Autore: La Redazione

I ricercatori di sicurezza hanno identificato a aumento dei privilegi vulnerabilità la settimana precedente in un popolare plug-in per la registrazione degli utenti e la gestione degli account nel sistema di gestione dei contenuti di WordPress. Il difetto tracciato con l’identificatore CVE-2023–3460 consente agli attori malintenzionati di creare utenti con privilegi di amministratore sui siti Web WordPress che eseguono le versioni vulnerabili di Ultimate Member wordpress Collegare. Ciò potrebbe portare a gravi conseguenze come l’acquisizione completa o la compromissione del sito Web WordPress. Considerando le sue conseguenze e la facilità di sfruttamento, al difetto è stato assegnato un punteggio CVSS di 9,8 su 10. Consigliamo a tutti i proprietari di siti Web che utilizzano il plug-in Ultimate Member sul proprio WordPress di correggere senza moderazione la vulnerabilità CVE-2023–3460. Abbiamo pubblicato questo post in quanto abbiamo potuto vedere il plug-in installato su più di 2.00.000 di siti Web soggetti ad attacchi.

In questo articolo, forniremo una guida passo passo su come correggere CVE-2023–3460, un aumento dei privilegi vulnerabilità nel plugin Ultimate Member WordPress. Tratteremo i passaggi necessari per aggiornare il plug-in all’ultima versione, nonché ulteriori misure che possono essere adottate per proteggere il sito Web da potenziali attacchi. Seguendo questi passaggi, gli amministratori del sito Web possono garantire che il loro sito Web sia protetto da questa vulnerabilità e mantenere la sicurezza dei dati dei propri utenti.

Sommario

· Una breve nota sul plugin WordPress Ultimate Member
· Riepilogo della vulnerabilità CVE-2023–3460
· Come potrebbe il difetto essere sfruttabile?
· Versioni Ultimate Member vulnerabili a CVE-2023–3460
· Come risolvere CVE-2023–3460- Una vulnerabilità di escalazione dei privilegi nel plug-in WordPress Ultimate Member?
· Aggiornamento del plug-in
· Ulteriori linee guida sulla sicurezza da seguire

Ultimo membro è un popolare plug-in di WordPress che fornisce una soluzione completa per la creazione di profili utente, siti di appartenenza e comunità online. Ha oltre 100.000 installazioni attive ed è ampiamente utilizzato dai proprietari e dagli sviluppatori di siti web.

Il plug-in offre una varietà di funzionalità, inclusi profili utente personalizzabili, directory dei membri, moduli di registrazione degli utenti, moduli di accesso e altro. È altamente personalizzabile e può essere esteso con vari componenti aggiuntivi e integrazioni. Si prega di visitare il sito ufficiale per ulteriori dettagli.

Caratteristiche principali:

1. Profili utente: Con Ultimate Member, puoi personalizzare i profili utente e consentire agli utenti di modificare i propri profili. Questa funzione supporta l’inclusione di campi personalizzati e include anche le impostazioni sulla privacy.
2. Registrazione e accesso: Ultimate Member fornisce moduli di registrazione e accesso personalizzati. Puoi creare moduli unici per diversi tipi di utenti e decidere quali informazioni raccogliere durante il processo di registrazione.
3. Ruoli utente: Il plug-in consente di creare e gestire diversi ruoli utente. È possibile impostare autorizzazioni e livelli di accesso specifici per ciascun ruolo.
4. Directory dei membri: Ultimate Member offre la possibilità di creare directory di membri dinamici. Questi possono essere personalizzati in base alle tue esigenze e possono includere opzioni di ricerca e filtro.
5. Restrizione sui contenuti: puoi limitare determinati contenuti del tuo sito a specifici ruoli utente o livelli di appartenenza, migliorando così l’esclusività dei contenuti del tuo sito.
6. notifiche di posta elettronica: Ultimate Member ti consente di inviare notifiche e-mail automatiche per vari eventi come la registrazione di un nuovo utente, la reimpostazione della password e altro.
7. Estensioni e integrazione: Il plug-in viene fornito con una serie di estensioni premium che possono essere utilizzate per integrarsi con altri servizi come MailChimp, WooCommerce e bbPress, oltre ad aggiungere funzionalità aggiuntive come accesso social, messaggistica privata e recensioni degli utenti

La vulnerabilità CVE-2023–3460 è un difetto di escalation dei privilegi trovato nel plugin Ultimate Member WordPress. Questa vulnerabilità consente a un utente malintenzionato di elevare i propri privilegi a quelli di un amministratore, dandogli il controllo completo sul sito web.

Per capire come funziona questa vulnerabilità di escalation dei privilegi, dovresti conoscere il ruolo della funzione WP_Capabilities in WordPress. WP_Capabilities è un core wordpress funzione utilizzata per gestire i ruoli e le autorizzazioni degli utenti. Consente agli amministratori di definire funzionalità specifiche per ciascun ruolo utente, come la possibilità di modificare post, eliminare commenti o gestire utenti.

Tuttavia, se questa funzione non viene utilizzata correttamente, può portare a vulnerabilità di escalation dei privilegi come CVE-2023–3460. Nel caso del plug-in Ultimate Member, il difetto consente a un utente malintenzionato di aggirare il controllo WP_Capabilities e ottenere l’accesso a livello di amministratore al sito Web.

Codice CVE: CVE-2023–3460
Punteggio CVSS: 9.8 (critico)
Vettore CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Ricercatore/i: Sconosciuto, Marc Alexandre Montpas
Descrizione: Un’escalation dei privilegi nel plug-in WordPress Ultimate Member tramite aggiornamenti meta utente arbitrari

Fonte: WPScan

La vulnerabilità tracciata con l’identificatore CVE-2023–3460 può essere sfruttata da aggressori autenticati e non autenticati per ottenere il controllo completo del sito web. Gli aggressori sfruttano ulteriormente questa vulnerabilità per eseguire un’ampia gamma di azioni dannose, tra cui il furto di dati sensibili, l’iniezione di malware o la deturpazione del sito Web. È essenziale che i proprietari di siti Web risolvano la vulnerabilità CVE-2023–3460 il prima possibile.

Come potrebbe il difetto essere sfruttabile?

Gli aggressori possono compromettere questi siti Web semplicemente inviando una richiesta POST. Qui puoi vedere la ripartizione del processo di sfruttamento:

1. Richiesta POST iniziale: L’aggressore avvia l’attacco effettuando una richiesta POST iniziale alla pagina di registrazione dell’utente del plug-in. Nella maggior parte dei casi, questa pagina si trova in “/register”. Prendendo di mira questo endpoint specifico, l’attaccante mira a sfruttare eventuali punti deboli o scappatoie presenti nel processo di registrazione.
2. Tentativo di accesso: Dopo aver creato con successo un nuovo account attraverso la pagina di registrazione, l’attaccante procede ad accedere utilizzando la pagina standard “/wp-login.php”. Inserendo le credenziali appena create, l’attaccante tenta di ottenere l’accesso non autorizzato al sito WordPress preso di mira.
3. Caricamento plug-in dannoso: Nella fase finale dell’attacco, l’aggressore sfrutta l’accesso ottenuto per caricare un plug-in dannoso attraverso il pannello di amministrazione del sito. Questo passaggio consente loro di eseguire codice dannoso e potenzialmente compromettere la sicurezza e l’integrità del sito WordPress.

Questo è tutto. La comprensione di questi modelli di attacco può aiutare gli amministratori e gli sviluppatori di siti Web ad adottare misure proattive per proteggere i propri siti.

Secondo il consiglioory, La vulnerabilità di escalation dei privilegi, identificata come CVE-2023–3460, interessa il plug-in WordPress Ultimate Member, in particolare quelle versioni fino alla 2.6.6 inclusa. Questo popolare plug-in è installato su più di 2.00.000 di siti Web WordPress e la vulnerabilità è ampiamente sfruttata in natura.

I moderatori del plug-in Ultimate Member hanno risposto alla vulnerabilità rilasciando la patch. Si consiglia agli utenti del plug-in Ultimate Member di aggiornare alla versione 2.6.7 il prima possibile per correggere questa vulnerabilità. L’ultima versione del plug-in include una correzione per questa vulnerabilità e diversi altri problemi di sicurezza.

Se non sei in grado di eseguire l’aggiornamento all’ultima versione del plug-in, puoi mitigare il rischio di sfruttamento limitando l’accesso ai metadati utente del plug-in. Questo può essere fatto disabilitando la funzione “Modifica meta utente” nelle impostazioni del plug-in.

Aggiornamento del plug-in

Il primo passo per correggere la vulnerabilità CVE-2023–3460 nel plugin Ultimate Member WordPress è aggiornare il plugin all’ultima versione. Gli sviluppatori del plug-in hanno rilasciato una patch che corregge la vulnerabilità, quindi è importante assicurarsi che sia installata l’ultima versione del plug-in.

Per aggiornare il plug-in, attenersi alla seguente procedura:

1. Accedi alla dashboard di WordPress.
2. Vai alla sezione “Plugin”.
3. Trova il plug-in Ultimate Member e fai clic sul pulsante “Aggiorna ora”.

Una volta completato l’aggiornamento, la vulnerabilità dovrebbe essere corretta e il sito Web dovrebbe essere protetto.

Ulteriori linee guida sulla sicurezza da seguire

implementare queste misure di sicurezza aggiuntive come parte della tua strategia di sicurezza per proteggere il tuo sito Web e proteggere i tuoi utenti dal diventare vittime di tali misure attacchi informatici.

1. Controlla ed elimina account amministratore sconosciuti: prenditi il ​​tempo necessario per esaminare attentamente tutti gli amministratori del sito ed eliminare tutti gli account sconosciuti o sospetti. In questo modo, è possibile eliminare qualsiasi potenziale punto di accesso non autorizzato creato dagli aggressori.
2. Reimposta tutte le password utente: Come misura precauzionale, consigliamo vivamente di reimpostare tutte le password utente, inclusa la password dell’account amministratore. Questo può essere fatto tramite il meccanismo di reimpostazione della password sul tuo sito. Richiedendo agli utenti di impostare una nuova password, ti assicuri che i loro account siano protetti con nuove credenziali.
3. Installa e attiva i plugin di sicurezza: L’installazione di plug-in di sicurezza affidabili come WPScan o WordFence può migliorare notevolmente la capacità del tuo sito di rilevare e prevenire attività sospette. Questi plug-in offrono ulteriori livelli di protezione e aiutano a salvaguardare il tuo sito Web da potenziali minacce. Considera di utilizzarli per rafforzare la sicurezza del tuo sito.
4. Implementa la protezione SSL: Assicurati che il tuo sito funzioni Certificati SSL. I certificati SSL crittografano i dati trasmessi tra il tuo sito Web e i suoi utenti, fornendo un canale di comunicazione sicuro. Contatta il tuo provider di hosting per assistenza nella configurazione SSL sul tuo server.
5. Esegui backup giornalieri dei file del sito e del database: La creazione regolare di backup del tuo sito è una best practice essenziale. In caso di incidenti imprevisti o violazioni della sicurezza, disporre di backup aggiornati consente di ripristinare il sito a uno stato stabile. Prendi in considerazione l’implementazione di una soluzione di backup affidabile e stabilisci una routine di backup giornaliera.
6. Avvisa i membri/clienti del tuo sito: È fondamentale comunicare l’incidente ai membri del sito o ai clienti. Invia avvisi per informarli della situazione e fornisci istruzioni chiare su come reimpostare le loro password sul tuo sito. Sottolinea l’importanza di scegliere una password univoca ed evitare di riutilizzare la vecchia password per garantire la sicurezza dei propri account.

Seguendo questi passaggi, gli utenti possono affrontare efficacemente il CVE-2023–3460 vulnerabilità e proteggerli meglio wordpress siti web contro aumento dei privilegi attacchi. Ricorda sempre che rimanere vigili e proattivi nel mantenere la sicurezza del sito Web è fondamentale per proteggere il tuo sito Web da potenziali minacce.

Speriamo che questo post ti aiuti a sapere come risolvere CVE-2023–3460, an aumento dei privilegi vulnerabilità nel plugin Ultimate Member WordPress. Grazie per aver letto questo messaggio. Per favore condividi questo post e contribuisci a proteggere il mondo digitale. Visita il nostro sito web thesecmaster.come la nostra pagina sui social media su Facebook, Linkedin, Cinguettio, Telegramma, Tumblr, medioE Instagram e iscriviti per ricevere aggiornamenti come questo.

BuddyPress 12.0 è pronto per essere introdotto una nuova funzionalità di visibilità della comunità che offre agli amministratori del sito la possibilità di limitare l’accesso alle sezioni della comunità del sito. I siti impostati su “solo membri” mostreranno un messaggio di errore di accesso e un modulo di accesso quando un utente non loggato tenta di visualizzare una pagina generata da BuddyPress.

L’impostazione Visibilità comunità consente di creare un sito di comunità privata senza aggiungere alcun plug-in a BuddyPress, una funzionalità che è stata spesso richiesta dagli amministratori del sito BuddyPress. Viene introdotto come interruttore di base, ma il collaboratore di BuddyPress David Cavins, che ha lavorato alla funzione, ha affermato che pone le basi per futuri controlli della privacy più granulari.

Il core team di sviluppo di BuddyPress ha anche pubblicato il file BP Classico plugin prima della versione 12.0. Il plug-in fornisce la retrocompatibilità per i siti che utilizzano plug-in o temi che non sono pronti per l’API BP Rewrite che verrà introdotta nella versione 12.0. Include funzionalità e modelli completamente deprecati:

• I widget BP Legacy (questi sono stati migrati come blocchi in BuddyPress 9.0.0).
• Il tema predefinito BP.
• Globali di navigazione Legacy BP (buddypress()->bp_nav & buddypress()->bp_options_nav).

UN consulenza su BP Classic è stato pubblicato sul blog ufficiale di BuddyPress per aiutare i proprietari del sito a capire se avranno bisogno di questo plugin. Coloro che lo richiedono prima dell’aggiornamento possono installarlo in anticipo e rimarrà inattivo fino a quando non sarà necessario.

La nuova funzionalità di visibilità della comunità era impegnato al trunk cinque giorni fa ed è sulla buona strada per essere incluso nella prossima major release. Il rilascio di BuddyPress 12.0 è previsto per il 30 ottobre 2023 e la Beta 1 è in ritardo e prevista da un giorno all’altro.

Stai cercando nuovi modi per risparmiare tempo facendo ricerca e analisi della concorrenza?

Allora questi cinque a portata di mano SEO strumenti e plug-in, che sono completamente gratuiti, dovrebbero aiutare:

• Ricerca sulla concorrenza: Wayback Machine
• Analisi dei dati: copia i collegamenti selezionati
• Design e impaginazione: GoFullPage
• Ricerca e formattazione dei dati: Docs Online Viewer
• Riformattare il contenuto da un’immagine: OneNote

1. Ricerca sulla concorrenza: Wayback Machine

L’Archivio Internet Macchina del ritorno è uno degli strumenti gratuiti più sottovalutati per la SEO. Non solo puoi usarlo per visualizzare le versioni precedenti del tuo sito Web, ma puoi anche usarlo per visualizzare le modifiche della concorrenza.

Ci sono probabilmente centinaia di strumenti e approcci per analisi SEO competitivacome Fluxguard e Visualping. Ma la Wayback Machine è gratuita e può essere utilizzata su qualsiasi sito. E non può essere facilmente bloccato dal firewall di un concorrente (sì, il tuo concorrente può bloccare gli IP provenienti dalla VPN della tua azienda).

Puoi visualizzare le versioni precedenti delle pagine della concorrenza per vedere cosa hanno aggiornato, testato e ripristinato, ad esempio:

• Elementi di design e layout
• Inviti all’azione (CTA)
• Modifiche al contenuto e al titolo
• Messa a fuoco delle parole chiave

Web Archives ha anche estensioni per tutti i principali browser che ti consentono di visualizzare istantaneamente le versioni di qualsiasi pagina in cui ti trovi.

Quando usarlo

• Individua e monitora le tendenze nel tempo o trova idee da testare sul tuo sito.
• Usa la scheda Modifiche per vedere quanto è cambiata una pagina nel tempo. Può darti indizi se i concorrenti sembrano aggiornare determinate pagine su una sequenza temporale regolare.
• Per i siti che utilizzano una struttura di categorie o cartelle, la scheda Sitemap consente di visualizzare una mappa visiva della struttura del sito. Questo è particolarmente utile per i siti senza un ovvio o pubblico Mappa del sito.
• Condividi gli screenshot prima e dopo se non riesci ad accedere alle versioni precedenti della tua pagina.

Quando non puoi usarlo

La Wayback Machine ha uno dei principali svantaggi: non è possibile visualizzare una pagina che non è stata archiviata in precedenza.

La Wayback Machine non ha una registrazione di ogni pagina web, anche se ci si avvicina parecchio.

The Archive afferma di avere 813 miliardi di pagine web nella sua collezione. Con una stima di 4,5 miliardi di pagine web indicizzate esistenti, si tratta di circa il 18% dell’intera Internet.

Fortunatamente, puoi aggiungere qualsiasi pagina all’archivio che potrai visualizzare in seguito. Se cerchi un URL che non è nell’archivio, fai clic sull’opzione per salvarlo per aggiungerlo alla raccolta. Ma non ci saranno dati storici prima di quel punto.

Tu più profondo. 5 modi per utilizzare la Wayback Machine per la SEO

2. Analisi dei dati: copia i collegamenti selezionati

Supponiamo che tu abbia un elenco di titoli di articoli collegati in un foglio di calcolo. Ma devi aggiungere anche gli URL effettivi in ​​una colonna.

Invece di fare clic con il pulsante destro del mouse e copiare ogni URL in una nuova cella, puoi utilizzare l’estensione Copia collegamenti selezionati per Cromo e Firefox.

Copia il testo collegato, quindi fai clic con il pulsante destro del mouse e incolla. Ora hai un elenco degli URL per il contenuto che hai copiato.

Quando usarlo

Se apporti modifiche a più pagine del tuo sito, in genere devi accedere al tuo CMS, aprire ciascuna pagina e fare clic su Modifica. Oppure puoi cercare ogni pagina nella dashboard del CMS e fare clic su Modifica su ciascuna di esse.

Se usi un CMS come wordpressspesso puoi copiare l’elenco delle pagine direttamente dalla dashboard del tuo CMS, insieme ai link Modifica, nello stesso foglio di calcolo.

• Crea un foglio di calcolo.
• Nel tuo CMS, seleziona tutte le pagine da modificare e copia con Ctrl/Cmd + C.
• Nel foglio di lavoro, incolla l’elenco delle pagine collegate.
• Fai clic con il pulsante destro del mouse sui titoli delle pagine e incolla gli URL live in una colonna.
• Fai clic con il pulsante destro del mouse sui collegamenti Modifica e incolla in un’altra colonna.

---

---

3. Design e impaginazione: GoFullPage

Ora hai un foglio di calcolo con un elenco dei collegamenti alla pagina e modifica i collegamenti. Puoi fare clic con il pulsante destro del mouse e aprire tutti i collegamenti Modifica in nuove schede invece di aprire ciascuna pagina singolarmente.

GoFullPage è un Estensione del browser Chrome che ti consente di acquisire uno screenshot di un’intera pagina contemporaneamente.

Puoi scattare una foto di un’intera pagina su desktop e dispositivi mobili senza dover scorrere e acquisire più schermate.

Salva il tuo screenshot come PDF o PNG o contrassegna l’immagine con delle note prima di salvarla o condividerla.

Quando usarlo

• Salva i risultati di ricerca per parole chiave specifiche per vedere come cambia la SERP nel tempo.
• Confronta fianco a fianco i risultati delle SERP per gli utenti in luoghi diversi o che utilizzano dispositivi diversi.
• Condividi prima e dopo gli screenshot delle modifiche alla pagina.
• L’utente testa diverse versioni della stessa pagina senza la necessità di un designer.

4. Ricerca e formattazione dei dati: Docs Online Viewer

Fare un ricerca web avanzata for filetype:pdf è estremamente utile per trovare tipi di dati specifici, come file di esempio e report.

Ma alcuni siti richiedono di scaricare il PDF invece di permetterti di visualizzarlo direttamente nel tuo browser. Puoi sempre aprire un PDF in Chrome dalle impostazioni di Privacy e sicurezza. Ma questo non è infallibile.

Visualizzatore di documenti in linea, a Cromo o l’estensione del browser Firefox, inserisce un’icona a forma di nuvola collegata accanto a qualsiasi PDF. Fare clic per visualizzare il PDF nel browser.

Quando usarlo

• L’ovvio caso d’uso è che non devi mai scaricare un PDF prima di scoprire se il PDF è utile.
• A volte questo plug-in ti consente di visualizzare un PDF che si trova dietro un pulsante di registrazione e-mail, senza rivelare il tuo indirizzo e-mail.
• Visualizzare il PDF nel tuo browser significa anche che puoi combinarlo anche con altre estensioni. Utilizzare questo plug-in con Copia collegamenti selezionati per copiare tutti gli URL in un database di collegamenti, ad esempio.

5. Riformattare il contenuto da un’immagine: OneNote

OneNote è un programma ideale per organizzare le note e la tua vita lavorativa. Ha anche una caratteristica meno conosciuta: copiare il testo dalle immagini.

• Copia qualsiasi immagine in una pagina di OneNote.
• Fare clic con il tasto destro sull’immagine.
• Selezionare Copia il testo dall’immagine.
• Incollalo nella nota con Ctrl/Cmd + V o fai clic con il pulsante destro del mouse + incolla.

Non è perfetto per copiare il testo con qualsiasi mezzo. Ma per le immagini strutturate attorno al testo, può essere accurato fino all’80%.

Spesso dovrai controllare alcune lettere e numeri manualmente. OneNote potrebbe ad esempio confondere un 1 e una L.

Quando usarlo

Questo è utile per estrarre il contenuto da un’immagine in modo da poter analizzare i dati o trasformarli in contenuto sulla pagina.

Google non è in grado di leggere i contenuti delle immagini come se leggesse la copia sulla pagina, anche se ne ha una corretta tutto il testo. Nemmeno i lettori di schermo.

Ogni volta che hai un’immagine su una pagina, è utile includere le stesse informazioni dall’immagine in un altro formato più leggibile. Usa questo strumento per prendere un diagramma e trasformarlo in copia, oppure includi sia un’immagine di una tabella che una tabella HTML sulla tua pagina.

La funzionalità da immagine a testo è disponibile con le versioni gratuite o premium di OneNote. OneNote è disponibile sia per PC che per Mac.

Per ottenere il massimo dai tuoi strumenti SEO, condividi i migliori strumenti e suggerimenti che hai trovato con il tuo team, clienti e colleghi.

I SEO amano provare cose nuove, quindi prova nuovi strumenti e funzionalità ogni volta che puoi, quindi diffondi la tua ricchezza di conoscenze agli altri.

Jet pack 12.4 è stato rilasciato oggi, lanciando il plugin Prodotto notiziario. Consente agli utenti di inviare post di blog come newsletter, senza il fastidio di dover copiare e incollare dall’editor di WordPress nell’editor di campagne di un altro servizio di newsletter e riformattarlo per la posta elettronica. Questo lancio arriva sette mesi dopo WordPress.com ha lanciato la sua offerta di newsletterche utilizza la stessa infrastruttura sottostante per consegnare le email.

Bollettino Jetpack sta per essere lanciato come prodotto gratuito, con una percentuale delle commissioni riscosse dai creatori che scelgono di offrire abbonamenti a pagamento:

Le commissioni vengono riscosse solo quando accetti pagamenti. Le commissioni si basano sul piano Jetpack che hai e sono calcolate come percentuale delle tue entrate dal 10% sul piano gratuito al 2% sul piano completo (più le commissioni Stripe).

Gli utenti di Jetpack hanno probabilmente familiarità con la capacità del plug-in di inviare post agli abbonati tramite e-mail. La funzione newsletter utilizza questo stessa infrastruttura su cui i proprietari dei siti hanno fatto affidamento per anni per consentire agli abbonati di ricevere aggiornamenti nelle loro caselle di posta quando sono disponibili nuovi post.

Le newsletter possono essere attivate nella scheda Discussione nelle impostazioni di Jetpack. Molti utenti di Jetpack probabilmente lo hanno già attivato.

Il blocco Iscriviti può essere posizionato in qualsiasi punto del sito e ai nuovi abbonati verrà inviata un’e-mail di conferma per confermare la loro iscrizione. Hanno la possibilità di scegliere tra digest istantaneo, giornaliero o settimanale, oltre a controllare l’ora e il giorno in cui ricevono i digest. Gli abbonati possono anche mettere in pausa o annullare l’iscrizione al sito.

L’importazione degli iscritti e altre funzionalità, come le statistiche della newsletter per aperture e clic, sono disponibili tramite le pagine di amministrazione di Jetpack su WordPress.com.

Al momento, i creatori di newsletter possono importare solo fino a 100 abbonati tramite file CSV. Questo è fortemente limitante per tutte le newsletter tranne le più piccole, ma il team di Jetpack ha confermato che è in cima alla lista delle priorità da cambiare in quanto crea una barriera eccessiva. Il limite è stato fissato per la prevenzione dello spam, ma rende quasi impossibile la migrazione alla newsletter di Jetpack se si dispone di una newsletter popolare. Coloro che hanno piani a pagamento possono caricare abbonati illimitati.

I creatori di newsletter possono modificare il nome del sito e il logo per le loro e-mail e gli utenti paganti avranno più opzioni di personalizzazione in futuro.

Una cosa che distingue Jetpack Newsletter dalla stragrande maggioranza degli altri fornitori di servizi di posta elettronica tradizionali è che consente invii di posta elettronica illimitati e elenchi di abbonati illimitati sia per gli utenti gratuiti che a pagamento.

I servizi più popolari come Mailchimp, Brevo e SendGrid consentono di inviare solo poche centinaia di email al giorno o fino a 1.000 al mese per gli utenti gratuiti. I piani a pagamento diventano costosi rapidamente man mano che cresce la base di abbonati di una newsletter. Le e-mail e il numero di abbonati di solito determinano il prezzo di questi servizi, il che distingue il prodotto Jetpack dalla massa, soprattutto per coloro che intendono monetizzare autonomamente la propria newsletter attraverso annunci e sponsorizzazioni a pagamento.

Il responsabile del marketing di Jetpack, Rob Pugh, ha affermato che sebbene i servizi di newsletter popolari siano più limitati nelle e-mail e nel numero di abbonati, offrono anche un set di funzionalità completamente diverso. Il prodotto Jetpack Newsletter è rivolto a concorrenti come Substack.com, Beehiiv.comE Ghost.org, che offrono anche invii e-mail illimitati. Sui piani a pagamento, l’offerta della newsletter di Jetpack batte Substack, in quanto raccoglie il 2% (più le commissioni Stripe) rispetto al 10% più le commissioni della carta di credito di Substack.

I creatori di newsletter devono essere consapevoli del fatto che le e-mail e gli abbonati illimitati di Jetpack Newsletter potrebbero non durare per sempre, poiché la sezione FAQ del prodotto afferma che si tratta di un’offerta di lancio:

Come offerta introduttiva, non ti limitiamo o ti addebitiamo in base alle dimensioni della tua mailing list. Questo potrebbe cambiare in futuro. Si applica la politica di utilizzo corretto.

I rappresentanti di Jetpack non sono stati in grado di confermare i limiti del fair use o quanto durerà il periodo introduttivo.

“Il lancio senza limiti sulle e-mail non è la cosa più responsabile dal punto di vista finanziario, ma siamo molto entusiasti di mettere questa funzionalità nelle mani delle persone per ottenere feedback”, ha affermato Pugh. “Siamo concentrati sulla tabella di marcia immediata per migliorare il prodotto, anche se probabilmente in futuro ci sarà un limite se vedremo un uso estremo da parte di persone con piani gratuiti”.

Ha detto che il team di Jetpack fa di tutto per apportare modifiche ai prezzi nel modo più equo possibile “e non vogliamo togliere il tappeto a nessuno, quindi considereremo sicuramente l’impatto sulle persone prima di apportare modifiche”.

Fino a quando il problema dell’importazione limitata degli abbonati non sarà risolto, è probabile che qualsiasi modifica dei prezzi in futuro influisca solo sulle newsletter che stanno appena iniziando a far iscrivere le persone. A parte questa limitazione, Jetpack Newsletter sta facendo un debutto competitivo sul mercato. Per coloro che utilizzano già Jetpack e dispongono di una base di abbonati esistente, è quasi semplice aggiungere abbonamenti a pagamento. L’utilizzo dell’editor di blocchi è molto più semplice rispetto alla maggior parte degli editor di campagne di newsletter e Jetpack semplifica il processo di invio in modo che i creatori non debbano copiare e incollare tra i servizi di posta elettronica.

LinkedIn è una piattaforma di social media specificamente orientata ad aziende e professionisti che desiderano mettere in rete e promuovere i propri marchi personali o professionali.

Questo articolo esplorerà il marketing di LinkedIn, incluse le best practice e i modi specifici per utilizzare LinkedIn per raggiungere il tuo pubblico.

Cos’è il marketing su LinkedIn?

Marketing su Linkedin comprende tutti i modi in cui puoi ottenere visibilità per il tuo marchio attraverso la piattaforma LinkedIn.

Che il tuo obiettivo sia aumentare la visibilità del marchio, indirizzare il traffico verso il tuo sito Web, generare lead o effettuare vendite, LinkedIn ha gli strumenti per aiutarti.

LinkedIn va bene per il marketing?

Assolutamente! LinkedIn ospita oltre 900 milioni di utenti in 200 paesi.

Ciò rende LinkedIn uno dei posti migliori per connettersi con dirigenti, responsabili delle decisioni, nomi rispettati nel tuo settore e influencer B2B.

Best practice di marketing di LinkedIn

Prima di approfondire i dettagli dell’utilizzo di LinkedIn per il marketing, considera alcune best practice per assicurarti di fare sempre una prima impressione redditizia.

Costruisci una rete solida

Il networking è la chiave per costruire un pubblico su LinkedIn.

Inizia definendo il pubblico che vuoi raggiungere su LinkedIn. Questo ti aiuterà a identificare le persone migliori con cui entrare in contatto per raggiungere i tuoi obiettivi di marketing su LinkedIn.

Se sei nuovo su LinkedIn, i colleghi di lavoro (passati e presenti) e gli ex studenti sono le connessioni più facili da stabilire. LinkedIn consiglierà più persone con cui connettersi man mano che fai crescere il tuo pubblico in base a connessioni e interessi comuni.

Mantienilo professionale

LinkedIn si rivolge a persone che sono seriamente intenzionate a creare professionale connessioni. Mentre ti impegni su LinkedIn, mantieni l’attenzione sul tuo lavoro e sugli obiettivi che stai cercando di raggiungere con il marketing di LinkedIn.

Salva gli aggiornamenti su ciò che cucini per cena, come ti senti su argomenti sensibili o la tua raccolta di meme NSFW (non sicuri per il lavoro) per il tuo profilo Facebook privato o un gruppo Messenger con i tuoi amici.

Fornire valore

Fornire costantemente valore su LinkedIn aumenterà la visibilità del tuo marchio e ti aiuterà a far crescere il tuo pubblico. Rendi parte della tua routine quotidiana rivedere i tuoi messaggi, i nuovi post della tua rete e gli aggiornamenti degli esperti del settore che segui.

Mentre navighi, cerca modi per aggiungere valore alle conversazioni. Quando le persone vedono e apprezzano i tuoi commenti, aumenterà la tua visibilità tra i follower del profilo o della pagina con cui sei coinvolto.

Quali sono i modi migliori per utilizzare LinkedIn per il marketing?

Di seguito sono riportati i modi specifici in cui puoi utilizzare LinkedIn per commercializzare il tuo marchio o la tua attività.

Ottimizza il tuo profilo LinkedIn

Userai il tuo LinkedIn profilo professionale per costruire la tua rete Prima di iniziare a stabilire connessioni, assicurati di creare un profilo orientato all’obiettivo che desideri raggiungere.

Quando aggiungi del testo al tuo profilo, pensalo come una pagina web. Ottimizzalo con le parole chiave per le quali vuoi essere scoperto nei risultati di ricerca di LinkedIn.

• Inizia con un colpo alla testa professionale. Usa la stessa foto per tutti i tuoi profili social per assicurarti che le persone possano riconoscerti e ricordarti facilmente.
• Scrivi il miglior titolo possibile. Appare sotto il tuo nome nei risultati di ricerca, nei post e nei commenti. Rendilo qualcosa che invogli le persone a voler saperne di più su di te e su ciò che hai da offrire. Includi le parole chiave che desideri siano trovate su LinkedIn, come consulente SEO o servizi SEO.
• Aggiungi le tue informazioni di contatto in modo che le persone possano connettersi con te anche al di fuori di LinkedIn. Questo può includere la tua e-mail, sito web o altri account social.
• Scrivi il miglior elevator pitch possibile per il riepilogo del tuo profilo LinkedIn. Questo dovrebbe invogliare le persone a voler entrare in contatto con te e parlare dei prodotti o dei servizi che hai da offrire. Ancora una volta, includi le parole chiave principali e correlate che desideri siano trovate su LinkedIn.
• Usa la sezione dell’esperienza per descrivere i tuoi migliori risultati per ogni titolo di lavoro che hai ricoperto. Personalizza questi risultati per impressionare il pubblico con cui vuoi entrare in rete e a cui vendere.
• Costruisci i consigli del tuo profilo. Pensa a loro come testimonianze delle competenze e dell’esperienza di cui hai bisogno per impressionare il tuo pubblico di destinazione.
• Utilizza sezioni aggiuntive nel tuo profilo LinkedIn per ottimizzarlo ulteriormente per le tue parole chiave target e dimostrare la tua esperienza. Puoi aggiungere licenze e certificazioni, pubblicazioni, progetti, premi e cause che sostieni.
• Pubblica aggiornamenti regolari relativi all’obiettivo che stai cercando di raggiungere. Possono includere collegamenti al tuo ultimo post sul blog o notizie sulla tua azienda e sui suoi prodotti o servizi.

Una volta che il tuo profilo è completo, usalo per iniziare a stabilire connessioni.

Per aumentare la tua visibilità su LinkedIn, segui gli influencer e le aziende con cui il tuo pubblico di destinazione interagisce in modo da poterli conoscere nei commenti dei post.

Crea una pagina aziendale

Oltre a un profilo LinkedIn per te stesso, puoi creare pagine aziendali LinkedIn per mostrare il tuo Attività commercialeprodotti e servizi.

Come il tuo profilo LinkedIn, considera la pagina della tua azienda una pagina web che desideri ottimizzare per parole chiave specifiche. Includi quelle parole chiave in tutta la tua pagina aziendale.

In particolare, assicurati che le parole chiave target vengano visualizzate nello slogan, nella descrizione e negli aggiornamenti della tua azienda.

Inoltre, assicurati di utilizzare la stessa immagine/logo aziendale sulle tue pagine dei social media. Ciò garantirà che il tuo pubblico possa facilmente riconoscere e ricordare il tuo marchio.

Una volta completata e ottimizzata la pagina della tua azienda, puoi ampliare il pubblico della tua azienda invitando alla tua pagina le persone con cui ti sei connesso sul tuo profilo LinkedIn.

Pubblica aggiornamenti regolari su notizie, prodotti o servizi dell’azienda per coinvolgere il tuo pubblico di destinazione. Assicurati di rispondere ai commenti che ricevi.

Puoi vedere come si comporta la tua pagina aziendale di LinkedIn utilizzando l’analisi di LinkedIn. Lì, puoi vedere quanto velocemente cresce il tuo pubblico e con quali contenuti il ​​tuo pubblico interagisce maggiormente.

Partecipa ai gruppi di LinkedIn

Un altro modo per far crescere la tua rete e aumentare la visibilità del tuo marchio è partecipare ai gruppi di LinkedIn.

I gruppi di LinkedIn ospitano professionisti che vogliono discutere di un particolare settore o interessi legati al tuo settore.

Per vedere i risultati effettivi dei gruppi di LinkedIn, dovresti concentrarti sui gruppi con alto coinvolgimento e basso spam. Dopo esserti unito a un gruppo, fatti un’idea di quanti post i membri del gruppo fanno ogni giorno e quanti commenti ricevono quei post.

Se vedi che un gruppo ha un volume elevato di post di link senza commenti, è un segno che potresti non ottenere i risultati desiderati.

Un altro modo per ottenere valore da LinkedIn è avviare un gruppo su un argomento che attirerà il tuo pubblico di destinazione. Ad esempio, un’azienda che vende un plug-in di WordPress potrebbe voler gestire un gruppo per le persone che gestiscono siti Web WordPress.

Pubblica contenuti approfonditi

LinkedIn Publishing ti consente di pubblicare contenuti approfonditi sul tuo profilo LinkedIn. L’utilizzo di questa funzione ti consente di affermarti come un’autorità sugli argomenti che il tuo pubblico di destinazione desidera esplorare.

Sebbene non sia avanzato come quello che otterresti da un plug-in SEO per WordPress, LinkedIn Publishing ti consente di farlo ottimizzare i tuoi post per la rilevabilità nei risultati di ricerca di LinkedIn e Google.

Conclusione

LinkedIn è una delle migliori piattaforme da utilizzare per raggiungere i tuoi obiettivi di business.

Ottimizza il tuo profilo e la tua pagina per l’obiettivo che desideri raggiungere e tieni a mente tale obiettivo e il tuo pubblico di destinazione quando pubblichi aggiornamenti, partecipi a gruppi e pubblichi contenuti approfonditi.

Più risorse;

---

Immagine di presentazione: BongkarnGraphic/Shutterstock

Hai bisogno di un servizio di sensibilizzazione per blogger di link building SEO?
Contatto: outreach@nnn.ng.

Quando si tratta di WordPress SEO, un nome che spicca è Yoast. Yoast SEO è un potente plug-in che aiuta i proprietari di siti Web a ottimizzare i propri contenuti per i motori di ricerca come Google. In questa guida completa, esploreremo tutto ciò che devi sapere su Yoast SEO per WordPress e su come può aiutarti a migliorare la visibilità del tuo sito web.

Cos’è Yoast SEO?

Yost SEO è un popolare plug-in di WordPress che consente ai proprietari di siti Web di ottimizzare le proprie pagine e i propri post per un migliore posizionamento nei motori di ricerca. Con oltre 5 milioni di installazioni attive, è diventato lo strumento di riferimento per molti proprietari di siti Web che desiderano migliorare i propri sforzi SEO.

Perché scegliere Yoast SEO per WordPress?

Ci sono diversi motivi per cui Yoast SEO è altamente raccomandato per gli utenti di WordPress:

• Facile da usare: Yoast SEO ha un’interfaccia user-friendly, che lo rende accessibile sia ai principianti che agli utenti esperti.
• Ottimizzazione sulla pagina: Il plug-in fornisce consigli dettagliati su come ottimizzare i tuoi contenuti per parole chiave specifiche, assicurandoti di avere una solida strategia SEO on-page.
• Sitemap XML: Yoast SEO genera automaticamente sitemap XML, facilitando l’indicizzazione del tuo sito web da parte dei motori di ricerca.
• Analisi della leggibilità: Oltre alla SEO, Yoast valuta anche la leggibilità dei tuoi contenuti, aiutandoti a creare articoli user-friendly e coinvolgenti.
• Marcatura dello schema: Yoast SEO ti consente di aggiungere il markup dello schema al tuo sito Web, migliorando le possibilità che i tuoi contenuti vengano visualizzati come rich snippet nei risultati di ricerca.

Configurazione di Yoast SEO

Iniziare con Yoast SEO è semplice. Ecco una guida passo passo:

1. Installazione: Cerca il plug-in Yoast SEO nella dashboard di WordPress e fai clic su “Installa ora”. Una volta installato, attiva il plugin.
2. Configurazione guidata: Yoast SEO fornisce una procedura guidata di configurazione che ti guida attraverso la configurazione iniziale. Include opzioni per ottimizzare il tuo sito per i motori di ricerca, configurare titoli e meta descrizioni e altro ancora.
3. Titoli e Meta: Yoast SEO ti consente di personalizzare il titolo e il modello di meta descrizione per il tuo sito Web, consentendoti di controllare come i tuoi contenuti vengono visualizzati nei risultati dei motori di ricerca.
4. Sitemap XML: Yoast SEO genera automaticamente sitemap XML per il tuo sito web, facilitando la scansione e l’indicizzazione delle tue pagine da parte dei motori di ricerca.
5. Analisi della leggibilità: Yoast SEO fornisce una funzione di analisi della leggibilità che valuta la leggibilità dei tuoi contenuti. Offre suggerimenti per migliorare la struttura della frase, la lunghezza del paragrafo e altro ancora.

Ottimizza i tuoi contenuti con Yoast SEO

Dopo aver configurato Yoast SEO sul tuo sito WordPress, puoi iniziare a ottimizzare i tuoi contenuti:

Hai bisogno di un servizio di sensibilizzazione per blogger di link building SEO?
Contatto: outreach@nnn.ng.

1. Concentrarsi sulle parole chiave: Yoast SEO ti consente di specificare una parola chiave focus per ogni pagina o post. Fornisce feedback e suggerimenti in tempo reale per aiutarti a ottimizzare i tuoi contenuti per quella particolare parola chiave.
2. Analisi SEO: Quando imposti una parola chiave focus, Yoast SEO conduce un’analisi SEO, fornendo un rapporto dettagliato sul livello di ottimizzazione del contenuto. Evidenzia le aree che necessitano di miglioramenti, come la densità delle parole chiave, i meta tag, i collegamenti interni e altro ancora.
3. Ottimizzazione dei meta tag: Yoast SEO ti consente di personalizzare il meta titolo e la descrizione per ogni post o pagina, permettendoti di creare frammenti accattivanti che invogliano gli utenti a fare clic sui risultati dei motori di ricerca.
4. Punteggio di leggibilità: Il plug-in valuta la leggibilità del tuo contenuto, considerando fattori come la lunghezza della frase, la struttura del paragrafo e i sottotitoli. Fornisce suggerimenti per migliorare la leggibilità generale dei tuoi articoli.
5. Collegamento interno: Yoast SEO ti aiuta a migliorare la tua strategia di collegamento interno suggerendo post o pagine pertinenti a cui collegarti all’interno dei tuoi contenuti. Questo aiuta i motori di ricerca a comprendere la gerarchia e l’importanza delle pagine del tuo sito web.

Funzionalità SEO avanzate di Yoast

Oltre alle funzionalità di base, Yoast SEO offre anche diverse funzionalità avanzate:

• Gestore reindirizzamento: Yoast SEO Premium include un gestore di reindirizzamento che ti consente di reindirizzare facilmente gli URL quando modifichi la struttura del tuo sito web o rimuovi il contenuto.
• Parole chiave a fuoco multiplo: La versione premium di Yoast SEO ti consente di ottimizzare i tuoi contenuti per più parole chiave focalizzate, fornendo maggiore flessibilità nella tua strategia SEO.
• Integrazione con Google Search Console: Yoast SEO può essere collegato a Console di ricerca di Googlefornendoti preziose informazioni sulle prestazioni del tuo sito web, tra cui query di ricerca, impressioni e percentuali di clic.
• Informazioni sui contenuti: Yoast SEO Premium offre una funzionalità di analisi dei contenuti che fornisce una panoramica dei tuoi post e delle tue pagine. Ti mostra quali articoli stanno funzionando bene e quali devono essere migliorati.

Yoast SEO è uno strumento essenziale per chiunque desideri ottimizzare il proprio sito Web WordPress per i motori di ricerca. Con la sua interfaccia intuitiva, le potenti funzionalità e l’analisi completa, Yoast SEO ti aiuta a migliorare la SEO on-page, la leggibilità e la visibilità complessiva del sito web. Seguendo i consigli forniti da Yoast SEO, puoi aumentare il posizionamento nei motori di ricerca del tuo sito Web e attirare più traffico organico.

Felice nuovo mese

Hai bisogno di un servizio di sensibilizzazione per blogger di link building SEO?
Contatto: outreach@nnn.ng.

Hostinger è diventato l’ultimo provider di hosting di siti Web a incorporare l’Intelligenza Artificiale (AI) al suo costruttore di siti web servizio con il lancio di WordPress AI Assistant.

Gratuito per i suoi client WordPress, lo strumento AI Assistant è un plug-in che aiuta gli utenti a creare post di blog in base alla descrizione inserita.

Hostinger lo suggerisce di più Strumenti di intelligenza artificiale sarà incorporato nel suo servizio di hosting di siti Web, spiegando che la società ha scelto di iniziare prima con i post del blog perché è uno dei tipi di contenuto più popolari.

Blog generati dall’intelligenza artificiale

La Casa Bianca pubblica la National Cyber ​​and Workforce Education Strategy

Secondo l’Office of the National Cyber ​​Director, questa nuova strategia cercherà di creare una partnership tra nove agenzie governative e oltre 200 organizzazioni non profit, società e istituzioni educative. Ciò vedrà la National Science Foundation emettere oltre 24 milioni di dollari in sovvenzioni per borse di studio per l’educazione informatica. Il NIST assegnerà fino a 3,6 milioni di dollari per collaborare con le organizzazioni regionali allo sviluppo della forza lavoro e alle iniziative educative. Il Dipartimento del lavoro utilizzerà 65 milioni di dollari in sovvenzioni per finanziare programmi di apprendistato nella sicurezza informatica in 45 stati e territori. La Casa Bianca ha definito questo come uno sforzo “di tutta la società” per espandere la forza lavoro informatica.

(Il disco)

L’ultimo exploit DeFi vede milioni di perdite

Lo scambio di stablecoin Curve offre servizi finanziari utilizzando contratti intelligenti sulla blockchain di Ethereum. Tuttavia, sembra che gli attori delle minacce abbiano utilizzato un bug del compilatore utilizzato in Vyper, un linguaggio di programmazione utilizzato dalla piattaforma di Curve, per accedere a molti dei suoi pool di stablecoin. Nessuna parola da Curve sulle perdite esatte, ma la società di revisione BlockSec ha stimato una perdita di almeno $ 42 milioni. Il bug di Vyper potrebbe anche avere un impatto su altri progetti che lo utilizzano. Sembra che Curve potrebbe vedere un ritorno di alcuni dei fondi, con alcuni asset prelevati in modo proattivo da hacker etici. (CoinDesk)

Nessun collegamento trovato tra l’assicurazione informatica e il pagamento dei riscatti

Questa scoperta proviene da uno studio indipendente pubblicato dal National Cyber ​​Security Centre and Research Institute for Sociotechnical Cyber ​​Security del Regno Unito. La saggezza convenzionale afferma che gli attori delle minacce potrebbero prendere di mira in modo specifico le organizzazioni note per effettuare assicurazioni informatiche per garantire un pagamento più facile. I ricercatori non hanno trovato prove di ciò, ma hanno visto che gli attori delle minacce hanno utilizzato informazioni esfiltrate sull’assicurazione informatica ottenute in un attacco come leva nelle negoziazioni. Lo studio ha concluso che il basso costo e i rischi del ransomware hanno svolto un ruolo molto più importante nella sua continua crescita rispetto a qualsiasi cambiamento nella copertura assicurativa informatica.

(Il disco)

West era preoccupato per l’attenzione sui chip tradizionali della Cina

Le sanzioni sui chip statunitensi ed europee contro la Cina negli ultimi anni si concentrano generalmente sulla tecnologia all’avanguardia. Ciò ha visto i divieti di esportazione avere un impatto sulle macchine di fabbricazione all’avanguardia che utilizzano la litografia ultravioletta estrema. Di conseguenza, la Cina ha iniziato a versare fondi nella produzione dei cosiddetti chip legacy utilizzando la tecnologia precedente. Le fonti di Bloomberg affermano che questa nuova attenzione ha suscitato nuove preoccupazioni da parte dei politici statunitensi ed europei, affermando che gli Stati Uniti vogliono impedire che i chip diventino un punto di leva con la Cina. Il gruppo commerciale del settore SEMI prevede che la Cina guiderà tutte le nazioni nella costruzione di 26 nuovi chip fab fino al 2026.

(Bloomberg)

Grazie al nostro sponsor, Opal

Le stampanti in qualche modo rovinano la gioia di buttarle via

Generalmente il momento di maggiore soddisfazione del cliente per un proprietario di stampante è quando ci si può sbarazzare del dispositivo. Tuttavia, Canon ha avvertito che questi dispositivi scartati hanno memorizzato le impostazioni della connessione Wi-Fi in memoria dopo l’inizializzazione. I dati archiviati includono SSID, password, indirizzi IP e profili di rete, aprendo la porta a potenziali accessi di terze parti. Canon afferma che ciò ha avuto un impatto su 196 modelli nella sua gamma di prodotti a getto d’inchiostro consumer, business e di grande formato. Canon ha rilasciato aggiornamenti del firmware per risolvere il problema e ha consigliato a tutti gli utenti di ripristinare tutte le impostazioni due volte prima di eliminare una stampante.

(Computer che suona)

L’attacco informatico si rivela un incubo per Tempur Sealy

Questa settimana il colosso dei materassi ha riferito alla Securities and Exchange Commission degli Stati Uniti che un attacco informatico ha avuto un impatto sulle sue operazioni, a partire dal 23 luglio. Non è chiaro se questo abbia rappresentato un attacco ransomware, ma il suo deposito normativo ha affermato che di conseguenza ha attivato piani di risposta agli incidenti e di continuità aziendale. L’attacco ha anche costretto Tempur Sealy a chiudere alcuni sistemi IT e interrompere le operazioni generali. Non si sa se i dati siano trapelati durante l’attacco, ma la società ha affermato che informerà tutte le parti interessate se scoperte.

(Il disco)

Il bug di Ninja Forms mette a rischio WordPress

Patchstack ha rivelato diverse vulnerabilità che hanno un impatto sul popolare plugin di WordPress. Uno include un difetto di scripting tra siti che consente l’escalation dei privilegi quando si visita un sito pericoloso. Questo sembra rispecchiare un altro difetto di scripting cross-site precedentemente rivelato in Freemius WordPress SDK di Patchwork. Un altro difetto relativo ai privilegi consente agli utenti in un elenco di abbonati di esportare tutti gli invii di Ninja Forms. WordPress elenca i plug-in Ninja Forms installati su oltre 800.000 siti.

(Le notizie sugli hacker)

Apple cede su X

La scorsa settimana abbiamo riferito che la piattaforma formalmente nota come Twitter non poteva cambiare il suo soprannome sull’App Store di Apple in X poiché il portale App Store Connect richiede almeno due caratteri per il nome di un’app. Tuttavia durante il fine settimana l’app è stata aggiornata per riflettere il nuovo nome. Nessuna parola da parte di Apple sull’eccezione. X ha anche cambiato il suo slogan dell’App Store in “Blaze Your Glory”, interpreta come preferisci.

(TechCrunch)

WordPress’ Hosting consigliato page è un pezzo di proprietà immobiliare online molto contestato, ed è stato recentemente nuovamente messo a fuoco in seguito al rimozione di SiteGround dagli elenchi. Quando il cambiamento è stato evidenziato durante una recente riunione del team di Meta, Samuel “Otto” Wood, collaboratore sponsorizzato da Audrey Capital disse“Matt mi ha chiesto di rimuovere SiteGround perché quella pagina è stata rinnovata. Non so altro. Bluehost e Dreamhost sono gli unici due host rimasti sulla pagina in questo momento.

Il processo per essere elencati nella pagina Hosting consigliato è stato storicamente avvolto nel segretoinducendo i contributori a ipotizzare che fossero necessarie ingenti somme di denaro. Sebbene i criteri attuali siano pubblicati sulla pagina, il processo per essere inseriti e cancellati dall’elenco non è trasparente. Non è chiaro se e come vengono applicati i criteri, in quanto afferma che gli elenchi sono “completamente arbitrari:”

Esamineremo questo elenco diverse volte all’anno, quindi tieni d’occhio la riapertura del sondaggio affinché gli host si inviino per l’inclusione. L’elenco è completamente arbitrario, ma include criteri come: contributi a WordPress.org, dimensione della base di clienti, facilità di installazione automatica di WP e aggiornamenti automatici, evitare violazioni della GPL, design, tono, percezione storica, utilizzo del logo corretto, capitalizzazione di WordPress correttamente, senza incolpare noi se hai un problema di sicurezza e un software di sistema aggiornato.

Il co-creatore di WordPress, Matt Mullenweg, ha recentemente accennato alla possibilità di riaprire il sondaggio, invitando i contributori nel canale Hosting Slack di WordPress a valutare domande o dati che il sondaggio dovrebbe raccogliere “per aiutarci a discernere chi consigliamo”. Ha collegato alle domande del sondaggio utilizzato nel 2016 quando la pagina era aggiornato per includere Bluehost, DreamHost, Flywheel e SiteGround.

La nuova bozza per il sondaggio afferma: “È tempo di tornare indietro e dare a ogni host l’opportunità di essere sulla pagina consigliata, e anche renderlo internazionale perché non abbiamo mai veramente ricevuto host consigliati in paesi non inglesi”.

Il team di hosting di WordPress ha lavorato a uno sforzo correlato chiamato “Progetto Roccia” che mira a creare una directory in cui qualsiasi società di hosting che soddisfi una serie di requisiti predefiniti possa apparire come hosting consigliato o compatibile con il CMS WordPress.

“Sì, il fondamento del progetto è un obiettivo”, ha detto il rappresentante del team di hosting Javier Casares. “Alcuni mesi fa abbiamo lasciato il progetto in stand-by per creare una pre-versione del progetto, creando un elenco di società di hosting all’interno del Make/Hosting, un ‘tutti possono essere nella lista’ (se criteri) come complemento per /hosting), ma l’idea è che /hosting, questo pre-progetto o il progetto dovrebbero avere gli stessi criteri (la base).

“Sappiamo che Matt è il responsabile di /hosting, la nostra idea è quella di creare un ‘elenco più lungo’ per la pagina del manuale di hosting su Make/hosting. L’idea è avere gli stessi criteri. Quindi, entrambi sono complementari.

Sebbene i contributori al progetto lo considerino complementare alle raccomandazioni ufficiali, potrebbe essere fonte di confusione per WordPress avere più risorse di hosting simili con gli stessi criteri ma elenchi diversi. Questi sembrano essere sforzi contrastanti che hanno molte sovrapposizioni, ma alla fine potrebbero essere in contrasto con l’obiettivo di semplificare il processo di selezione degli host per i nuovi utenti di WordPress che non sanno quali prendere in considerazione.

Casares ha suggerito alcuni criteri tecnici su cui il sondaggio dovrebbe concentrarsi, tra cui versioni PHP, versioni del database, accesso SSH, aggiornamenti automatici, installazione di WordPress con un clic, certificati TLS gratuiti, backup e altro.

L’indagine 2023 è ancora nelle fasi iniziali in forma di bozza. I collaboratori del team di hosting di WordPress hanno suggerito che i requisiti per rinnovare la pagina sarebbero un buon argomento di discussione al prossimo Community Summit di WordCamp US il mese prossimo.

Nel canale di hosting Post Status, il co-fondatore di Namecheap Matt Russell ha suggerito la leva di Mullenweg WPHostingBenchmark dati sulle prestazioni.

“[WPHostingBenchmarks is] probabilmente la valutazione delle prestazioni più aperta, equa ea lungo termine nello spazio WP “, ha affermato Russell. Ha anche consigliato a Mullenweg di rinnovare la pagina come più di una directory con opzioni per selezionare budget, regioni/paese e altro.

Il fondatore di Review Signal Kevin Ohashi, che pubblica il sito WPHostingBenchmarks, ha condiviso le preoccupazioni sulla trasparenza che ha avuto dall’ultima volta che la pagina è stata aggiornata:

Chi controlla queste informazioni? Quali criteri verranno utilizzati per valutarli? So che l’ultima volta hai detto che eri coinvolto, così come altre persone di Automattic. Automattic è un concorrente nello spazio di hosting e, indipendentemente dal cappello indossato, c’è qualche preoccupazione per la condivisione di informazioni aziendali sensibili con un concorrente.

Essere elencati in quella pagina probabilmente vale milioni di dollari per qualsiasi azienda in termini di affari generati. Penso che il processo ei criteri dovrebbero essere trasparenti e chiari fin dall’inizio. Penso anche che chi è coinvolto nella valutazione dovrebbe essere conosciuto in anticipo. Almeno dare alle aziende, e ai consumatori, le informazioni che meritano per valutare la partecipazione e il risultato.

Ohashi raccomanda che nessuna persona impiegata da una società di hosting sia coinvolta nella valutazione delle candidature. Ciò eliminerebbe i pregiudizi dei concorrenti nello spazio che cercano di sopprimere coloro che ritengono essere una minaccia.

“Mi piacerebbe vedere più etica e responsabilità, un codice etico per qualsiasi azienda quotata sarebbe positivo nella mia mente”, ha detto Ohashi. “Le aziende dovrebbero competere sulla qualità e sul prodotto, non su astroturfing, pratiche di fatturazione ingannevoli e altri comportamenti loschi che spesso vediamo nello spazio. Nei miei benchmark, spingo a misurare le prestazioni predefinite perché ritengo che ciò avvantaggi il maggior numero di clienti. Penso che ci sia un’opportunità per spingere per un ecosistema migliore qui e mi piacerebbe vederti prenderlo.

Gli esperti avvertono delle vulnerabilità che interessano il plug-in Ninja Forms per WordPress che potrebbero essere sfruttate per l’escalation dei privilegi e il furto di dati.

Il plug-in Ninja Forms per WordPress è interessato da molteplici vulnerabilità (tracciate come CVE-2023-37979, CVE-2023-38386 e CVE-2023-38393) che possono essere sfruttate dagli attori delle minacce per aumentare i privilegi e rubare dati sensibili.

Il plug-in WordPress Forme Ninja è il plug-in per la creazione di moduli più popolare, ha più di 900.000 installazioni attive.

Gli sviluppatori possono utilizzare questo plug-in per creare qualsiasi tipo di modulo, inclusi moduli di contatto e moduli di pagamento.

La prima vulnerabilità, tracciata come CVE-2023-37979, è un XSS riflesso basato su POST che può essere sfruttato da un utente non autenticato per rubare informazioni sensibili, in questo caso, per l’escalation dei privilegi sul sito WordPress. L’attaccante può attivare il problema inducendo gli utenti privilegiati a visitare un sito Web predisposto.

La seconda e la terza vulnerabilità, tracciate come CVE-2023-38393 e CVE-2023-38386, sono un controllo di accesso interrotto sulla funzione di esportazione degli invii di moduli. L’utente del ruolo di abbonato e collaboratore può sfruttare i difetti per esportare tutti gli invii di Ninja Forms su un sito WordPress.

Le vulnerabilità sono state risolte con il rilascio della versione 3.6.26.

“In alcuni casi, il codice del plugin o del tema deve chiamare determinate funzioni o classi dalla stringa fornita dall’utente. Prova sempre a controllare e limitare quale funzione o classe l’utente potrebbe chiamare direttamente. Prestare inoltre particolare attenzione a un’azione di esportazione dei dati e implementare sempre il controllo delle autorizzazioni o del controllo degli accessi alle funzioni correlate. legge il inviare pubblicato da PatchStack.

Di seguito è riportata la tempistica per i problemi di cui sopra:

• 22 giugno 2023 Abbiamo individuato la vulnerabilità e contattato il fornitore del plug-in.
• 04 luglio 2023 Versione Ninja Forms 3.6.26 è stato pubblicato per correggere il problema segnalato.
• 25 luglio 2023 Aggiunte le vulnerabilità al file Database delle vulnerabilità patchstack.
• 27 luglio 2023 Articolo di consulenza sulla sicurezza pubblicato pubblicamente.

Seguimi su Twitter: @securityaffairs Facebook E Mastodonte

Pierluigi Paganini

(Affari di sicurezza – hacking, plug-in Forme Ninja)

---

Condividere su