Autore: La Redazione

Campagne multiple Iniettore di ballate hanno violato e inquinato oltre 17.000 siti WordPress utilizzando le vulnerabilità nei plugin dei temi premium Giornale E Newsmag di tagDiv.

Balada Injector è un business enorme scoperto per la prima volta nel dicembre 2022 dal Dr. Web. Utilizza vari exploit per bug noti nei plugin e nei temi di WordPress con l’obiettivo di distribuire a Linux porta sul retro.

Questa backdoor reindirizza i visitatori dei siti infetti a pagine di supporto false (supporto tecnico), fregature con presunti guadagni e notifica push truffaS.

Nell’aprile 2023, Sucuri ha riferito che Balada Injector è attivo dal 2017 e che si stima abbia compromesso quasi un milione di siti WordPress.

Nuovi attacchi

Gli aggressori sfruttano la debolezza scripting cross-site (XSS) CVE-2023-3169 nel tagDiv Compositoreuno strumento complementare per i temi Newspaper e Newsmag di tagDiv per i siti WordPress.

Si dice che il Giornale ne abbia 137.000 saldi e Newsmag oltre 18.500. Pertanto, sono interessati complessivamente oltre 155.500 siti (escluse le copie illegali/pirata).

Guarda anche: Ransomware BlackCat: rivendicata la responsabilità dell’attacco ai tribunali della Florida

Giornale e Newsmag sono temi premium.

La campagna più recente mirata alla vulnerabilità CVE-2023-3169 è iniziata a settembre, poco dopo la divulgazione dei dettagli della vulnerabilità e il rilascio di un proof-of-concept (PoC). impresa).

Questi attacchi sono coerenti con una campagna individuata da BleepingComputer a settembre, quando gli amministratori hanno riferito su Reddit che molti siti Web WordPress sono stati infettati da un plug-in dannoso denominato wp-zexit.php. Il plug-in consentiva agli aggressori di inviare messaggi remoti Codice PHP in cui è stato memorizzato file /tmp/i ed era in esecuzione.

Inoltre, in questi attacchi il codice veniva incorporato in modelli e reindirizzava gli utenti a siti truffa.

“Siamo a conoscenza di questi casi. Il malware può colpire i siti Web che utilizzano versioni precedenti dei temi” ha spiegato tagDiv.

“Oltre ad aggiornare il tema, la raccomandazione è quella di installare subito un plugin sicurezzaCome il wordfenceed eseguire la scansione del sito. Inoltre, cambia tutte le password del sito“.

Secondo Sucuri diverse migliaia di siti web sono già stati compromessi.

Un segno rivelatore dello sfruttamento della vulnerabilità CVE-2023-3169 è uno script dannoso inserito in tag specifici, mentre l’iniezione offuscata stessa è nella tabella ‘wp_opzioni‘ del database del sito.

Guarda anche: Gli attacchi informatici alle “infrastrutture critiche” sono in aumento

Sucuri ha identificato sei distinte ondate di attacchi, che sono riassunte di seguito:

1. Hacking di siti WordPress iniettando script dannosi da stay.decentralappps[.]com. Il bug ha consentito la diffusione di codice dannoso nelle pagine pubbliche. Oltre 5.000 siti sono stati interessati da due varianti (4.000 e 1.000).
2. Utilizzando uno script dannoso per creare account amministratore falsi di WordPress. Inizialmente è stato utilizzato il nome utente “greeceman”, ma gli aggressori lo hanno modificato con nomi generati automaticamente in base al nome host del sito.
3. Abusare dell’editor di temi WordPress per l’incorporamento backdoor nel file 404.php del tema. In questo modo si ottiene la persistenza.
4. Gli aggressori hanno modificato l’installazione del plugin wp-zexit che imitava il comportamento di un amministratore di WordPress e nascondeva la backdoor nell’interfaccia Ajax del sito.
5. L’introduzione di tre nuovi domini e una maggiore randomizzazione negli script, negli URL e nei codici inseriti rendono il rilevamento più difficile.
6. Gli attacchi ora usano prommotion[.]sottodomini com invece di stay.decentralappps[.]com e restringere lo sviluppo a tre iniezioni specifiche trovate in 92, 76 e 67 siti.

Sucuri ha rilevato Balada Injector in oltre 17.000 WordPress siti nel settembre 2023. Più della metà delle infezioni (9.000) sfruttano la vulnerabilità CVE-2023-3169.

Per proteggersi da attacchi Iniettore di ballate, aggiorna il plugin tagDiv Composer alla versione 4.2 o successiva.

Inoltre, mantieni aggiornati tutti i tuoi temi e plug-in, rimuovi gli account utente inattivi e scansiona i tuoi file per potenziali backdoor nascosti.

Guarda anche: Formbook è il malware più diffuso

IL strumento di scansione gratuito di Sucuri rileva la maggior parte delle versioni di Balada Injector, quindi potresti volerlo utilizzare per vedere se il tuo sito è stato violato.

Misure di sicurezza di base per WordPress

1. Versioni aggiornate: Mantieni aggiornati temi, plugin e la stessa piattaforma WordPress. Le versioni aggiornate di solito includono correzioni alle falle di sicurezza scoperte.
2. Politica di password forte: utilizza password complesse accesso e cambiarli regolarmente. Più le password sono complesse e uniche, più difficile sarà per gli hacker ottenerle.
3. Hosting sicuro: La scelta di un provider di hosting affidabile e sicuro è estremamente importante. Una buona scelta di hosting proteggerà il tuo sito dagli attacchi DDoS.

Non fidarti della sicurezza del tuo sito WordPress

Dovresti tenere presente che a volte è necessario un duro lavoro per proteggere il tuo sito, ma non lasciare che la paura ti travolga. Essere preparati e prendersi cura della sicurezza del tuo sito è solo una parte dell’essere un proprietario di un sito web di successo.

Fonte: www.bleepingcomputer.com

Una vulnerabilità in un popolare plugin di WordPress inietta malware nel tuo sito web e reindirizza i tuoi visitatori a siti web fraudolenti. Più di centomila siti web utilizzano il plug-in.

Il ricercatore di sicurezza Denis Sinegubko spiega la vulnerabilità un blog. Ha scoperto la vulnerabilità nel plugin tagdiv Compositore che ti consente di scaricare temi di layout per i siti Web WordPress. Esso Giornaleil tema è già stato scaricato da quasi 137.000 siti web, il tema Newsmag da altri quasi ventimila.

La vulnerabilità del plug-in non dà però al vostro sito web l’aspetto di un giornale, anzi. Gli hacker possono sfruttare la vulnerabilità per causare un difetto di cross-site scripting e installare codice dannoso sulle pagine web. Questo viene abusato per reindirizzare i visitatori del sito Web a siti Web fraudolenti.

leggi anche

Ecco come riconoscere i siti Web fraudolenti

Incendio

Secondo Sinegubko, il malware che sfrutta la vulnerabilità ne diffonde il nome Ballata si è diffuso a macchia d’olio. Si dice che almeno 17.000 siti web siano già stati iniettati con una dose di Balada, più del doppio rispetto a un mese fa. Dal 2017 il malware ha avuto riacutizzazioni regolari e ha già colpito più di un milione di siti web.

Le vulnerabilità nei plugin di WordPress arrivano non raramente a causa dei numerosi blog e siti Web che si affidano a WordPress, si stanno diffondendo rapidamente. Se utilizzi WordPress, non è importante solo mantenere aggiornato il tuo sito web, ma anche tutti i plug-in che ti alleghi. Aggiorna Tagdiv Composers alla versione 4.2 fornisce una soluzione per questa vulnerabilità.

Meta contributori di WordPress della settimana scorsa implementato un pulsante “Anteprima dal vivo”. per i plugin nella directory ufficiale, con l’intenzione di consentire agli utenti di testare in sicurezza qualsiasi plugin con un clic. Il pulsante è stato attivato su tutti gli oltre 59.000 plug-in di WordPress.org, ma ha colto di sorpresa gli sviluppatori di plug-in poiché è stato implementato senza alcuna comunicazione o input da parte delle parti interessate.

L’implementazione è stata prematura e non ha preso in considerazione i numerosi tipi diversi di plugin che sembrano non funzionare a causa del supporto inadeguato nell’ambiente di test di Playground.

Cinque settimane fa, Steve Dufresne, collaboratore del team Meta sponsorizzato da Automattic commentato sul ticket, “Aggiungendo che probabilmente è ancora così (qualcun altro può confermare), non tutti i plugin funzionano nel Playground, quindi dovremmo creare un meccanismo di opt-out.”

Questo suggerimento è stato completamente ignorato dagli altri partecipanti sul biglietto e le anteprime di Playground sono state pubblicate. È diventato immediatamente evidente che ciò è stato fatto senza test approfonditi poiché molti autori di plug-in hanno riferito che le anteprime creavano un’esperienza sfavorevole e interrotta per gli utenti.

“Chi ha deciso di pubblicare l’anteprima senza pubblicare post make.wordpress.org/plugins/ con qualche avviso avanzato per gli sviluppatori di plugin?” Ha chiesto lo sviluppatore di WordPress Alan Fuller, avviando un file discussione nel canale #meta Slack. “È stata una #meta decisione? Può essere annullato e dato il dovuto preavviso?

Mika Epstein, rappresentante del team dei plugin in pensione, ha identificato tre principali casi d’uso che sono stati persi, che secondo lei avranno un impatto sul 30-40% dei plugin che non funzionano nell’ambiente Playground:

1. Non funzionerà con i plugin aggiuntivi (ovvero qualsiasi cosa per Woo) perché non abbiamo modo di identificare le dipendenze dei plugin e il sandbox non saprà come installare il plugin ‘genitore’
2. Non funzionerà (bene) per tutto ciò che richiede molta personalizzazione (WooCommerce stesso)
3. Non funzionerà AFFATTO per tutto ciò che è un’integrazione del server (Memcached, Redis, ecc.).
4. Multisito

I partecipanti hanno notato che DEBUG è impostato anche su True, consentendo la visualizzazione al visitatore di avvisi e avvisi non correlati.

“Fa schifo lavorare duro su un plugin e poi vedere qualche anteprima mostrata che lo fa sembrare completamente rotto quando non lo è”, ha detto lo sviluppatore di WordPress Ben Sibley.

“Questa funzionalità è un’idea interessante, ma necessita di molto più lavoro. Abbiamo trascorso decenni senza anteprime dal vivo; perché c’è stata improvvisamente una fretta di lanciarlo oggi quando è palesemente inaffidabile?

“Come altri hanno affermato, questo dovrebbe essere annullato immediatamente e trasformato in una funzione di attivazione. Una volta ripristinato, lavora per fornire agli sviluppatori del plugin informazioni su come funziona l’anteprima in modo che possiamo decidere se è adatta a noi o meno. Non c’è fretta di rilasciarlo senza un’adeguata comunicazione e test!”

Il co-fondatore di Newsletter Glue, Lesley Sim, ha richiesto che la funzionalità fosse attivabile, sostenendo che l’utente medio non avrà pazienza se qualcosa sembra rotto e presumerà che ci sia un problema con il plugin, non con la directory o il parco giochi.

“Quindi finisce per riflettersi negativamente sullo sviluppatore del plugin, il che può essere davvero stressante per loro se ciò significa una perdita di (potenziali) entrate/installazioni (sì, capisco che molte persone pensano che questa non dovrebbe essere una preoccupazione fondamentale, ma è la realtà per molti piccoli sviluppatori di plugin) o se hanno un onere di supporto aggiuntivo a causa di questa funzionalità, che è completamente fuori dal loro controllo”, ha affermato Sim.

Dopo che altri hanno fatto eco a queste preoccupazioni, il collaboratore sponsorizzato da Automattic Alex Shiels, che ha implementato la funzione, disse non si aspettava che sarebbe stato controverso e disse era “troppo ottimista su come avrebbe funzionato senza intoppi”. Ha distribuito un commit that aggiunto un interruttore di disattivazione quindi coloro che hanno effettuato il commit del plugin potrebbero disabilitare il pulsante Anteprima dal vivo.

“Il motivo per cui non ho comunicato prima della distribuzione è che c’era stata una discussione sul ticket un mese prima; e perché Playground è attivo ormai da diversi mesi”, ha detto Shiels. “Ogni plugin pubblicato nella directory è già disponibile per l’esecuzione nel Playground ben prima di questo ticket. Tutto quello che ho fatto è stato rendere più semplice arrivarci con un solo clic. Mi scuso per avervi colto tutti di sorpresa.”

Altri hanno richiesto a WordPress.org di implementare un URL di collegamento demo personalizzabile nel file readme, invece di attivare le anteprime di Playground per tutti i plugin, insieme a molti altri suggerimenti per migliorare l’ambiente per mostrare i plugin.

Dopo aver continuato a spingere Shiels a rendere attiva la funzione anziché disattivarla, lui rimosso il pulsante venerdì 6 ottobre.

“Voglio sottolineare che gran parte delle preoccupazioni e delle preoccupazioni non riguardavano il fatto che un plug-in fosse danneggiato in Playground”, ha affermato lo sviluppatore di plug-in Aurooba Ahmed. “La maggior parte di noi sa se il nostro plugin funziona nel parco giochi o meno, è che una funzionalità molto evidente è stata inserita nel repository dei plugin che influenza il modo in cui gli utenti valutano i plugin, senza discussione e feedback da parte del pubblico delle principali parti interessate.

“Non vedo l’ora di vedere come verrà riprodotta la funzionalità (perché in definitiva è un concetto fantastico) in modo che possa essere utile in tutti i modi giusti per tutte le parti interessate.”

Nel frattempo, gli utenti a cui piace avere un accesso rapido a Playground potrebbero voler dare un’occhiata all’estensione del browser Chrome creata da LUBUS, un’agenzia di sviluppo. Esso aggiunge un pulsante “Parco giochi” alle pagine dei temi e dei plugin su WordPress.org in modo che gli utenti possano testare le estensioni Drive con un clic.

Quando ha aggiunto l’attivazione/disattivazione della disattivazione, Shiels ha commentato sul ticket che i plug-in danneggiati in Playground lo erano prima dell’apertura del ticket e rimarranno tali anche se il plug-in non attiva il pulsante Anteprima dal vivo.

“So che il team di Playground è al lavoro per risolvere bug e problemi di compatibilità”, ha affermato Shiels. “E intendo migliorare ulteriormente il supporto dell’anteprima live nella directory dei plugin per migliorare le cose sia per gli utenti che per gli sviluppatori di plugin. Molte delle tue preoccupazioni possono essere risolte utilizzando Progetti che consentirà di configurare e installare dipendenze, importare contenuti demo e altre cose interessanti. Lavorerò per rendere disponibile il supporto Blueprint non appena avrò confermato alcuni dettagli tecnici con il team di Playground.”

C’è ancora molto lavoro da fare prima che questa funzionalità sia pronta per il lancio. Il pulsante di anteprima dal vivo è attualmente disabilitato mentre i contributori risolvono i problemi di compatibilità.

Diverse campagne Balada Injector hanno compromesso e infettato oltre 17.000 siti WordPress utilizzando difetti noti nei plugin di temi premium.

Balada Injector è un’operazione massiccia scoperto nel dicembre 2022 da Dr. Web, che ha sfruttato vari exploit per noti plugin e difetti dei temi di WordPress per iniettare una backdoor Linux.

La backdoor reindirizza i visitatori dei siti Web compromessi a pagine di supporto tecnico false, vincite fraudolente alla lotteria e truffe con notifiche push, quindi fa parte di campagne di truffa o di un servizio venduto ai truffatori.

Nell’aprile 2023, Sucuri ha riferito che Balada Injector è attivo dal 2017 e ha stimato che avesse compromesso quasi un milione di siti WordPress.

Campagna attuale

Gli autori delle minacce sfruttano la falla di cross-site scripting (XSS) CVE-2023-3169 in tagDiv Composer, uno strumento complementare per i temi Newspaper e Newsmag di tagDiv per i siti WordPress.

Secondo le statistiche pubbliche di EnvatoMarket, il giornale ha 137.000 vendite e NewsMag oltre 18.500, quindi la superficie di attacco è di 155.500 siti web, senza contare le copie piratate.

I due sono temi premium (a pagamento), spesso utilizzati da fiorenti piattaforme online che mantengono operazioni sane e raccolgono traffico significativo.

L’ultima campagna mirata a CVE-2023-3169 è iniziata a metà settembre, poco dopo divulgazione dei dettagli della vulnerabilità ed è stato rilasciato un PoC (exploit proof-of-concept).

Questi attacchi sono in linea con una campagna condivisa con BleepingComputer alla fine di settembre, quando gli amministratori ne hanno riferito Reddit che numerosi siti WordPress sono stati infettati da un plugin dannoso chiamato wp-zexit.php.

Questo plugin consentiva agli autori delle minacce di inviare in remoto codice PHP che veniva salvato nel file /tmp/i ed eseguito.

Gli attacchi sono stati contrassegnati anche dall’inserimento di codice in modelli che reindirizzavano gli utenti a siti truffa sotto il controllo dell’aggressore.

All’epoca, un rappresentante di tagDiv confermò di essere a conoscenza del difetto e disse alle persone di installare il tema più recente per prevenire gli attacchi.

“Siamo a conoscenza di questi casi. Il malware può colpire siti web che utilizzano versioni di temi precedenti,” spiegato tagDiv.

“Oltre ad aggiornare il tema, la raccomandazione è di installare immediatamente un plugin di sicurezza come Wordfence e scansionare il sito web. Cambiare anche tutte le password dei siti web.”

Succhi il rapporto getta nuova luce sulla campagna, avvertendo che diverse migliaia di siti sono già stati compromessi.

Un segno caratteristico dello sfruttamento CVE-2023-3169 è uno script dannoso inserito all’interno di tag specifici, mentre l’iniezione offuscata stessa può essere trovata nella tabella “wp_options” del database del sito web.

Sucuri ha osservato sei distinte ondate di attacchi, alcune delle quali presentano anche delle varianti, riassunte di seguito:

1. Compromettere i siti WordPress iniettando script dannosi da stay.decentralappps[.]com. La falla consentiva la propagazione di codice dannoso su pagine pubbliche. Oltre 5.000 siti sono stati interessati da due varianti (4.000 e 1.000).
2. Utilizzo di script dannosi per creare account amministratore WordPress non autorizzati. Originariamente veniva utilizzato il nome utente “greeceman”, ma gli aggressori sono passati a nomi utente generati automaticamente in base al nome host del sito.
3. Abusare dell’editor di temi di WordPress per incorporare backdoor nel file 404.php del tema Newspaper per una persistenza furtiva.
4. Gli aggressori sono passati all’installazione del plugin wp-zexit menzionato in precedenza, che imitava il comportamento degli amministratori di WordPress e nascondeva la backdoor nell’interfaccia Ajax del sito web.
5. L’introduzione di tre nuovi domini e una maggiore randomizzazione tra script, URL e codici inseriti hanno reso il monitoraggio e il rilevamento più impegnativi. Un’iniezione specifica di questa ondata è stata osservata in 484 siti.
6. Gli attacchi ora utilizzano la prommozione[.]com sottodomini invece di stay.decentralappps[.]com e limitare l’implementazione a tre iniezioni specifiche rilevate in 92, 76 e 67 siti Web. Inoltre, lo scanner di Sucuri rileva le iniezioni di promsmotion su un totale di 560 siti.

In generale, Sucuri afferma di aver rilevato Balada Injector su oltre 17.000 siti WordPress nel settembre 2023, di cui più della metà (9.000) ottenuti sfruttando CVE-2023-3169.

Le ondate di attacco sono state rapidamente ottimizzate, indicando che gli autori delle minacce possono adattare rapidamente le proprie tecniche per ottenere il massimo impatto.

Per difendersi da Balada Injector, si consiglia di aggiornare il plugin tagDiv Composer alla versione 4.2 o successiva, che risolve la vulnerabilità menzionata.

Inoltre, mantieni aggiornati tutti i tuoi temi e plug-in, rimuovi gli account utente inattivi e scansiona i tuoi file per individuare backdoor nascoste.

Succhi scanner ad accesso gratuito rileva la maggior parte delle varianti di Balada Injector, quindi potresti volerlo utilizzare per scansionare la tua installazione di WordPress per individuare eventuali compromessi.

Una vulnerabilità recentemente corretta che colpisce un plugin associato ai temi Newspaper e Newsmag è stata sfruttata per hackerare migliaia di siti Web WordPress come parte di una campagna di lunga durata denominata Balada Injector, ha avvertito venerdì la società di sicurezza web Sucuri di proprietà di GoDaddy.

La vulnerabilità sfruttata, tracciata come CVE-2023-3169, è stata scoperta da un ricercatore vietnamita nel plug-in di creazione di pagine front-end TagDiv Composer dei temi premium Newspaper e Newsmag, che sono stati venduti quasi 140.000 volte.

La falla, corretta nelle ultime settimane con il rilascio di TagDiv Composer versione 4.2, può essere sfruttata per archiviare cross-site scripting (XSS) da un utente malintenzionato non autenticato.

Dettagli della vulnerabilità sono stati resi pubblici a metà settembre e poco dopo Sucuri ha iniziato a vedere attacchi che sfruttavano la falla. L’azienda di sicurezza informatica ha collegato gli attacchi al gruppo di minaccia Balada Injector, che esiste da molti anni.

L’autore della minaccia in genere dirotta i siti Web nel tentativo di reindirizzare i visitatori a supporto tecnico falso, lotterie e altri siti di truffa. Sucuri ha stimato ad aprile che fossero stati più di un milione i siti WordPress infetto nell’ambito della campagna Balada Injector dal 2017.

Negli attacchi osservati di recente, Sucuri ha riscontrato oltre 17.000 siti Web infettati da Balada, di cui 9.000 relativi allo sfruttamento della vulnerabilità del plug-in TagDiv.

Gli hacker hanno sfruttato CVE-2023-3169 per iniettare codice dannoso in una posizione specifica nel database di WordPress, garantendo che il loro codice venisse propagato a ogni pagina pubblica del sito Web preso di mira.

Una volta ottenuto l’accesso iniziale a un sito, gli aggressori in genere caricano backdoor, aggiungono plug-in dannosi e creano account amministratore che espandono le loro capacità e forniscono loro un accesso permanente.

“Abbiamo osservato un rapido ciclo di modifiche agli script inseriti insieme a nuove tecniche e approcci. Abbiamo assistito a iniezioni casuali e tipi di offuscamento, uso simultaneo di più domini e sottodomini, abuso di CloudFlare e molteplici approcci per attaccare gli amministratori di siti WordPress infetti”, ha osservato Sucuri.

La società di sicurezza ha pubblicato un post sul blog con dettagli tecnici e indicatori di compromissione (IoC) che può essere utilizzato per determinare se un sito Web WordPress è stato preso di mira nella campagna Balada Injector. Sucuri ha anche condiviso raccomandazioni per proteggere i siti da tali attacchi.

Imparentato: Plugin WordPress abbandonato abusato per la distribuzione backdoor

Imparentato: Vulnerabilità del plug-in Field Builder di WordPress sfruttata negli attacchi due giorni dopo la patch

Imparentato: La vulnerabilità nel plug-in di migrazione di WordPress espone i siti Web agli attacchi

Imparentato: Le vulnerabilità critiche dei plugin WordPress influiscono su migliaia di siti

Figma è diventato lo strumento di progettazione di riferimento per molti progettisti UX/UI, grazie alle sue caratteristiche collaborative e alle potenti funzionalità. Tuttavia, ciò che distingue veramente Figma è il suo vasto ecosistema di plugin che possono potenziare il tuo processo di progettazione e rendere il tuo flusso di lavoro più efficiente. In questo articolo esploreremo i principali plugin Figma che ogni designer dovrebbe considerare di utilizzare per migliorare il proprio flusso di lavoro di progettazione nel 2023.

Fonte immagine: Shubham Dhage, Unsplash

1. Plugin UIHUT: accedi a migliaia di risorse di progettazione in Figma

Il plug-in UIHUT è un must per qualsiasi designer che desideri accedere a un’ampia gamma di risorse di progettazione direttamente all’interno di Figma. Con questo plugin puoi sfogliare e copiare oltre 20.000 risorse di progettazione, inclusi modelli web, illustrazioni, kit di app mobili, kit di applicazioni web, risorse 3D e icone. Avere accesso a una raccolta così vasta di risorse ti consente di risparmiare tempo e fatica incorporando rapidamente elementi di design di alta qualità nei tuoi progetti.

Caratteristiche del plugin UIHUT:

• Oltre 3000 modelli web
• Oltre 3000 illustrazioni
• Kit di oltre 3000 app mobili
• Kit di oltre 2000 applicazioni web
• Oltre 500 risorse 3D
• Oltre 9000 icone

Installa il plugin UIHUT

2. Plugin Locofy: converti i progetti in codice pronto per la produzione

Il plug-in Locofy rappresenta un punto di svolta per i progettisti che desiderano semplificare il processo di trasferimento con gli sviluppatori. Questo plugin utilizza l’intelligenza artificiale per convertire i tuoi progetti Figma in codice pronto per la produzione, risparmiando tempo e fatica. Con Locofy puoi creare componenti riutilizzabili, personalizzare oggetti di scena per contenuti dinamici e generare codice per strumenti web come React, Next.js e Gatsby, nonché app mobili come React Native. Eliminando la necessità della codifica manuale, Locofy consente ai progettisti di concentrarsi su attività più complesse e accelera il processo di sviluppo.

Installa il plugin Locofy

3. Plugin Stark: semplifica gli sforzi di accessibilità nei tuoi progetti

L’accessibilità è un aspetto cruciale del design e il plug-in Stark rende più semplice che mai garantire che i tuoi progetti siano accessibili a tutti gli utenti. Questo plugin all-in-one offre una gamma di strumenti, tra cui un controllo del contrasto, un simulatore di visione, punti di riferimento e annotazioni di testo alternativo. Con Stark puoi identificare facilmente i problemi di accessibilità nel tuo progetto e apportare le modifiche necessarie prima della fase di produzione finale. Incorporando le considerazioni sull’accessibilità nelle prime fasi del processo di progettazione, puoi creare esperienze inclusive e facili da usare.

Caratteristiche del plugin Stark:

• un controllo del contrasto con suggerimenti di colore
• un simulatore di visione
• punti di riferimento e ordine di messa a fuoco
• annotazioni di testo alternativo

Installa il plugin Stark

4. Plug-in Storyset: accedi a una libreria di illustrazioni di alta qualità

Le illustrazioni possono migliorare notevolmente l’attrattiva visiva dei tuoi progetti e il plug-in Storyset fornisce una vasta libreria di illustrazioni di alta qualità completamente modificabili all’interno di Figma. Con questo plugin puoi cercare e inserire facilmente illustrazioni nei tuoi progetti, selezionando lo stile, il colore globale e lo sfondo desiderato con pochi clic. Che tu stia progettando un sito Web, un’app o una presentazione, il plug-in Storyset è una risorsa preziosa per incorporare illustrazioni professionali nel tuo lavoro.

Installa il plug-in Storyset

5. Plugin per daltonici: progettare tenendo presente le carenze della visione dei colori

Progettare tenendo presente le carenze della visione dei colori è essenziale per garantire che i tuoi progetti siano accessibili a tutti. Il plug-in Color Blind ti consente di visualizzare i tuoi progetti attraverso la prospettiva di qualcuno con una carenza di visione dei colori. Con pochi clic, questo plugin clona il tuo design e regola i colori per imitare l’aspetto di ciascuno degli otto diversi tipi di daltonismo. Questo plugin aiuta i progettisti a identificare potenziali problemi e ad apportare le modifiche necessarie per garantire che i loro progetti siano inclusivi e accessibili.

Installa il plugin per daltonici

6. Plug-in Nome automatico: automatizza la denominazione dei livelli nei file di progettazione

Assegnare un nome ai livelli nei file di progettazione può essere un’attività noiosa e dispendiosa in termini di tempo, ma il plug-in Autoname può farti risparmiare tempo e fatica preziosi. Questo plugin utilizza l’intelligenza artificiale per denominare automaticamente tutti i livelli nel file di progettazione con un solo clic. Eliminando la necessità di rinominare manualmente, il plug-in Autoname consente ai progettisti di concentrarsi su aspetti più importanti del proprio lavoro, come l’effettivo processo di progettazione. Di’ addio al fastidio di rinominare manualmente i livelli e lascia che sia il plugin Autoname a gestirlo per te.

Installa il plug-in Nome automatico

7. Plug-in Image Tracer: converte immagini raster in vettori scalabili

Il plugin Image Tracer è uno strumento prezioso per i progettisti che desiderano convertire immagini raster in vettori scalabili. Questo plugin prende i livelli selezionati e li combina in un’unica immagine, quindi li traccia in un nuovo livello vettoriale. Con il plug-in Image Tracer, puoi creare immagini infinitamente scalabili, convertirle in livelli vettoriali colorati, tracciare rapidamente immagini come maschere e rinnovare le tue immagini. Convertendo le immagini raster in vettori, puoi garantire che i tuoi progetti siano di alta qualità e facilmente scalabili.

Installa il plugin Image Tracer

8. Plugin Mockup: applica rapidamente i mockup ai tuoi schermi

Il plug-in Mockup è uno strumento utile per i progettisti che desiderano applicare rapidamente modelli sui propri schermi. Con questo plugin facile da usare, puoi selezionare un dispositivo e una cornice e guardare come il tuo disegno viene visualizzato sullo schermo. Il plug-in Mockup fornisce una libreria di mockup popolari e di alta qualità, rendendolo il modo più veloce per utilizzare un mockup per il tuo progetto. Inoltre, puoi distorcere o trasformare modelli esistenti e inserirvi il tuo design, risparmiando tempo e fatica nella creazione di modelli realistici.

Caratteristiche del plugin Mockup:

• Libreria Mockup: una raccolta di mockup popolari e di alta qualità
• Trasformazione distorta (prospettiva): modifica e inserisci progetti in modelli esistenti

Installa il plug-in Mockup

9. Plug-in To Path: clona e modifica forme lungo qualsiasi percorso

Il plug-in To Path è un potente strumento per i designer che desiderano clonare e modificare forme lungo qualsiasi percorso. Questo plugin ti consente di ripetere forme lungo percorsi, come cerchi, e inserire testo lungo qualsiasi forma, inclusi cerchi e percorsi arbitrari. La forma originale e le sue modifiche si riflettono in tempo reale, facilitando la modifica e la regolazione della curva. Con il plug-in To Path, puoi creare design unici e dinamici che seguono facilmente percorsi specifici.

Installa il plug-in nel percorso

10. Plug-in Deck 2.0: converti i disegni Figma in presentazioni PowerPoint modificabili

Il plug-in Deck 2.0 è uno strumento prezioso per i designer che desiderano convertire i propri progetti Figma in presentazioni PowerPoint modificabili. Con pochi clic, puoi selezionare i tuoi fotogrammi Figma e lasciare che il plug-in Deck faccia il resto. Questo plugin supporta testo e forme di base e tutti i livelli non supportati vengono convertiti in immagini. Utilizzando il plugin Deck 2.0, puoi risparmiare tempo e fatica eliminando la necessità di conversione manuale e concentrandoti sul perfezionamento della tua presentazione.

Installa il plugin Deck 2.0

Conclusione

Questi sono solo alcuni dei migliori plugin Figma che possono potenziare il tuo flusso di lavoro di progettazione nel 2023. Dall’accesso alle risorse di progettazione e all’automazione delle attività al miglioramento dell’accessibilità e alla conversione dei progetti in codice pronto per la produzione, questi plugin offrono un’ampia gamma di funzionalità che possono migliorare notevolmente la tua produttività e creatività come designer. Sperimenta diversi plugin per trovare quelli più adatti alle tue esigenze e osserva come il tuo processo di progettazione diventa più efficiente e divertente.

La squadra di rilascio di WordPress 6.4 ha deciso di farlo punta la funzionalità Libreria di caratteri pianificata su 6.5 dopo che i manutentori principali hanno riscontrato importanti lacune nelle API dei caratteri che non possono essere risolte in tempo per il prossimo rilascio.

“Attualmente sto rivedendo le API dei caratteri PR“, ha affermato Jonny Harris, co-manutentore dell’API REST di WordPress. “Devo dire che sono molto preoccupato per il PR nella sua situazione attuale. Il codice semplicemente non segue lo stile del codice principale di WP e non si sente WordPress.” Ha elencato una serie di problemi riscontrati con la funzionalità:

• API per sviluppatori limitata. Abbiamo bisogno di funzioni come wp_insert_font / wp_create_font eccetera.
• Mancanza di filtri o azioni
• Non c’è modo di annullare la registrazione delle raccolte di caratteri
• Capacità. La creazione di nuovi caratteri dovrebbe avere funzionalità e non semplicemente mapparli edit_theme_options
• Struttura API confusa. La raccolta dovrebbe avere oggetti font incorporati
• Cosa succede ai font quando le raccolte vengono annullate?
• Se i caratteri vengono archiviati come oggetto post, posso eseguire una query per ottenere tutti i caratteri da una raccolta?
• I caratteri vengono eliminati quando l’utente viene eliminato?
• Nessun modo per filtrare dove è archiviato un carattere

“Con il tempo molto limitato in questa versione, sembra di mettere in atto quanto sopra, sembra che sia troppo difficile realizzarlo in questa versione”, ha detto Harris.

“Penso che questa funzionalità abbia bisogno di più tempo per essere sviluppata.”

Harris ha affermato che nessuno dei manutentori dell’API REST è stato coinvolto nelle fasi iniziali della funzionalità Libreria di caratteri e che attualmente stanno “recuperando il ritardo”. Il team stava tentando di applicare una patch al progetto esistente, ma Harris ha affermato che se fosse prevista una riprogettazione dell’API, gli piacerebbe comprendere i requisiti per la funzionalità prima di elaborare un progetto.

Puntare su una funzionalità di punta non è mai una decisione facile, ma è molto più preferibile che fornire API mal progettate che non consentono agli utenti di modificare e disabilitare la funzionalità per soddisfare le proprie esigenze.

“Il no è temporaneo, ma il sì è per sempre”, ha affermato Aaron Jorbin, core committer di WordPress. “Una volta che il codice viene incorporato nel core per il rilascio, è qualcosa che deve essere mantenuto per sempre per i nostri extender. Per me, le preoccupazioni che vedo sollevate su come le persone estenderanno la funzionalità sono sufficienti per puntare sulla funzionalità”.

La funzionalità Libreria caratteri è stata avanzata verso la fine del ciclo di rilascio, arrivando Gutenberg 16.7 la scorsa settimana, con pochissimo tempo per i test.

“Le funzionalità sono arrivate dopo la beta 1 in passato”, ha affermato Jonathan Desrosiers, core committer di WordPress. “Ma la mia preferenza è farlo non ottenere qualcosa con un feedback così eccezionale. Faremo modifiche dell’ultimo minuto e uniremo i giochi per il rilascio pubblico con pochissimi test effettivi. Certo, tutti qui testerebbero come meglio possono. Ma i test “in the wild” di WordPress sono molto diversi e scoprono sempre alcuni casi d’uso o problemi strani che non possiamo prevedere.”

I contributori hanno considerato brevemente di posticipare la data di rilascio per concedere più tempo alla funzionalità, ma il consenso era per il passaggio alla 6.5, con la decisione ancorata a La filosofia di WordPress di “le scadenze non sono arbitrarie”.

“La modifica di una data di rilascio programmata per lasciare spazio alla finalizzazione di una funzionalità, indipendentemente dalla sua priorità, non dovrebbe essere presa in considerazione”, ha affermato Joe McGill, core committer di WordPress. “Questa non sarebbe la prima volta che speravamo davvero di avere una funzionalità inclusa in una versione, ma la ritardavamo alla versione successiva. Mi sembra che siano stati fatti molti sforzi per preparare questa funzionalità per il rilascio e il consenso è che le persone hanno bisogno di più tempo per portarla in uno stato pronto per essere distribuito in una versione principale di WordPress, il che so che è deludente, ma parla anche della cura e della qualità che le persone vogliono garantire che mettiamo in queste versioni. Se non è pronto, non è pronto. Ritardiamolo: nel frattempo stiamo ancora ricevendo preziosi feedback dagli utenti tramite il plugin Gutenberg, il che è positivo.”

Josepha Haden Chomphosy, responsabile del rilascio di WordPress 6.4, ha reso il compito difficile decisione di puntare sulla funzionalità in base al feedback dei contributori. La rimozione della libreria dei caratteri non influisce sulle altre funzionalità chiave previste nella versione. Jessica Lyschik, co-responsabile del tema predefinito 6.4, confermato la libreria dei caratteri non è un requisito per Twenty Twenty-Four. Il tema verrà fornito con caratteri preselezionati che verranno caricati dalle risorse del tema, proprio come i temi predefiniti precedenti.

WordPress 6.4 Beta 3 è prevista per il 10 ottobre 2023. Questa sarà l’ultima beta programmata prima della RC1.

NOTIZIE TECNOLOGICHE – Domenica, 7 ottobre 2023, I plugin di ottimizzazione dei motori di ricerca (SEO) in WordPress secondo le nostre osservazioni sono tra importanti e non importanti.

Quindi, quando gli utenti di WordPress vogliono utilizzare i plugin SEO, allora va bene e anche quelli che non lo usano non hanno problemi.

Finché non dimentichi i meta tag e assicurati che la struttura nel tema abbia una struttura di meta tag automatica.

Perché è da questo Meta Tag che spunteranno il titolo e la descrizione dell’articolo pubblicato e saranno visibili nei motori di ricerca e anche sui social.

Tieni presente che i plugin SEO sono importanti se utilizzati dagli utenti prestando attenzione ai consigli suggeriti dal plugin utilizzato e seguendoli.

Nel frattempo, per quanto riguarda l’insignificanza dei plugin SEO installati, vale a dire se l’utente non segue i consigli suggeriti dai plugin.

Un esempio del motivo per cui non è importante utilizzare i plugin SEO è quando l’articolo non viene trasformato in SEO come raccomandato e mostra che il punteggio SEO è negativo.

Non solo, lo si può notare anche creando un titolo che sembra molto lungo, il che indica che l’utente non sta mettendo in pratica i suggerimenti di ottimizzazione SEO di un plugin.

Cose come queste possono sicuramente essere conosciute da altri utenti di WordPress che conoscono molto bene l’uso dei plugin SEO.

Quindi se ritiene poco importante l’utilizzo dei plugin SEO è perché è l’utente, e non il plugin SEO stesso, a non seguire i consigli dei plugin da lui installati.

Se questo è il fatto, allora qual è il significato di utilizzare plugin SEO se dicono che possono aiutare la SEO mentre in pratica non implementano la SEO?

Nel frattempo, l’uso dei plugin SEO serve per creare una mappa del sito in modo che possa notificare ai motori di ricerca la presenza di nuovi articoli in modo che gli articoli possano essere scansionati, anche se WordPress stesso ha già una mappa del sito predefinita senza la necessità di reinstallare la mappa del sito e il SEO plugin.

Mostra tutto