È stata identificata una vulnerabilità critica nel plugin WordPress WP Datepicker, che interessa oltre 10.000 installazioni attive.
Questo aggiornamento delle opzioni arbitrarie vulnerabilità (CVE-2024-3895) è stato assegnato un punteggio CVSS di 8,8, che indica un livello di gravità elevato.
CVE-2024-3895: Vulnerabilità nell'aggiornamento delle opzioni arbitrarie nel plug-in WP Datepicker
Questa vulnerabilità potrebbe essere sfruttata da authenticated aggressori con accesso a livello di abbonato e superiore per aggiornare opzioni arbitrarie, che possono essere facilmente sfruttate per l'escalation dei privilegi.
Un attacco di questo tipo potrebbe consentire agli autori delle minacce di creare account amministratore, comportando un rischio significativo per i siti Web interessati.
Is Your Network Under Attack? - Read CISO’s Guide to Avoiding the Next Breach - Download Free Guide
La vulnerabilità è stata rilevata nel plugin WP Datepicker, uno strumento ampiamente utilizzato per la gestione degli input di data e ora nei moduli WordPress. Il difetto, presente nelle versioni 2.1.0 e precedenti, è stato completamente risolto nella versione 2.1.1.
Il codice sorgente è stato riformattato per una migliore leggibilità, facendo sì che i numeri di riga siano diversi:
function wpdp_add_new_datepicker_ajax(){
global $wpdp_premium_link, $wpdp_dir, $wpdp_url, $wpdp_pro, $wpdp_data, $wpdp_options, $wpdp_styles, $wpdp_gen_file;
if(isset($_POST['wpdp_add_new_datepicker']) || isset($_POST['wpdp_get_selected_datepicker']) || isset($_POST['wpdp_form_data'])){
if (
! isset( $_POST['wpdp_nonce_action_field'] )
|| ! wp_verify_nonce( $_POST['wpdp_nonce_action_field'], 'wpdp_nonce_action' )
) {
print __('Sorry, your nonce did not verify.', 'wp-datepicker');
exit;
Programma di ricompensa:
Il ricercatore che ha scoperto e segnalato responsabilmente questa vulnerabilità attraverso il file Wordfence Il Bug Bounty Program, Lucio Sá, ha ricevuto una taglia di $ 493,00 per la sua scoperta durante il Bug Bounty Program Extravaganza.
Wordfence sta eseguendo una Bug Bounty Extravaganza, offrendo tassi di ricompensa aumentati per le vulnerabilità inviate fino al 27 maggio 2024.
La regola del firewall Wordfence rileva l'azione AJAX dannosa e blocca la richiesta se non proviene da un amministratore autorizzato esistente.
Per proteggersi dagli exploit che mirano a questa vulnerabilità, gli utenti di WordPress sono fortemente incoraggiati a verificare che i loro siti siano aggiornati all'ultima versione con patch di WP Datepicker (2.1.1 o successiva).
Ad aprile, gli utenti di Wordfence Premium, Wordfence Care e Wordfence Response hanno ricevuto una regola firewall per proteggersi dagli exploit che prendono di mira questa vulnerabilità.
Free Webinar: Mastering Web Application and API Protection/WAF ROI Analysis - Book Your Spot
Mentre acquisti alternative a WooCommerce, scoprirai che ci sono molte differenze tra loro. Prestando molta attenzione a questi fattori, puoi selezionare le opzioni e scegliere quella giusta per il tuo budget e le tue esigenze particolari.
Caratteristiche essenziali
Diversità del prodotto: Se offri più che prodotti fisici, assicurati che il software che scegli ti permetta di venderli. Questi potrebbero includere servizi, abbonamenti, abbonamenti e download digitali.
Gestione del prodotto: L'alternativa ideale ti semplificherà la gestione dei tuoi prodotti. Dovresti essere in grado di aggiungere descrizioni di prodotto e caricare foto di prodotto in un unico posto.
Ottimizzazione per i motori di ricerca (SEO): Le funzionalità SEO sono essenziali se desideri ottimizzare il tuo sito web e aiutare i tuoi clienti a trovarti in modo organico.
Temi: Più temi gratuiti e a pagamento hai a disposizione, meglio è. Ciò può garantire che sarai in grado di trovare l'opzione ideale per la tua particolare immagine di marca e modello di business.
Processo di pagamento: WooCommerce accetta tutte le principali carte di credito oltre a innumerevoli soluzioni di elaborazione dei pagamenti, come Stripe, PayPal e Square. Il software che scegli dovrebbe fare lo stesso poiché i clienti apprezzano la flessibilità di pagamento.
Marketing: Anche se sei in attività da anni e hai una base di clienti fedele, le funzionalità di marketing, come la possibilità di creare coupon e programmi fedeltà, newsletter via email e integrazioni con i social media, possono aiutarti ad attirare nuovi clienti e a crescere.
Analisi e reporting: Con solide funzionalità di analisi e reporting, puoi ottenere visibilità su cosa funziona e cosa devi fare per migliorare il sito web.
Facilità d'uso
WooCommerce è abbastanza intuitivo ma se non hai molta esperienza con WordPress, potrebbe avere una curva di apprendimento. Inoltre, le sue funzionalità avanzate richiedono integrazioni ed estensioni di terze parti, che possono essere difficili da gestire. Se possibile, opta per un'alternativa che puoi navigare e utilizzare facilmente, anche se non hai molte competenze tecniche. È anche una buona idea cercare soluzioni che contengano queste funzionalità avanzate integrate in modo da non doverti preoccupare degli aggiornamenti software.
Sicurezza
Se vendi prodotti e servizi online, la sicurezza dovrebbe essere una priorità poiché i tuoi clienti condivideranno continuamente le loro informazioni personali sensibili. Con le giuste funzionalità di sicurezza, puoi proteggere il tuo sito da malware, hacker e altre minacce alla sicurezza informatica. Diversi esempi di queste funzionalità di sicurezza cruciali a cui dare priorità includono un certificato SSL, firewall, autenticazione in più fasi e requisiti di password complessi.
Servizio Clienti
Per offrire ai tuoi clienti un'esperienza di acquisto online di qualità, il tuo sito dovrebbe offrire una varietà di funzionalità del servizio clienti. WooCommerce può permetterti di farlo attraverso le sue oltre 25 estensioni di assistenza clienti. Quando cerchi un'alternativa, assicurati di poter implementare una live chat, un help desk automatizzato, supporto telefonico, supporto via email, una knowledge base self-service e qualsiasi altra cosa che ritieni possa aiutare a rispondere alle loro domande e preoccupazioni.
I siti Web WordPress che utilizzano il plug-in Forminator per moduli Web sono estremamente vulnerabili al caricamento e all'esecuzione di file dannosi. Il Centro di coordinamento del team di risposta alle emergenze informatiche giapponese (JPCERT/CC) lancia l'allarme a riguardo.
JPCERT/CC ha rilasciato un avviso per la vulnerabilità critica CVE-2024-28890 che colpisce i siti Web in esecuzione su WordPress. Questa vulnerabilità nel plugin Forminator consente ai criminali informatici di caricare ed eseguire file non autorizzati sui server che eseguono i siti Web attaccati.
Il plugin Forminator consente agli utenti di WordPress di creare tutti i tipi di moduli web e di integrarli nei loro siti web. La vulnerabilità ora riscontrata si applica a tutte le versioni del plugin Forminator fino alla v1.29.0. La versione più recente è apparsa nel mese di gennaio di quest'anno.
Elevato numero di siti Web vulnerabili
Il numero di siti WordPress vulnerabili con un plug-in Forminator ammonta a centinaia di migliaia. Ma il 55 per cento cifre da WordPress.org show, stanno utilizzando la versione 1.29.0 o successiva. Si ritiene che solo 200.000 siti con il plugin interessato siano sicuri, quindi il numero di siti vulnerabili è molto elevato.
I siti WordPress sono regolarmente vulnerabili tramite plugin. A volte ciò può portare direttamente a un milione di siti a rischio di attacco, come è successo a gennaio con il plugin Better Search replace. Spetta agli amministratori del sito web monitorare e fornire aggiornamenti ai plugin in uso.
I ricercatori di sicurezza hanno scoperto una backdoor in un plugin WordPress premium progettato come soluzione di gestione completa per le scuole. Il codice dannoso consente a un autore di minacce di eseguire codice PHP senza autenticarsi.
Il nome del plugin è “School Management”, pubblicato da Weblizar, e diverse versioni precedenti alla 9.9.7 venivano fornite con la backdoor inserita nel codice.
Sebbene l'ultima versione sia pulita, lo sviluppatore non è riuscito a determinare l'origine della compromissione.
Il plug-in consente alle scuole di gestire lezioni dal vivo, inviare notifiche via e-mail o SMS, tenere tabelloni delle presenze e gestire bacheche, accettare pagamenti ed emettere fatture, gestire esami, impostare biblioteche di prestito online e persino gestire flotte di veicoli da trasporto.
Si tratta di una soluzione completa fornita con un'app Android e iOS per fornire vari livelli di accesso a utenti come amministratori, insegnanti, contabili, studenti, genitori, bibliotecari e addetti alla reception.
Backdoor PHP
Jetpack ha iniziato a dare un'occhiata a “Gestione scolastica” (sito non sicuro al momento della stesura di questo articolo) dopo che il team di supporto di WordPress.com ha segnalato di aver trovato codice dannoso in diversi siti che utilizzavano il plug-in.
Osservando il codice leggermente offuscato, Jetpack trovato una backdoor inserita nel codice di controllo della licenza del plugin, che consente a qualsiasi utente malintenzionato di eseguire codice PHP.
Il codice backdoor dopo aver invertito l'offuscamento(Jetpack)
La backdoor può consentire a un utente malintenzionato di accedere o alterare i contenuti del sito Web, elevare i privilegi e assumere il controllo completo del sito.
Questo è un problema di sicurezza critico attualmente monitorato come CVE-2022-1609e ha ricevuto il punteggio di gravità massimo pari a 10 su 10.
Poiché la backdoor viene inserita nella parte di controllo della licenza del plugin, anche la versione gratuita che non ne ha una non contiene la backdoor, quindi non è influenzata.
Scoperta e fissazione
Jetpack presupponeva che la presenza della backdoor fosse il caso di un plug-in annullato, un plug-in premium che è stato violato o modificato (piratato), distribuito tramite siti Web di terze parti, che spesso funziona senza licenza
Tuttavia, dopo aver discusso con i proprietari del sito, gli analisti hanno appreso che il plug-in proveniva direttamente dal fornitore, quindi la backdoor era “pronta all’uso”.
I ricercatori hanno contattato il fornitore il 4 maggio 2022 e la presenza del codice inserito è stata confermata sull'ultima versione dell'epoca, la 9.9.6. Successive indagini hanno dimostrato che la backdoor era presente almeno dalla versione 8.9.
Il giorno successivo lo sviluppatore ha rilasciato la versione 9.9.7, in cui è stata rimossa la backdoor. Il fornitore ha distribuito gli aggiornamenti di sicurezza a tutti i clienti premium con l'avviso di applicarli immediatamente.
Non sono stati resi noti ulteriori dettagli su come o esattamente quando è stata iniettata la backdoor e il venditore ha dichiarato di non riuscire a capire come sia avvenuta l'iniezione.
Bleeping Computer ha contattato il fornitore del software per trovare maggiori dettagli su questo fronte, ma non abbiamo ancora ricevuto risposta.
Aggiornamento del 28 maggio 2022: Un portavoce di Weblizar ha contattato Bleeping Computer sostenendo che i risultati di Jetpack sono falsi e che la backdoor non si trovava nel plugin fornito da loro, ma in una versione annullata/piratata.
Il plug-in Forminator WordPress utilizzato in oltre 500.000 siti è vulnerabile a un difetto che consente agli autori malintenzionati di eseguire caricamenti di file senza restrizioni sul server.
Forminator di WPMU DEV è un generatore personalizzato di contatti, feedback, quiz, sondaggi/sondaggi e moduli di pagamento per siti WordPress che offre funzionalità di trascinamento della selezione, ampie integrazioni di terze parti e versatilità generale.
Giovedì, il CERT giapponese ha pubblicato un avviso sul suo portale delle note di vulnerabilità (JVN) avvertendo dell'esistenza di un difetto di gravità critica (CVE-2024-28890, CVSS v3: 9.8) in Forminator che potrebbe consentire a un utente malintenzionato remoto di caricare malware sui siti utilizzando il plug-in.
“Un utente malintenzionato remoto può ottenere informazioni sensibili accedendo ai file sul server, alterare il sito che utilizza il plug-in e causare una condizione di negazione del servizio (DoS).” – JVN
Il bollettino sulla sicurezza di JPCERT elenca le seguenti tre vulnerabilità:
CVE-2024-28890 – Convalida insufficiente dei file durante il caricamento dei file, consentendo a un utente malintenzionato remoto di caricare ed eseguire file dannosi sul server del sito. Impatti Forminator 1.29.0 e versioni precedenti.
CVE-2024-31077 – Difetto di SQL injection che consente agli aggressori remoti con privilegi di amministratore di eseguire query SQL arbitrarie nel database del sito. Impatti Forminator 1.29.3 e versioni precedenti.
CVE-2024-31857 – Difetto di cross-site scripting (XSS) che consente a un utente malintenzionato remoto di eseguire codice HTML e script arbitrario nel browser di un utente se indotto con l'inganno a seguire un collegamento appositamente predisposto. Impatti Forminator 1.15.4 e versioni precedenti.
Si consiglia agli amministratori del sito che utilizzano il plug-in Forminator di aggiornare il plug-in alla versione 1.29.3, che risolve tutti e tre i difetti, il prima possibile.
WordPress.org mostrano le statistiche che dal rilascio dell'aggiornamento di sicurezza l'8 aprile 2024, circa 180.000 amministratori di siti hanno scaricato il plug-in. Supponendo che tutti i download riguardino l'ultima versione, ci sono ancora 320.000 siti che rimangono vulnerabili agli attacchi.
Al momento della stesura di questo articolo, non ci sono state segnalazioni pubbliche di sfruttamento attivo di CVE-2024-28890, ma a causa della gravità del difetto e dei requisiti facili da soddisfare per sfruttarlo, il rischio che gli amministratori posticipino l'aggiornamento è elevato. alto.
Per ridurre al minimo la superficie di attacco sui siti WordPress, utilizza il minor numero di plug-in possibile, aggiorna alla versione più recente il prima possibile e disattiva i plug-in che non vengono utilizzati/necessari attivamente.
03 aprile 2024Sala stampaSicurezza/Vulnerabilità Web
Una falla di sicurezza critica che colpisce il plugin LayerSlider per WordPress potrebbe essere sfruttata per estrarre informazioni sensibili dai database, come gli hash delle password.
Il difetto, designato come CVE-2024-2879porta un punteggio CVSS di 9,8 su un massimo di 10,0. È stato descritto come un caso di SQL injection che ha avuto un impatto sulle versioni dalla 7.9.11 alla 7.10.0.
Il problema è stato risolto nella versione 7.10.1 rilasciata il 27 marzo 2024, a seguito della divulgazione responsabile del 25 marzo. “Questo aggiornamento include importanti correzioni di sicurezza”, i manutentori di LayerSlider disse nelle loro note di rilascio.
LayerSlider è un editor di contenuti web visivi, un software di progettazione grafica ed effetti visivi digitali che consente agli utenti di creare animazioni e contenuti avanzati per i loro siti web. Secondo il proprio sito, il plugin lo è usato da “milioni di utenti in tutto il mondo”.
Il difetto scoperto nello strumento deriva da un caso di fuga insufficiente dei parametri forniti dall'utente e dall'assenza di wpdb::prepara()consentendo agli aggressori non autenticati di aggiungere ulteriori query SQL e raccogliere informazioni sensibili, ha affermato Wordfence.
Detto questo, il modo in cui è strutturata la query limita la superficie di attacco a un approccio basato sul tempo in cui un avversario dovrebbe osservare il tempo di risposta di ciascuna richiesta per rubare informazioni dal database.
Lo sviluppo segue la scoperta di un difetto di cross-site scripting (XSS) archiviato non autenticato nel file Plug-in per l'iscrizione ai membri WP (CVE-2024-1852, punteggio CVSS: 7.2) che potrebbe facilitare l'esecuzione di codice JavaScript arbitrario. È stato risolto nella versione 3.4.9.3.
La vulnerabilità, dovuta all'insufficiente sanificazione dell'input e all'escape dell'output, “consente agli aggressori non autenticati di inserire script web arbitrari in pagine che verranno eseguiti ogni volta che un utente accede a una pagina inserita che è la pagina di modifica degli utenti”, ha spiegato la società di sicurezza WordPress. disse.
Se il codice venisse eseguito nel contesto della sessione del browser di un amministratore, potrebbe essere utilizzato per creare account utente non autorizzati, reindirizzare i visitatori del sito verso altri siti dannosi ed effettuare altri attacchi, ha aggiunto.
Nelle ultime settimane sono state rilevate vulnerabilità di sicurezza anche in altri plugin di WordPress come Tutor LMS (CVE-2024-1751, punteggio CVSS: 8,8) e Voci del modulo di contatto (CVE-2024-2030, punteggio CVSS: 6,4) che potrebbero essere sfruttati rispettivamente per la divulgazione di informazioni e l'iniezione di script web arbitrari.
Hai trovato interessante questo articolo? Seguici su Twitter E LinkedIn per leggere i contenuti più esclusivi che pubblichiamo.
Diverse versioni di un plugin per WordPress chiamato “School Management Pro” nascondevano una backdoor che poteva garantire a un avversario il controllo completo sui siti Web vulnerabili.
Al problema, riscontrato nelle versioni premium precedenti alla 9.9.7, è stato assegnato l'identificatore CVE CVE-2022-1609 ed è valutato 10 su 10 per la gravità.
La backdoor, che si ritiene esista dalla versione 8.9, consente “a un utente malintenzionato non autenticato di eseguire codice PHP arbitrario su siti con il plugin installato”, ha spiegato Harald Eilertsen di Jetpack. disse in un articolo di venerdì.
School Management, sviluppato da una società con sede in India chiamata Weblizarviene fatturato come componente aggiuntivo di WordPress per “gestire l'intero funzionamento della scuola”. Afferma inoltre più di 340.000 clienti dei suoi temi e plugin WordPress premium e gratuiti.
La società di sicurezza di WordPress ha notato di aver scoperto l'impianto il 4 maggio dopo essere stata avvisata della presenza di codice fortemente offuscato nel codice di controllo della licenza del plugin. IL versione gratuita of School Management, che non comprime il codice di licenza, non è interessato.
Anche se da allora la backdoor è stata rimossa, le origini esatte della compromissione rimangono poco chiare, con il venditore che afferma di “non sapere quando o come il codice sia entrato nel loro software”.
Si consiglia ai clienti del plugin di aggiornare alla versione più recente (9.9.7) per prevenire tentativi di sfruttamento attivi.
Hai trovato interessante questo articolo? Seguici su Twitter E LinkedIn per leggere i contenuti più esclusivi che pubblichiamo.
WooCommerce and Adobe Commerce are industry-leading tools to build e-commerce websites. When you compare Adobe Commerce vs WooCommerce, WooCommerce tends to be better for small operations using a DIY method to build their storefront, while web developers have a lot of control with Adobe Commerce.
Adobe acquired Magento in 2018, changing its name to Adobe Commerce. While there’s still a free, open-source version that is called Magento, paid packages are now under the Adobe Commerce brand. Adobe Commerce products are dramatically more expensive, but if your sales are high enough, they can make sense.
Featured website builder offers
Drag-and-drop builder
Yes
Free domain
Only when paying annually
Drag-and-drop builder
Yes
Drag-and-drop builder
Yes
WooCommerce vs. Adobe Commerce: Quick overview
WooCommerce and Adobe Commerce offer similar products for extremely different prices. Which one you use depends largely on your traffic volume, sales volume and web development expertise.
Pricing and value
Verdict: WooCommerce
WooCommerce is by far the cheaper option. There’s a free plugin if you’re using WordPress, but if you want to buy an entire package that includes hosting and advanced marketing features, WooCommerce can get the job done for less than $100 per month.
If you’re running a larger storefront, though, Adobe Commerce may be the better option. It provides single-tenant hosting for high-volume businesses. That type of bandwidth comes at a much higher price point.
WooCommerce pricing and value
If your website is already operating on WordPress, you can use the WooCommerce plugin for free. WooCommerce does offer its own Express packages, which include hosting and additional features primarily centered on shop functionality and marketing. You have three options: Essential, Performance and Enterprise.
Essential
The Essential package costs $25 per month if you’re paying annually or $39 per month if you’re paying monthly. Here are some of the biggest features you’ll get with this package:
Full e-commerce platform.
50 GB storage for images and media.
Pre-built themes.
Live chat and email support.
Built-in payment processing.
Automated tax calculations.
Real-time shipping calculations.
Malware and security scans.
Performance
Regular pricing for Performance plans is $45 per month if paid annually or $70 per month if paid monthly. You’ll get everything in the Essential plan, plus:
200 GB storage for images and media.
Abandoned cart recovery.
Discounted shipping rates.
Advanced email marketing features.
Personalized product bundles.
Up- and cross-selling features.
Specify minimum and maximum order size.
Enterprise
If you have a larger storefront, WooCommerce provides Enterprise package options. These plans are custom-built for your business, so they require a custom quote.
Adobe Commerce pricing and value
Magento Open Source is still available for free, but it will be a challenge to use as a layman. While there are drag-and-drop options available, the program’s real power comes from its development features.
Adobe Commerce’s paid plans are geared at larger operations. The exact price will depend on a number of factors, including your gross merchandise value and your average order value. To give you an idea of how much volume we’re talking about, Adobe’s lowest gross merchandise value tier is $10 million and below. The highest tier is $200 million and above.
Because so many factors go into Adobe Commerce’s pricing, the company isn’t overly transparent with actual rates. That said, there are two paid packages: Adobe Commerce Pro and Managed Services. You can expect Managed Services to be the more expensive package.
Some of the features you get with a paid Adobe Commerce plan over open-source Magento include:
Ability to issue branded gift cards.
Higher security standards, you’ll need to process payments in line with compliance standards.
Product recommendations powered by Adobe Sensei.
Advanced segmentation tools.
Web editor
Verdict: Tie
While you can either use coding or drag-and-drop functionalities with either website builder, these two products aren’t the same. WooCommerce is better for smaller storefronts that may be managed by the business owner directly. Adobe Commerce is a better option if you’re a large-scale business with at least one web developer on staff.
WooCommerce web editor
WooCommerce is primarily a drag-and-drop editor, but if you know how to code, you do have the option to use those skills to customize your shop further. If you’re a small business owner who doesn’t have the budget to outsource the tech portion of creating your website, WooCommerce’s drag-and-drop editor will be easier to use.
Adobe Commerce web editor
There are ways to use a drag-in-drop editor in Magento-based programs in 2024, but the core product is better for professional web developers. If you have the scale to justify spending on Adobe Commerce services, you may already have at least one of these professionals in-house, anyway.
E-commerce functionality
Verdict: Adobe Commerce, but only at extremely high sales volumes
Both WooCommerce and Adobe Commerce give you a wide range of e-commerce tools and functionalities. The biggest difference is in scale — if you’re using WooCommerce, you may have to switch to a larger Enterprise plan if your site starts getting unmanageable amounts of traffic. Adobe Commerce plans — for all their expense — do hold their own in terms of traffic capacity.
WooCommerce e-commerce functionality
WooCommerce provides robust e-commerce functionality. From abandoned cart recovery to real-time shipping calculations, it provides everything a small business owner should need. WooCommerce Express can handle high volumes of traffic, and if you get big enough that load speed ever does become an issue, you can explore the larger WooCommerce Enterprise plans.
Adobe Commerce e-commerce functionality
Remember that Adobe Commerce is only worth paying for if you have the sales to justify the large expense. If you do, though, the amount of traffic your site will be able to handle is virtually unlimited, with a similar range of e-commerce features as WooCommerce. If you only have Magento Open Source, the load speed will depend on your hosting provider.
Blogging
Verdict: WooCommerce
Both platforms can be excellent for blogging, with a myriad of customization options and SEO tools. However, because WooCommerce is attached to WordPress, it has a home-court advantage.
WooCommerce blogging
WooCommerce is either a WordPress plugin or, in the case of WooCommerce Express, a hosting plan that uses WordPress as the CMS. WordPress is one of the original blogging platforms, making WooCommerce-adjacent blogging tools as robust as they could be.
Adobe Commerce blogging
It’s not that Adobe Commerce programs are bad for blogging. The granular coding capabilities make it a phenomenal tool for SEO implementation if you know what you’re doing. But as far as a user-friendly CMS or tools that beginners will intuitively know how to use, WordPress is still king.
Marketing and SEO
Verdict: Tie
WooCommerce and Adobe Commerce both offer robust marketing and SEO functionality. These features are all-inclusive with Adobe Commerce, but — even with the price of WooCommerce add-ons — the latter is still less expensive.
WooCommerce marketing and SEO
Again, WordPress may be easier to navigate as you implement your SEO strategy. It allows you to do advanced back-end coding while maintaining a user-friendly interface option for those who lack advanced skills. WooCommerce itself offers its best marketing features in its Premium package, including:
Abandoned cart recovery.
Advanced email marketing features.
Personalized product bundles.
Up- and cross-selling features.
There are additional features you can add to any WooCommerce package with branded plug-ins, but they come with monthly fees. For example, there’s a plug-in for branded gift cards ($59 per year) and another for loyalty or rewards programs for your customers ($159 per year).
Adobe Commerce marketing and SEO
If you have the skills needed to navigate Magento Open Source, the level of customization for SEO purposes is impressive. As far as marketing goes, Adobe Commerce packages include everything WooCommerce has, plus gift cards and loyalty programs for no extra cost.
However, you have to remember that comes with quite the difference in monthly fees — it once again only makes sense for large-scale organizations.
Performance and security
Verdict: Adobe Commerce
Overall, WooCommerce Express plans aren’t quite as powerful as Adobe Commerce, but they’re powerful enough. It would take extremely high volumes of traffic to merit switching to a WooCommerce Enterprise plan or considering Adobe Commerce, but there are storefronts that fall into this category.
While it’s close when we look at performance, Adobe Commerce steals the show when it comes to security.
WooCommerce performance and security
WooCommerce plans are powerful in terms of performance. If your store gets popular enough that performance does become a concern, you can explore an expanded Enterprise plan.
WooCommerce on its own is not incredibly secure. It doesn’t meet payment-processing (PCI) standards for the industry. However, when you’re working in WordPress, there are plenty of plugins you can use to make your site PCI-compliant. The process can be easier than with Magento Open Source.
Adobe Commerce performance and security
If you have Magento Open Source, your performance will depend entirely on your host. Adobe Commerce plans are built to handle massive amounts of traffic. While Magento Open Source isn’t PCI compliant, you can make it PCI compliant with the appropriate technical skills. Adobe Commerce is PCI compliant, which helps the paid plans win this category.
Mobile app
Verdict: WooCommerce
Both WooCommerce and Adobe Commerce allow you to build your own app for your brand, but only WooCommerce offers an app for mobile monitoring and editing.
WooCommerce app
WooCommerce doesn’t natively allow you to build an app, but you can use a third-party extension to do so. While this does add an extra fee of at least $19 per month, the exorbitant base prices on Adobe Commerce make this additional cost negligible. WooCommerce also has an app that allows you to monitor your site’s stats and do some light editing.
Adobe Commerce app
Adobe Commerce does not have an app that would allow you to monitor store statistics through your mobile device. However, it does include the ability to create your own app for your store in its paid packages. Doing so will require some web development skills.
Final verdict
Winner: WooCommerce
The price difference is just too big to ignore. While Adobe Commerce packages may come with a wider range of features included, you can still access those features for less with WooCommerce extensions. Because the pricing is so far apart, Adobe Commerce only really makes sense if you’re posting incredibly large numbers.
Who is WooCommerce best for?
WooCommerce is better for business owners who can’t spend five figures or more on their shop maintenance every year. It’s also better for those who do not have a background in coding or web development.
Who is Adobe Commerce best for?
Adobe Commerce is best for shop owners who do extremely high volume every month. You’re going to need that revenue to pay your monthly bill. Whether you’re using Adobe Commerce or Magento Open Source, the interface is better for professional web developers.
Featured website builder offers
Drag-and-drop builder
Yes
Free domain
Only when paying annually
Drag-and-drop builder
Yes
Drag-and-drop builder
Yes
Frequently asked questions (FAQs)
One isn’t necessarily better than the other. Magento is better for web developers, and its sister Adobe Commerce products are best for the largest of businesses. WooCommerce is better for small operations that may be building their website without the same level of tech expertise.
Magento on its own is not more secure than WooCommerce. Both are open source and not PCI compliant. However, if you upgrade to a paid Adobe Commerce package, your website will be PCI-compliant without any extra work on your end.
While Magento does have drag-and-drop functionality, on the whole, WooCommerce is easier and more intuitive to use for beginners without a web development background.
Un altro importante plug-in di WordPress è stato ritenuto vulnerabile a un difetto di elevata gravità che ha consentito ad autori malintenzionati di rubare informazioni sensibili dal sito Web, inclusi gli hash delle password.
LayerSlider ha pubblicato un nuovo avviso di sicurezza, affermando che il prodotto è ora nella versione 7.10.1, ma aggiungendo: “Questo aggiornamento include importanti correzioni di sicurezza”.
Anche se l'annuncio non descrive in dettaglio la vulnerabilità risolta, Le notizie sugli hacker ha riferito che il progetto ha risolto una vulnerabilità di SQL injection che interessava le versioni dalla 7.9.11 alla 7.10.0. Questa vulnerabilità viene ora tracciata come CVE-2024-2879 e ha un punteggio di gravità pari a 9,8 (critico).
Targeting per WordPress
Sul suo sito web, LayerSlider si descrive come un “editor di contenuti visivi per il web, un software di progettazione grafica e un’applicazione di effetti visivi digitali, tutto in uno”. Afferma inoltre di essere utilizzato da “milioni” di persone in tutto il mondo. LayerSlider è un plugin commerciale per WordPress, con pacchetti di licenza annuale che vanno da $ 26 a $ 159.
Essere il più popolare al mondo costruttore di siti webe utilizzato da circa la metà di tutti i siti web esistenti, WordPress è uno dei principali obiettivi dei criminali informatici di tutto il mondo. Tuttavia, poiché la piattaforma è generalmente considerata sicura, gli hacker hanno rivolto la loro attenzione a temi e plugin di terze parti, poiché raramente sono sicuri quanto la piattaforma stessa.
Esistono migliaia di temi e plugin per WordPress, che si basano e migliorano l'esperienza WordPress. Alcuni sono gratuiti, ma quelli commerciali di solito hanno un team dedicato che lavora su miglioramenti e sicurezza. Di conseguenza, la maggior parte delle volte, gli hacker opteranno per temi e plugin gratuiti: molti di essi hanno milioni di utenti, ma sono stati abbandonati dai loro sviluppatori e contengono vulnerabilità che non vengono mai (o raramente) risolte.
Per rimanere al sicuro, gli amministratori dovrebbero installare solo i temi e i plugin che intendono utilizzare e assicurarsi che siano sempre aggiornati alla versione più recente.
Iscriviti alla newsletter di TechRadar Pro per ricevere tutte le principali notizie, opinioni, funzionalità e indicazioni di cui la tua azienda ha bisogno per avere successo!
