controlla idealmente che il file sia conforme a ciò che si suppone venga caricato.

Ma secondo l’avviso di sicurezza di NVD, a quanto pare ciò non accade quando gli utenti caricano file di immagini.

Il National Vulnerability Database ha pubblicato questa descrizione:

“Il plugin Enable Media replace WordPress precedente alla versione 4.0.2 non impedisce agli autori di caricare file arbitrari sul sito, il che potrebbe consentire loro di caricare shell PHP sui siti interessati.”

Questo tipo di vulnerabilità è classificata come: Caricamento illimitato di file di tipo pericoloso.

Ciò significa che chiunque abbia i privilegi di autore può caricare uno script PHP che può poi essere eseguito in remoto da un utente malintenzionato, poiché non ci sono restrizioni su ciò che può essere caricato.

Shell PHP

Una PHP Shell è uno strumento che consente all’amministratore di un sito web di connettersi al server in remoto ed eseguire operazioni come eseguire manutenzione, aggiornamenti, manipolare file e utilizzare programmi a riga di comando.

Si tratta di un livello di accesso spaventoso che un hacker può ottenere, il che potrebbe spiegare perché questa vulnerabilità è classificata come Alta, con un punteggio di 8,8.

Questo tipo di accesso viene anche definito backdoor.

UN Elenco delle backdoor di GitHub descrive questo tipo di exploit:

“Gli hacker di solito sfruttano un pannello di caricamento progettato per caricare immagini sui siti.

Questo di solito si trova dopo che l’hacker ha effettuato l’accesso come amministratore del sito.

Le shell possono anche essere caricate tramite exploit o inclusione di file remoti o tramite un virus sul computer.

Azione raccomandata

ShortPixel ha rilasciato una patch per la vulnerabilità. La correzione è documentata nel registro delle modifiche ufficiale situato nel repository WordPress per il plugin.

Il plugin Enable Media replace di ShortPixel che è inferiore alla versione 4.0.2 è vulnerabile.

Gli utenti del plugin potrebbero voler prendere in considerazione l’aggiornamento almeno alla versione 4.0.2.

Leggi l’avviso ufficiale NVD per la vulnerabilità:

CVE-2023-0255 Dettaglio

Immagine in evidenza di Shutterstock/Asier Romero

JACKSONVILLE, Florida., 28 novembre 2023 /PRNewswire/ — Yoast, un plug-in pionieristico e leader globale nell’ottimizzazione dei motori di ricerca (SEO) per WordPress, di proprietà di Newfold Digital, ha annunciato oggi miglioramenti basati sull’intelligenza artificiale al suo rinomato plug-in SEO per WordPress. Questi miglioramenti aiutano gli utenti a scrivere titoli e meta descrizioni accattivanti e ottimizzati per il SEO per le pagine web. Utilizzando algoritmi avanzati e tecniche di apprendimento automatico, genera titoli e meta descrizioni creativi e accattivanti, affascinando il pubblico e rispettando gli standard dei motori di ricerca.

Scrivere contenuti ottimali per titoli di siti Web e meta descrizioni può essere impegnativo e richiedere molto tempo, ma non deve esserlo. Ora, Yoast SEO Premium può generare questi elementi cruciali per strategie SEO efficaci con un solo clic.

Yoast, il plugin SEO più grande al mondo, ha sfruttato la propria esperienza SEO interna per sviluppare suggerimenti intelligenti per fornire risultati ottimali agli utenti. Il generatore di titoli e meta descrizioni AI di Yoast elimina il fastidio di creare manualmente titoli e meta descrizioni unici e di alta qualità per ogni pagina. Ciò fa risparmiare tempo agli utenti, attira più traffico sul sito Web e aumenta la percentuale di clic.

Scrivere meta descrizioni accattivanti per le pagine dei prodotti di un negozio online è ancora più importante. Le pagine dei prodotti spesso contengono informazioni generali, che non dovrebbero apparire nelle pagine dei risultati di ricerca. Yoast WooCommerce SEO, il componente aggiuntivo eCommerce del plug-in Yoast SEO Premium, ora aggiunge la potenza dell’intelligenza artificiale alle pagine dei prodotti, consentendo agli utenti di generare il titolo e la meta descrizione perfetti con un solo clic di un pulsante.

Yoast sta portando il suo impegno per l’eccellenza del cliente a un livello superiore attraverso i miglioramenti del suo prodotto Premium esistente. Le funzionalità basate sull’intelligenza artificiale di Yoast sono incluse automaticamente per gli utenti Premium, rendendo lo sblocco della potenza dei componenti SEO generati dall’intelligenza artificiale facile come un aggiornamento del plug-in. Quando molti strumenti SEO implementano modelli di prezzo a consumo per l’utilizzo dell’intelligenza artificiale, Yoast si distingue. L’ultimo aggiornamento offre agli utenti Premium un accesso senza precedenti a questi miglioramenti dell’intelligenza artificiale, senza attivazioni complesse o costi aggiuntivi, addebiti o costi nascosti.

La storia continua

“Il panorama digitale è in continua evoluzione e richiede un’innovazione continua. Yoast si distingue come un esempio nel suo impegno volto a garantire che ogni proprietario di un sito web possa accedere a strumenti SEO d’élite facili da usare”, ha affermato Kimberley ColeDirettore generale Europa presso Newfold Digital, società madre di Yoast. “Approfondindo l’integrazione dell’intelligenza artificiale ed estendendola all’e-commerce, Yoast fornisce ai propri utenti gli strumenti necessari per eccellere in questo dinamico dominio digitale.”

Con questo lancio della sua prima funzionalità integrata con intelligenza artificiale, Yoast, pioniere dell’innovazione, segna l’inizio di una serie di progressi e rafforza la sua posizione come soluzione SEO preferita per oltre 13 milioni di siti WordPress in tutto il mondo. Per un’analisi dettagliata e ulteriori approfondimenti su queste innovazioni, visitare il sito Yoast.com.

A proposito di Yoast
Yoast, fondata nel 2010 e acquisita da Newfold Digital nel 2021, è la società dietro Yoast SEO, il principale plugin SEO per WordPress che è diventato uno strumento indispensabile per i siti Web WordPress che mirano a rafforzare il proprio posizionamento. Yoast SEO aiuta i proprietari di siti web di tutti i livelli a navigare senza sforzo nel terreno tecnico della SEO, consentendo allo stesso tempo agli utenti di produrre contenuti accattivanti con analisi SEO e leggibilità versatili, disponibili in più lingue. Con oltre 13 milioni di download attivi, Yoast SEO non è solo il plugin SEO più scaricato, ma anche una testimonianza dell’impegno di Yoast nel canalizzare più traffico organico dai motori di ricerca e dalle piattaforme social. Oltre alla versione gratuita di Yoast SEO, il prodotto Premium fornisce agli utenti l’accesso ai venerati corsi della SEO Academy di Yoast, un archivio di conoscenze essenziali per padroneggiare la SEO. Servendo una clientela diversificata, dalle strutture locali ai siti riconosciuti a livello globale, la missione di Yoast rimane chiara: rendere la SEO accessibile a tutti.

Oltre al plugin Yoast SEO di punta, l’azienda ha creato una serie di plugin progettati per amplificare ulteriormente il potenziale SEO. Con una convinzione profondamente radicata nella comunità e nella collaborazione, Yoast contribuisce regolarmente a progetti open source ed è noto per la sua partecipazione attiva a eventi significativi nella sfera digitale. Scopri di più su Yoast e la sua suite di prodotti su Yoast.com.

Informazioni su Newfold Digital
Newfold Digital, azienda leader nel settore delle tecnologie web e commerciali, serve quasi 7 milioni di clienti in tutto il mondo. Fondato nel 2021 in seguito alla fusione dei giganti del settore Endurance Web Presence e Web.com Group, il portafoglio di marchi di Newfold Digital comprende nomi come Bluehost, CrazyDomains, HostGator, Network Solutions, Register.com, Web.com, Yoast, YITH e molti altri. L’azienda aiuta clienti di diversa scala a scolpire una presenza digitale che risuoni e fornisca risultati. Grazie alla sua vasta gamma di prodotti e al supporto dedicato, Newfold Digital è diventata sinonimo di eccellenza nel campo delle soluzioni di presenza online. Scopri di più su Newfold Digital su Newfold.com.

Contatto con i media:
PaolaLorenzo
corporatecommunications@newfold.com

Visualizza il contenuto originale per scaricare contenuti multimediali:https://www.prnewswire.com/news-releases/yoast-unleashes-ai-powered-seo-plugin-slashing-time-investments-for-crafting-vital-elements-of-effect-seo-strategies-301998203. html

FONTE Newfold Digital

Il National Vulnerability Database degli Stati Uniti ha pubblicato un avviso su due vulnerabilità scoperte nel plugin All In One SEO WordPress.

Il plugin All In One SEO (AIOSEO), che ha oltre tre milioni di installazioni attive, è vulnerabile a due attacchi Cross-site scripting (XSS).

Le vulnerabilità colpiscono tutte le versioni di AIOSEO fino alla versione 4.2.9 inclusa.

Scripting cross-site archiviato

Gli attacchi Cross-site scripting (XSS) sono una forma di exploit injection che prevede l’esecuzione di script dannosi nel browser di un utente che possono quindi portare all’accesso a cookie, sessioni utente e persino al controllo del sito.

Le due forme più comuni di attacchi Cross-Site Scripting sono:

• Scripting cross-site riflesso
• Scripting cross-site archiviato

Un XSS riflesso si basa sull’invio di uno script a un utente che fa clic su di esso, che va al sito vulnerabile che poi “riflette” l’attacco sull’utente.

Un XSS memorizzato si verifica quando lo script dannoso si trova sul sito vulnerabile stesso.

Gli hacker sfruttano qualsiasi forma di input al sito Web come un modulo di contatto, un modulo di caricamento di immagini, qualsiasi area in cui qualcuno può caricare o effettuare un invio.

La vulnerabilità sorge quando non ci sono controlli di sicurezza sufficienti per bloccare input indesiderati.

I due problemi che interessano il plugin AIOSEO sono entrambi vulnerabilità Stored Cross-Site Scripting.

CVE-2023-0585

Alle vulnerabilità vengono assegnati numeri per tenerne traccia. Il primo è stato assegnato, CVE-2023-0585.

Questa vulnerabilità deriva dalla mancata sanificazione degli input. Ciò significa che viene eseguito un filtraggio insufficiente per impedire a un hacker di caricare uno script dannoso.

L’avviso del National Vulnerability Database (NVD) lo descrive così:

“Il plug-in All in One SEO Pack per WordPress è vulnerabile allo Stored Cross-Site Scripting tramite parametri multipli nelle versioni fino alla 4.2.9 inclusa a causa dell’insufficiente sanificazione dell’input e dell’escape dell’output.

Ciò consente agli aggressori autenticati con ruolo di amministratore o superiore di iniettare script web arbitrari in pagine che verranno eseguiti ogni volta che un utente accede a una pagina iniettata.

Alla vulnerabilità è stato assegnato un livello di minaccia di 4,4 (su dieci), che è un livello medio.

Un utente malintenzionato deve prima acquisire privilegi di amministratore o superiori per perpetrare questo attacco.

CVE-2023-0586

Questo attacco è simile al primo. La differenza principale è che un utente malintenzionato deve assumere almeno un livello di privilegio di accesso al sito Web da collaboratore.

Un ruolo a livello di collaboratore ha la capacità di creare contenuto ma non di pubblicarlo.

Anche la vulnerabilità è una minaccia di livello medio, ma le viene assegnato un punteggio di vulnerabilità più elevato pari a 6,4.

Questa è la descrizione:

“Il plug-in All in One SEO Pack per WordPress è vulnerabile allo Stored Cross-Site Scripting tramite parametri multipli nelle versioni fino alla 4.2.9 inclusa a causa dell’insufficiente sanificazione dell’input e dell’escape dell’output.

Ciò consente agli aggressori autenticati con ruolo Collaboratore+ di iniettare script web arbitrari in pagine che verranno eseguiti ogni volta che un utente accede a una pagina inserita.

Azione raccomandata

La prima vulnerabilità richiede privilegi di livello amministratore e le viene assegnato un punteggio di livello di minaccia medio relativamente basso pari a 4,4.

Ma la seconda vulnerabilità richiede solo un livello di privilegio inferiore ed è valutata più in alto, pari a 6,4.

In genere è una buona politica aggiornare tutti i plugin vulnerabili. La versione 4.3.0 del plugin AIOSEO è quella contenente la correzione di sicurezza, a cui si fa riferimento nel funzionario Registro delle modifiche AIOSEO come ulteriore “rafforzamento della sicurezza”.

Leggi i dettagli delle due vulnerabilità:

CVE-2023-0585

CVE-2023-0586

Immagine in primo piano di Shutterstock/Bangun Stock Productions

MonetizzaAltrouna società di ottimizzazione delle entrate pubblicitarie, ha ha acquisito il plug-in Advanced Ads e assumerà il team dietro i prodotti.

Gli strumenti di gestione degli annunci del plug-in vengono utilizzati da oltre 150.000 siti Web per creare, visualizzare e ruotare unità pubblicitarie, nonché pianificare e indirizzare gli annunci in base a condizioni preimpostate. Si integra con molti altri plugin popolari come BuddyPress, bbPress, Elementor, MailPoet, Paid Memberships Pro e altri. Il plug-in è distribuito su WordPress.org con aggiornamenti commerciali e componenti aggiuntivi disponibili.

Il creatore di Advanced Ads Thomas Maier ha lanciato il plug-in nel 2014 dopo aver scoperto che la maggior parte dei plug-in pubblicitari di WordPress non supportava annunci reattivi, siti Web memorizzati nella cache o test suddivisi per prestazioni migliori. Negli ultimi nove anni il suo team è cresciuto fino a contare 12 persone che supportano 40 milioni di impressioni.

Maier ha affermato di “non aver mai provato molta gioia nel ricoprire i ruoli esecutivi e amministrativi in ​​un progetto di tale successo” e che tornerà a lavorare in team con i clienti di Advanced Ads come parte di MonetizeMore.

“È da un po’ che non mi sento a mio agio con una posizione dirigenziale (nota anche come ‘capo’) e volevo uscirne prima di perdere il divertimento lavorando con il mio team, il mio prodotto e i miei clienti”, ha detto Maier. “È stato più un processo che un punto di svolta specifico.

“Fortunatamente ho costruito rapporti con potenziali acquirenti molto prima di pensare alla vendita. Questo mi ha aiutato l’anno scorso a ottenere più offerte qualificate in un breve periodo di tempo. Ho anche chiesto alle persone che hanno venduto il loro WordPress [businesses] per consigli, che spesso erano molto onesti e aperti.”

Maier ha affermato che il problema non è il carico amministrativo, poiché il suo team ha già svolto la maggior parte delle attività quotidiane. Vendendo Advanced Ads stava cercando di ricoprire un nuovo ruolo trasferendo la proprietà a un’azienda che ritiene essere un “partecipante di mercato ragionevole”.

“La mia energia è stata prosciugata dal fatto che mi sentivo responsabile che tutti, il team, i clienti e i partner, fossero felici”, ha detto Maier. “Non riuscivo a smettere di pensarci anche quando tutto filava liscio. Dopo 13 anni alla guida delle mie aziende, non vedo l’ora di lasciare il posto di guida”.

Questa acquisizione consente a MonetizeMore di espandere i propri strumenti di ottimizzazione degli annunci con le funzionalità Advanced Ads, che consentono agli utenti di gestire e indirizzare i propri annunci senza competenze di codifica.

“La loro esperienza integra i nostri strumenti di pubblicità programmatica e la nostra suite di prodotti esistenti, mantenendo i nostri editori in prima linea nel settore”, ha affermato Kean Graham, CEO e fondatore di MonetizeMore. “Poiché siamo destinati a una crescita esponenziale quest’anno e siamo sulla buona strada per superare la soglia dei 100 milioni di dollari ARR quest’anno, resteremo selettivi nell’effettuare acquisizioni strategiche e partnership con organizzazioni che danno potere anche agli editori che monetizzati con la pubblicità.”

Maier ha affermato di non aspettarsi alcun cambiamento nel prezzo del plugin a seguito dell’acquisizione. Al momento non sono previste modifiche per gli abbonamenti attivi, le funzionalità dei prodotti esistenti o i livelli di servizio.

Yoast, un plugin pionieristico e leader globale nell’ottimizzazione dei motori di ricerca (SEO) per WordPress, di proprietà di Newfold Digital, ha annunciato oggi miglioramenti basati sull’intelligenza artificiale al suo rinomato plugin SEO per WordPress. Questi miglioramenti aiutano gli utenti a scrivere titoli e meta descrizioni accattivanti e ottimizzati per il SEO per le pagine web. Utilizzando algoritmi avanzati e tecniche di apprendimento automatico, genera titoli e meta descrizioni creativi e accattivanti, affascinando il pubblico e rispettando gli standard dei motori di ricerca.

Scrivere contenuti ottimali per titoli di siti Web e meta descrizioni può essere impegnativo e richiedere molto tempo, ma non deve esserlo. Ora, Yoast SEO Premium può generare questi elementi cruciali per strategie SEO efficaci con un solo clic.

Yoast, il plugin SEO più grande al mondo, ha sfruttato la propria esperienza SEO interna per sviluppare suggerimenti intelligenti per fornire risultati ottimali agli utenti. Il generatore di titoli e meta descrizioni AI di Yoast elimina il fastidio di creare manualmente titoli e meta descrizioni unici e di alta qualità per ogni pagina. Ciò fa risparmiare tempo agli utenti, attira più traffico sul sito Web e aumenta la percentuale di clic.

Scrivere meta descrizioni accattivanti per le pagine dei prodotti di un negozio online è ancora più importante. Le pagine dei prodotti spesso contengono informazioni generali, che non dovrebbero apparire nelle pagine dei risultati di ricerca. Yoast WooCommerce SEO, il componente aggiuntivo eCommerce del plug-in Yoast SEO Premium, ora aggiunge la potenza dell’intelligenza artificiale alle pagine dei prodotti, consentendo agli utenti di generare il titolo e la meta descrizione perfetti con un solo clic di un pulsante.

Yoast sta portando il suo impegno per l’eccellenza del cliente a un livello superiore attraverso i miglioramenti del suo prodotto Premium esistente. Le funzionalità basate sull’intelligenza artificiale di Yoast sono incluse automaticamente per gli utenti Premium, rendendo lo sblocco della potenza dei componenti SEO generati dall’intelligenza artificiale facile come un aggiornamento del plug-in. Quando molti strumenti SEO implementano modelli di prezzo a consumo per l’utilizzo dell’intelligenza artificiale, Yoast si distingue. L’ultimo aggiornamento offre agli utenti Premium un accesso senza precedenti a questi miglioramenti dell’intelligenza artificiale, senza attivazioni complesse o costi aggiuntivi, addebiti o costi nascosti.

“Il panorama digitale è in continua evoluzione e necessita di una continua innovazione. Yoast si distingue come un esempio nel suo impegno volto a garantire che ogni proprietario di un sito web possa accedere a strumenti SEO d’élite facili da usare”, ha affermato Kimberley ColeDirettore generale Europa presso Newfold Digital, società madre di Yoast. “Approfondindo l’integrazione dell’intelligenza artificiale ed estendendola all’e-commerce, Yoast fornisce ai propri utenti gli strumenti necessari per eccellere in questo dinamico dominio digitale”.

Con questo lancio della sua prima funzionalità integrata con intelligenza artificiale, Yoast, pioniere dell’innovazione, segna l’inizio di una serie di progressi e rafforza la sua posizione come soluzione SEO preferita per oltre 13 milioni di siti WordPress in tutto il mondo. Per un’analisi dettagliata e ulteriori approfondimenti su queste innovazioni, visitare Yoast.com.

L’economia dei creatori è un settore economico in forte crescita e di grande valore oltre 100 miliardi di dollari.

Laddove un tempo i marchi chiedevano a gran voce di convincere le star del cinema o le leggende del pop a pubblicizzare i loro prodotti, gli influencer dei social media sono ora le figure più ricercate che fungono da ambasciatori.

Da YouTube a TikTok, la generazione Z in particolare è affascinata dai creatori che creano contenuti al volo e si connettono con il proprio pubblico. Intorno a questo fondamento centrale è sorto un intero ecosistema di aziende per supportare i creatori e aiutarli a monetizzare la loro presenza sui social.

MemberPress è uno di questi, con al timone il visionario imprenditore Blair Williams. Ecco come si propone di alimentare l’economia dei creatori.

Sfruttare la magia del software per aiutare i creatori

Con sede nello Utah, Williams è un appassionato imprenditore tecnologico che ama armeggiare con nuovi progetti. In particolare, ha un talento nello sviluppo di software per WordPress, il più grande sistema di gestione dei contenuti (CMS) al mondo, che alimenta oltre il 43% di Internet.

Uno dei primi prodotti lanciati da Williams, nel 2009, è stato Collegamenti cariniuna soluzione per abbreviare i collegamenti. Consente ai creatori di creare brevi collegamenti memorabili da aggiungere nei post del blog, nei video o nei podcast, invece di lavorare con collegamenti più lunghi che le persone hanno difficoltà a ricordare.

Lavorando con i creatori, Blair apprese presto che c’era un enorme bisogno di un sistema che consentisse ai creatori di vendere abbonamenti e corsi, una delle principali strategie di monetizzazione. Sebbene esistessero alcuni strumenti, erano costosi e avevano modelli di prezzo ingiusti.

È così che è nata MemberPress.

Consente ai creatori di vendere corsi online, abbonamenti, coaching, community premium e altri contenuti esclusivi riservati ai membri direttamente al proprio pubblico. Dispone inoltre di una funzione di drip content e di un paywall avanzato per gli editori.

Lanciato nel 2013, MemberPress è diventato da allora il plug-in di abbonamento numero uno per WordPress a livello globale. E grazie ad acquisizioni e finanziamenti strategici, sta continuando la sua traiettoria stellare.

Espansione di MemberPress attraverso finanziamenti e acquisizioni

Quando Williams ha lanciato per la prima volta MemberPress, lo ha fatto senza i tradizionali finanziamenti VC, scegliendo invece di rimanere agile e bootstrap.

Solo cinque anni dopo, nel 2018, ha deciso di accettare finanziamenti esterni. Ha ricevuto un importante investimento da Syed Balkhifondatore di Awesome Motive, attraverso il WPBeginner Growth Fund.

Nei cinque anni trascorsi da questo investimento iniziale di Motivo fantasticoMemberPress ha visto una crescita enorme e ha superato il traguardo dell’over 1 miliardo di dollari di guadagni da parte dei creatori sulla loro piattaforma.

Inoltre, si sono espansi strategicamente acquisendo diverse soluzioni complementari e concorrenti.

Tra i primi c’era Affiliazione facileche consente ai creatori di aggiungere un programma di riferimento ai loro negozi online. Tra questi ultimi ci sono MemberMouse e WishlistMember, entrambi concorrenti di lunga data nel mercato dei software ad abbonamento.

Nel complesso, questa strategia ha consentito a MemberPress di offrire una soluzione sempre più completa ai creatori che desiderano monetizzare i propri canali social attraverso gli abbonamenti e di conquistare una quota crescente nel mercato.

Guardare al futuro con i creatori e il loro pubblico

Guardando al futuro, MemberPress, sotto la guida di Williams, è destinata a rimanere agile, tenere il passo con le ultime tendenze e perseguire la sua missione di aiutare i creatori. La loro nuova soluzione CoachKit per aiutare i creatori ad avviare un’attività di coaching ne è un ottimo esempio.

Con sede a Cedar City e lavorando con un team dedicato e completamente remoto, Williams si trova in una posizione unica per prosperare nell’economia dei creatori.

Immagine proveniente da Shutterstock

Questo post è stato scritto da un collaboratore esterno e non rappresenta le opinioni di Benzinga e non è stato modificato nei contenuti. Le informazioni sopra contenute sono fornite esclusivamente a scopo informativo e didattico e nulla di quanto contenuto nel presente documento deve essere interpretato come un consiglio di investimento. Benzinga non fornisce alcuna raccomandazione per l’acquisto o la vendita di titoli o alcuna dichiarazione sulla condizione finanziaria di alcuna società.

Almeno 1 milione di siti Web eseguiti su WordPress sono stati infettati da una campagna che utilizza numerose vulnerabilità dei plug-in e dei temi di WordPress per iniettare codice dannoso nei siti, incluso un elevato numero di zero-day.

Secondo una ricerca di Sucuri, la campagna, che l’azienda ha soprannominato “Balada Injector”, non è solo prolifica ma anche matusalemme nella sua longevità, colpendo i siti vittima con malware almeno dal 2017. Una volta iniettato nel sito, il codice dannoso reindirizza i visitatori del sito web a una serie di siti truffa, tra cui supporto tecnico falso, vincite fraudolente alla lotteria e notifiche push che richiedono Captcha soluzioni.

Dietro le quinte, tuttavia, gli script inseriti cercano vari file che potrebbero contenere informazioni sensibili o potenzialmente utili, come file di registro degli accessi, registri degli errori, file con informazioni di debug, strumenti di amministrazione del database, credenziali di amministratore e altro ancora. Essi anche caricare backdoor nei siti per l’accesso persistente e, in alcuni casi, per l’acquisizione del sito.

Sebbene la statistica di 1 milione corrisponda al numero di siti infettati collettivamente negli ultimi cinque anni, solo di recente i ricercatori hanno riunito tutta l’attività in un’unica operazione. Andando avanti, la campagna non mostra segni di rallentamento.

“Solo nel 2022, il nostro scanner di siti Web esterni SiteCheck ha rilevato questo malware oltre 141.000 volte, con oltre il 67% dei siti Web con risorse bloccate che caricavano script da domini Balada Injector noti,” I ricercatori di Sucuri hanno notato in un post sul blog.

Un focus sulle vulnerabilità dei plug-in e dei temi WordPress

La campagna Balada Injector ha alcuni tratti distintivi immediatamente riconoscibili che hanno permesso ai ricercatori di Sucuri di riunire tutta l’attività osservata sotto un unico ombrello di attribuzione. Questi includono il caricamento e l’abbandono di più backdoor nell’ambiente compromesso; utilizzando un elenco a rotazione di nomi di dominio in cui sono ospitati script dannosi su sottodomini casuali; e i reindirizzamenti spam.

Ma forse la cosa più importante è che gli operatori di Balada Injector fanno un ottimo uso della sicurezza vulnerabilità nei plug-in e nei temi di WordPress. Questi tipi di componenti aggiuntivi modulari al principale sistema di gestione dei contenuti (CMS) WordPress consentono agli amministratori del sito di aggiungere vari tipi di funzionalità, come funzionalità di sondaggio, supporto per bacheche o integrazione click-to-call per abiti di e-commerce.

“Tutti i tipi di vulnerabilità nei temi e nei plugin di WordPress possono consentire a un utente malintenzionato di inserire codice o ottenere un accesso non autorizzato al sito Web, cosa che alla fine può essere portata al livello in cui sono possibili iniezioni di codice”, secondo l’analisi di Sucuri. “Per tutto questo tempo, Balada Injector ha aggiunto rapidamente le nuove vulnerabilità rivelate (e talvolta gli zero-day non divulgati), occasionalmente avviando massicce ondate di infezioni entro poche ore dalla divulgazione delle vulnerabilità.”

In effetti, questa strategia incentrata sui bug determina la cadenza degli attacchi: Sucuri ha monitorato nuove ondate di attività che si verificano ogni due settimane, con pause intermedie che sono “probabilmente utilizzate per raccogliere e testare le vulnerabilità zero-day e appena segnalate. “

Inoltre, anche le vulnerabilità più vecchie fanno parte del mix, alcune delle quali rimangono in uso nella campagna per mesi e anni dopo essere state corrette.

Mirare all’ecosistema WordPress

Il panorama WordPress è un obiettivo popolare per i criminali informatici di ogni genere, aiutato anche dal fatto che l’ecosistema dei plug-in è notoriamente pieno di bug.

“A seconda di come lo si misura, nel 2023, WordPress alimenta ancora il 60% dei siti web disponibili oggi su Internet”, afferma Casey Ellis, fondatore e CTO della piattaforma bug bounty Bugcrowd. “L’enorme volume di codice utilizzato, il grado di personalizzazione spesso presente sui siti WordPress e in generale la complessità, la popolarità e la mancanza di misure e pratiche di sicurezza coerenti dell’ecosistema dei plug-in WordPress, contribuiscono alla sua attrattiva per i criminali informatici come un ricco terreno di caccia per insetti sfruttabili.”

iThemes, un’azienda che tiene traccia settimanalmente dei difetti dell’ecosistema dei plug-in, ha fatto i conti 37 vulnerabilità dei plug-in recentemente divulgate e corrette (e una vulnerabilità del tema) per la settimana del 15 marzo, che ha interessato più di 6 milioni di siti WordPress. Sono state inoltre contate 27 vulnerabilità dei plug-in (e tre vulnerabilità dei temi) per le quali non è ancora disponibile alcuna patch. E questi numeri significativi non sono insoliti.

In tutto, iThemes identificato sono state divulgate in totale 1.425 vulnerabilità di plug-in e temi di WordPress nel 2022 – e in una determinata settimana, da 20 a 50 singoli plug-in e temi hanno riscontrato almeno una vulnerabilità, con una media mensile di 121 singoli plug-in e temi in cui è emersa almeno una vulnerabilità.

Il rapporto di iThemes ha inoltre rilevato che i plug-in e i temi vulnerabili di WordPress sono il motivo principale per cui i siti WordPress vengono hackerati.

“WordPress ha sicuramente bisogno di essere aggiornato regolarmente, soprattutto se hai un sito web che ha molti plug-in e codice di terze parti, e questo è uno dei tanti esempi in cui la sicurezza finisce per essere un po’ troppo difficile per l’utente medio che sta anche cercando di gestire un’attività”, osserva Ellis.

Protezione dall’insicurezza dei plug-in WordPress

Per proteggersi da Balada Injector e altre minacce WordPress, le organizzazioni dovrebbero innanzitutto assicurarsi che tutto il software del proprio sito Web sia aggiornato, rimuovere plug-in e temi inutilizzati e utilizzare un firewall per applicazioni Web.

Mike Parkin, ingegnere tecnico senior presso Vulcan Cyber, spiega che il possibilità di aggiungere facilmente plug-in a WordPress dai negozi di download ufficiali (proprio come l’ecosistema delle app mobili) aumenta il problema di sicurezza, quindi è necessario anche istruire il team Web sui pericoli derivanti dall’installazione di moduli non controllati.

“La miriade di plug-in disponibili, i molteplici posti in cui ottenerli e la facilità di implementazione: hai una ricetta per una facile distribuzione di plug-in dannosi”, afferma.

Anche le grandi organizzazioni non sono immuni dai problemi di sicurezza di WordPress. “Ci sono casi, anche nelle grandi aziende, in cui un sito web viene sviluppato e gestito da un individuo o da un piccolo team”, afferma. “Spesso, queste persone non sono particolarmente attente alla sicurezza e sono più interessate a mantenere il proprio sito aggiornato e aggiornato che a farlo in modo sicuro. Le patch vengono perse. Gli avvisi di sicurezza vengono persi. Nuovi e interessanti plug-in vengono installati senza assicurarsi sono sicuri o, a volte, addirittura funzionano.”

Il plug-in WordPress per pagine mobili accelerate, con oltre 100.000 installazioni, ha corretto una vulnerabilità di media gravità che potrebbe consentire a un utente malintenzionato di iniettare script dannosi che verranno eseguiti dai visitatori del sito Web.

Scripting cross-site tramite shortcode

Il cross-site scripting (XSS) è uno dei tipi di vulnerabilità più frequenti. Nel contesto dei plugin WordPress, le vulnerabilità XSS si verificano quando un plugin ha un modo per inserire dati che non sono sufficientemente protetti da un processo che convalida o disinfetta gli input dell’utente.

La sanificazione è un modo per bloccare tipi di input indesiderati. Ad esempio, se un plug-in consente a un utente di aggiungere testo tramite un campo di input, dovrebbe anche ripulire qualsiasi altra cosa inserita in quel modulo che non gli appartiene, come uno script o un file zip.

Uno shortcode è una funzionalità di WordPress che consente agli utenti di inserire un tag simile a questo [example] all’interno di post e pagine. Gli shortcode incorporano funzionalità o contenuti forniti da un plug-in. Ciò consente agli utenti di configurare un plug-in tramite un pannello di amministrazione, quindi copiare e incollare uno shortcode in un post o in una pagina in cui desiderano che venga visualizzata la funzionalità del plug-in.

Una vulnerabilità “cross-site scripting tramite shortcode” è una falla di sicurezza che consente a un utente malintenzionato di inserire script dannosi in un sito Web sfruttando la funzione shortcode del plug-in.

Secondo un rapporto recentemente pubblicato dalla società di sicurezza Patchstack WordPress:

“Ciò potrebbe consentire a un attore malintenzionato di iniettare script dannosi, come reindirizzamenti, pubblicità e altri payload HTML nel tuo sito Web che verranno eseguiti quando gli ospiti visitano il tuo sito.

Questa vulnerabilità è stata risolta nella versione 1.0.89.”

Wordfence descrive la vulnerabilità:

“Il plug-in Accelerated Mobile Pages per WordPress è vulnerabile allo Stored Cross-Site Scripting tramite gli shortcode del plug-in in tutte le versioni fino alla 1.0.88.1 inclusa a causa dell’insufficiente pulizia dell’input e dell’escape dell’output sugli attributi forniti dall’utente.”

Wordfence chiarisce inoltre che si tratta di una vulnerabilità autenticata, il che per questo specifico exploit significa che un hacker ha bisogno di almeno un livello di autorizzazione di contributore per poter sfruttare la vulnerabilità.

Questo exploit è classificato da Patchstack come una vulnerabilità di livello di gravità medio, con un punteggio di 6,5 su una scala da 1 a 10 (dove dieci è il più grave).

Si consiglia agli utenti di controllare le proprie installazioni in modo che siano aggiornate almeno alla versione 1.0.89.

Leggi il rapporto Patchstack qui:
Il plugin WordPress Accelerated Mobile Pages <= 1.0.88.1 è vulnerabile al Cross Site Scripting (XSS)

Leggi l’annuncio di Wordfence qui:
Pagine mobili accelerate <= 1.0.88.1 – Scripting cross-site archiviato (collaboratore+) autenticato tramite shortcode

Immagine in primo piano di Shutterstock/pedrorsfernandes