Wp Manage

Categoria: Wordpress

  • Oltre 280.000 siti WordPress attaccati utilizzando la vulnerabilità zero-day del plug-in WPGateway

    Oltre 280.000 siti WordPress attaccati utilizzando la vulnerabilità zero-day del plug-in WPGateway

    14 settembre 2022Ravie Lakshmanan

    Siti WordPress

    Un difetto zero-day nell’ultima versione di un plugin premium di WordPress noto come WPGateway viene attivamente sfruttato in libertà, consentendo potenzialmente ad attori malintenzionati di assumere completamente il controllo dei siti interessati.

    Tracciato come CVE-2022-3180 (punteggio CVSS: 9,8), il problema viene utilizzato come arma per aggiungere un utente amministratore malintenzionato ai siti che eseguono il plug-in WPGateway, ha osservato la società di sicurezza WordPress Wordfence.

    “Parte della funzionalità del plug-in espone una vulnerabilità che consente agli aggressori non autenticati di inserire un amministratore malintenzionato”, ha affermato Ram Gall, ricercatore di Wordfence. disse in un consulto.

    Sicurezza informatica

    WPGateway viene considerato un mezzo che consente agli amministratori del sito di installare, eseguire il backup e clonare plugin e temi WordPress da una dashboard unificata.

    L'indicatore più comune che un sito web che esegue il plug-in è stato compromesso è la presenza di un amministratore con il nome utente “rangex”.

    Inoltre, la comparsa di richieste a “//wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1” nei registri di accesso è un segno che il sito WordPress è stato preso di mira utilizzando il difetto, sebbene non implica necessariamente una violazione riuscita.

    Wordfence ha affermato di aver bloccato oltre 4,6 milioni di attacchi che tentavano di sfruttare la vulnerabilità contro più di 280.000 siti negli ultimi 30 giorni.

    Ulteriori dettagli sulla vulnerabilità sono stati nascosti a causa dello sfruttamento attivo e per impedire ad altri attori di approfittare della lacuna. In assenza di una patch, si consiglia agli utenti di rimuovere il plug-in dalle proprie installazioni WordPress fino a quando non sarà disponibile una correzione.

    Sicurezza informatica

    Lo sviluppo arriva giorni dopo l’avvertimento di Wordfence abuso in natura di un altro difetto zero-day in un plugin di WordPress chiamato BackupBuddy.

    La divulgazione arriva anche come Sansec rivelato che gli autori delle minacce hanno violato il sistema di licenza di estensione di FishPigun fornitore di popolari integrazioni Magento-WordPress, per iniettare codice dannoso progettato per installare un trojan di accesso remoto chiamato Documentazione.

    Hai trovato interessante questo articolo? Seguici su Twitter E LinkedIn per leggere i contenuti più esclusivi che pubblichiamo.

  • WordPress rilascia un plugin per le prestazioni per “tempi di caricamento quasi istantanei”

    WordPress rilascia un plugin per le prestazioni per “tempi di caricamento quasi istantanei”

    WordPress ha rilasciato un plugin ufficiale che aggiunge il supporto per una tecnologia all'avanguardia chiamata caricamento speculativo che può aiutare a migliorare le prestazioni del sito e migliorare l'esperienza utente per i visitatori del sito.

    Caricamento speculativo

    Rendering significa costruire l'intera pagina web in modo che venga visualizzata immediatamente (rendering). Quando il tuo browser scarica HTML, immagini e altre risorse e le mette insieme in una pagina web, si verifica il rendering. Il prerendering consiste nel mettere insieme quella pagina web (renderizzarla) in background.

    Ciò che fa questo plug-in è consentire al browser di eseguire il prerendering dell'intera pagina Web a cui un utente potrebbe navigare successivamente. Il plugin lo fa anticipando a quale pagina web l'utente potrebbe navigare in base al punto in cui si trova.

    L'API di caricamento speculativo risolve un problema che le soluzioni precedenti non potevano perché in passato si limitavano a precaricare risorse come JavaScript e CSS ma non a eseguire effettivamente il prerendering dell'intera pagina Web.

    L’annuncio ufficiale di WordPress lo spiega in questo modo:

    Presentazione dell'API delle regole di speculazione
    L'API Speculation Rules è una nuova API Web che risolve i problemi di cui sopra. Consente di definire regole per precaricare e/o prerenderizzare dinamicamente gli URL di una determinata struttura in base all'interazione dell'utente, nella sintassi JSON o, in altre parole, precaricare speculativamente tali URL prima della navigazione. Questa API può essere utilizzata, ad esempio, per prerenderizzare qualsiasi collegamento su una pagina ogni volta che l'utente ci passa sopra.”

    La pagina ufficiale di WordPress su questa nuova funzionalità la descrive:

    “L'API Speculation Rules è una nuova API web… Consente di definire regole per precaricare e/o prerenderizzare dinamicamente URL di determinate strutture in base all'interazione dell'utente, nella sintassi JSON o, in altre parole, precaricare speculativamente tali URL prima della navigazione.

    Questa API può essere utilizzata, ad esempio, per prerenderizzare qualsiasi collegamento su una pagina ogni volta che l'utente ci passa sopra. Inoltre, con l'API Speculation Rules, “prerendering” significa in realtà prerenderizzare l'intera pagina, inclusa l'esecuzione di JavaScript. Ciò può portare a tempi di caricamento quasi istantanei una volta che l'utente fa clic sul collegamento poiché molto probabilmente la pagina sarebbe già stata caricata nella sua interezza. Questa però è solo una delle possibili configurazioni”.

    Il nuovo plugin WordPress aggiunge il supporto per l'API Speculation Rules. Le pagine degli sviluppatori di Mozilla, una grande risorsa per la comprensione tecnica dell'HTML, lo descrivono in questo modo:

    “L’API Speculation Rules è progettata per migliorare le prestazioni per le navigazioni future. Si rivolge agli URL dei documenti anziché a file di risorse specifici, quindi ha senso per le applicazioni multipagina (MPA) piuttosto che per le applicazioni a pagina singola (SPA).

    L'API Speculation Rules fornisce un'alternativa a quelle ampiamente disponibili ed è progettato per sostituire la funzionalità deprecata solo per Chrome caratteristica. Fornisce molti miglioramenti rispetto a queste tecnologie, insieme a una sintassi più espressiva e configurabile per specificare quali documenti devono essere precaricati o prerenderizzati.

    Guarda anche: I siti web stanno diventando più veloci? Nuovi dati rivelano risultati contrastanti

    Plug-in Performance Lab

    Il nuovo plugin è stato sviluppato dal team ufficiale delle prestazioni di WordPress che occasionalmente lancia nuovi plugin affinché gli utenti possano testarli prima di una possibile inclusione nel core di WordPress. Quindi è una buona opportunità per essere i primi a provare nuove tecnologie prestazionali.

    Il nuovo plugin WordPress è impostato per impostazione predefinita per il prerendering degli “URL frontend WordPress” che sono pagine, post e pagine di archivio. Il modo in cui funziona può essere perfezionato nelle impostazioni:

    Settings > Reading > Speculative Loading

    Compatibilità del browser

    L'API Speculative è supportata da Chrome 108, tuttavia le regole specifiche utilizzate dal nuovo plug-in richiedono Chrome 121 o versione successiva. Chrome 121 è stato rilasciato all'inizio del 2024.

    I browser che non lo supportano ignoreranno semplicemente il plug-in e non avranno alcun effetto sull'esperienza dell'utente.

    Dai un'occhiata al nuovo plugin WordPress per il caricamento speculativo sviluppato dal team ufficiale delle prestazioni di WordPress.

    Scarica il plug-in:
    Plugin di caricamento speculativo del WordPress Performance Team

    Leggi l'annuncio su WordPress
    Caricamento speculativo in WordPress

    Guarda anche: WordPress, Wix e Squarespace mostrano il miglior tasso di miglioramento CWV

  • Cambiare dominio è difficile. Basta chiedere a WordPress – Domain Name Wire

    Cambiare dominio è difficile. Basta chiedere a WordPress – Domain Name Wire

    WooCommerce sta riportando il suo dominio su WooCommerce.com dopo le sfide SEO.

    Logo WooCommerce con Woo in una casella di citazione violaLogo WooCommerce con Woo in una casella di citazione viola

    Per tutti quelli che dicono che cambiare dominio è facile, quindi i prezzi di rinnovo del dominio non dovrebbe essere limitato

    WooCommerce, una società di proprietà del creatore di WordPress Automattic, sta avendo mal di testa dopo aver tentato di cambiare il proprio dominio da WooCommerce.com a Woo.com. Il problema è così grave che sta tornando a woocommerce.com.

    In un post sul blog di oggi, l'azienda dichiarato:

    Il passaggio a Woo.com ha creato difficoltà per i nostri utenti nel trovare WooCommerce nelle ricerche di Google, difficoltà ulteriormente aggravate in seguito all'aggiornamento di marzo di Google. Per affrontare queste sfide, abbiamo riunito un gruppo di esperti e consulenti SEO per valutare il modo migliore per rafforzare la forza del marchio WooCommerce. Crediamo collettivamente che il ritorno a WooCommerce.com fornirà i migliori risultati per WooCommerce e per la più ampia comunità Woo.

    Cambiare dominio è difficile anche per le aziende più esperte di tecnologia.

  • Il bug del plugin LayerSlider di WordPress rischia l’estrazione dell’hash della password

    Il bug del plugin LayerSlider di WordPress rischia l’estrazione dell’hash della password

    Una vulnerabilità critica nel plugin di WordPress LayerSlider potrebbe consentire agli aggressori non autenticati di estrarre gli hash delle password tramite SQL injection.

    Il bug, tracciato come CVE-2024-2879ha un punteggio CVSS di 9,8 e influisce sulle versioni di LayerSlider dalla 7.9.11 alla 7.10.0. Una patch per il difetto è stata resa disponibile per la prima volta il 27 marzo con il file rilascio di LayerSlider 7.10.1.

    LayerSlider è un plug-in per contenuti web visivi, progettazione grafica ed effetti visivi digitali con “milioni” di utenti in tutto il mondo, secondo il suo sito web.

    La vulnerabilità LayerSlider era scoperto e segnalato da AmrAwad durante il Bug Bounty Extravaganza di Wordfence il 25 marzo, guadagnando al ricercatore una taglia di $ 5.500, la più alta mai pagata da Wordfence.

    Il potenziale per l'iniezione SQL risiede nella funzione di LayerSlider per interrogare i markup dei popup dello slider. Se il parametro “id” della funzione “ls_get_popup_markup” non è un numero, non viene ripulito prima di essere passato alla funzione “trova”.

    Inoltre, mentre il plugin esegue l'escape dei valori $args utilizzando la funzione “esc_sql”, la chiave “where” è esclusa da questa funzione di escape e quindi gli input controllati dall'aggressore contenuti all'interno di “where” possono essere inclusi nelle query al database della vittima.

    Di conseguenza, un utente malintenzionato potrebbe creare una richiesta manipolando “id” e “dove” per estrarre informazioni sensibili, inclusi gli hash delle password, dal database.

    Tuttavia, le SQL injection basate su UNION non sono possibili quando si sfrutta questa vulnerabilità a causa della struttura delle query, quindi un utente malintenzionato dovrebbe fare il passo aggiuntivo includendo le istruzioni SQL CASE e il comando “SLEEP” nelle proprie richieste.

    Questo metodo, noto come blind SQL injection basato sul tempo, prevede l'estrazione indiretta dei dati monitorando il tempo di risposta del server del database in base alle istruzioni CASE vero/falso specificate e al tempo SLEEP.

    Interrogare ripetutamente il database con diverse condizioni CASE e osservare il tempo di risposta consente infine all'aggressore di determinare i valori contenuti nel database.

    “Si tratta di un metodo complicato, ma spesso efficace, per ottenere informazioni da un database quando si sfruttano le vulnerabilità SQL Injection”, ha affermato Wordfence nel suo post sul blog sulla vulnerabilità LayerSlider.

    I plugin WordPress vulnerabili sono un punto di ingresso popolare per gli autori delle minacce per estrarre dati o compromettere i siti WordPress. Ad esempio, un difetto di scripting cross-site nel plug-in Popup Builder, tracciato come CVE-2023-6000era sfruttato per diffondere il malware Balada Injector su più di 6.700 siti WordPress nel mese di gennaio.

    È stato utilizzato anche Balada Injector più di 9.000 siti vulnerabile al difetto del plugin TagDiv Composer tracciato come CVE-2023-3169 lo scorso ottobre. Complessivamente, secondo Sucuri, negli ultimi sei anni sono stati compromessi più di un milione di siti WordPress nella campagna Balada Injector.

  • Un Confronto Tra I Migliori Plugin Per Iscrizione WordPress (Gratuiti E A Pagamento)

    Un Confronto Tra I Migliori Plugin Per Iscrizione WordPress (Gratuiti E A Pagamento)

    I plugin per l’iscrizione a WordPress sono un ottimo modo per migliorare il tuo sito web e renderlo più prezioso. Il numero di soluzioni di abbonamento disponibili nel mercato odierno è travolgente. Esistono molte opzioni gratuite e a pagamento adatte a chiunque sia seriamente intenzionato a migliorare la propria presenza online!

    Che tu stia cercando di offrire contenuti esclusivi, creare una community dedicata o ottimizzare i tuoi servizi, questi plugin forniscono l'infrastruttura necessaria per trasformare la tua visione in realtà. Sono disponibili sia nella versione gratuita che in quella premium a pagamento. È importante considerare le funzionalità di ciascun plugin prima di fare la tua scelta. Devi cercare plugin che funzionino per il tuo sito web o che puoi modificare secondo necessità. Insieme a questo, puoi anche optare per a Piano di manutenzione WordPress da un'agenzia per garantire che il tuo sito web funzioni senza intoppi, con tutti gli aggiornamenti regolari, i backup e il monitoraggio del sito web.

    In questo post esamineremo i plugin di abbonamento WordPress gratuiti e a pagamento più popolari disponibili online.

    Quindi iniziamo.

    Cosa sono i plugin di abbonamento WordPress?

    I plugin di abbonamento WordPress sono strumenti specializzati che trasformano qualsiasi sito WordPress in una piattaforma di abbonamento altamente funzionale. Questi plugin consentono ai proprietari dei siti di limitare l'accesso ai contenuti, creare aree membri e offrire servizi basati su abbonamento.

    Integrando le funzionalità di abbonamento, consentono ai proprietari di siti Web di creare una comunità, generare entrate ricorrenti e fornire contenuti o servizi esclusivi agli utenti registrati o agli abbonati.

    Essenziali per la creazione di siti web dinamici e incentrati sull'utente, questi plugin sono la chiave per sbloccare un nuovo livello di coinvolgimento e monetizzazione per il tuo sito WordPress.

    6 migliori plugin per l'abbonamento WordPress (gratuiti e a pagamento)

    Ecco alcuni dei migliori plugin per l’abbonamento a WordPress.

    1: membro ultimo

    Ultimate Member è una soluzione completa per migliorare il tuo sito Web WordPress integrando ampie funzionalità di abbonamento.

    Il plug-in si distingue come plug-in WordPress di facile utilizzo che semplifica notevolmente l'aggiunta di funzionalità di iscrizione al tuo sito. Il plug-in è noto per la sua facilità d'uso e flessibilità, consentendo ai proprietari di siti di creare una solida comunità online o una piattaforma di abbonamento senza bisogno di alcuna conoscenza di programmazione.

    E la cosa migliore è che il plug-in offre un'interfaccia intuitiva che semplifica la gestione degli abbonamenti, dei ruoli utente e dell'accesso ai contenuti.

    Caratteristiche principali del plugin Ultimate Member

    • Il plugin ti consente di creare moduli di registrazione e profili utente personalizzabili.
    • Ti consente di limitare l'accesso ai contenuti in base ai ruoli utente.
    • Con questo plugin puoi creare directory dinamiche per i tuoi membri.
    • Il plug-in fornisce anche notifiche e-mail automatizzate per varie azioni.
    • La versione a pagamento del plugin ti consente di integrare una gamma di estensioni per migliorare la funzionalità.
    • Un generatore di moduli drag-and-drop, insieme a un'ampia gamma di tipi di campi modulo e campi predefiniti, semplificano la raccolta e la gestione dei dati utente.

    La versione a pagamento del plugin parte da $ 249 all'anno. Offre funzionalità aggiuntive come l'accesso a più estensioni, siti illimitati, supporto e-mail, ecc.

    2: Iscrizione semplice

    Simple Membership è un plugin per l'iscrizione a WordPress facilmente gestibile. Il plugin è facile da usare e offre un'ampia documentazione. Offre un modo semplice per fornire contenuti gratuiti e premium (tutorial, video, eBook, corsi) sul tuo sito web.

    È noto per la sua capacità di creare livelli di abbonamento illimitati (ad esempio, gratuito, argento e oro) e per la sua interfaccia intuitiva, che semplifica la protezione dei contenuti.

    Caratteristiche principali dell'abbonamento semplice

    • Ti dà la possibilità di crearlo di vari livelli di appartenenza.
    • Il plug-in consente la protezione di post e pagine, visualizzandoli esclusivamente ai membri.
    • Il plugin supporta PayPal, Stripe e Braintree sia per pagamenti una tantum che ricorrenti.
    • Include un registro completo di tutti i pagamenti dei membri per una facile amministrazione.
    • L'abbonamento semplice offre configurazioni di abbonamento sia gratuite che a pagamento, migliorando la flessibilità.
    • Il plugin ha alcuni dei migliori shortcode che puoi includere nel tuo sito web per creare varie funzionalità.
    • E' dotato di numerosi agganci azione e filtro per la personalizzazione.

    Simple Membership è principalmente un plug-in gratuito, che supporta le funzionalità essenziali del sito di iscrizione senza alcun costo. Se desideri funzionalità più avanzate o integrazioni specifiche, puoi acquistare componenti aggiuntivi.

    3: Membri del WP

    WP-Members è un robusto plugin per WordPress progettato per integrare perfettamente le funzionalità di abbonamento nel tuo sito. Il plug-in consente di contrassegnare i contenuti classificati come riservati o nascosti, limitando così l'accesso agli utenti registrati.

    Offre una configurazione flessibile per gestire contenuti gratuiti e premium, garantendo che solo i membri registrati abbiano accesso. Il plugin supporta livelli di abbonamento illimitati, facilitando un sistema di abbonamento diversificato e gerarchico.

    Caratteristiche principali dei membri WP

    • Il plugin ti consente di includere login utente, registrazione e profilo nel tuo tema.
    • Ti consente di creare campi di registrazione e profilo personalizzati.
    • Offre una vasta gamma di codici brevi, comprese funzionalità come accesso, registrazione, limitazione dei contenuti, ecc.
    • Il plugin fornisce oltre 120 azioni e hook di filtro per realizzare personalizzazioni robuste.
    • Viene fornito con un'ampia libreria di funzioni API per l'estensibilità.

    Prezzi

    Il plugin è assolutamente gratuito. Offre anche un pacchetto Pro che comprende estensioni premium e supporto di prim'ordine.

    4: MemberPress

    MemberPress è un plug-in di abbonamento premium per WordPress. È un plug-in di abbonamento ricco di funzionalità, flessibile e potente. Rinomato per la sua semplicità e le sue robuste funzionalità,

    MemberPress consente ai proprietari dei siti di controllare l'accesso ai propri contenuti, gestire abbonamenti e vendere prodotti digitali, il tutto in un ambiente sicuro.

    Caratteristiche principali di MemberPress

    • Il plugin ti consente di assegnare a qualsiasi utente un ruolo in più.
    • Ti fornisce codici brevi per controllare come puoi accedere al contenuto.
    • Ti consente di negare funzionalità particolari a ruoli utente specifici.
    • MemberPress fornisce un widget del modulo di accesso e un widget utente per visualizzare lo stesso nelle barre laterali del tema.
    • La funzionalità di editor dei ruoli del plug-in ti consente di modificare, creare ed eliminare ruoli e funzionalità per più ruoli.
    • Puoi integrare ruoli e funzionalità personalizzati di vari plugin in MemberPress.

    Prezzi

    MemberPress offre diversi piani tariffari per soddisfare le diverse esigenze, dai principianti alle aziende affermate. Ogni piano è progettato per offrire valore al tuo investimento e ti consente di eseguire l'aggiornamento man mano che il tuo sito cresce.

    Il prezzo di MemberPress parte da $ 179,50 all'anno per la versione base e arriva fino a $ 499,50 all'anno per la versione Elite.

    5: Abbonamento a pagamento Pro

    Abbonamenti a pagamento Pro è un versatile plugin WordPress progettato per la creazione di siti di abbonamento. Consente la limitazione dei contenuti, la registrazione degli utenti e gestisce in modo efficiente gli abbonamenti a pagamento. In breve, il plugin offre tutto ciò di cui hai bisogno per creare siti di appartenenza.

    Caratteristiche principali dell'abbonamento a pagamento Pro

    • Il plugin offre 28 modi diversi per limitare i contenuti del tuo sito web.
    • Offre molteplici funzionalità di gestione delle iscrizioni, come livelli illimitati, iscrizioni a gruppi, profili personalizzabili e comunicazioni e-mail dettagliate.
    • L'abbonamento a pagamento Pro include varie integrazioni di e-commerce e pagamenti. Ciò include Stripe, PayPal e altri per pagamenti una tantum o ricorrenti.
    • Offre funzionalità di esperienza utente fluide, come profili front-end, dashboard di abbonamento e menu di navigazione condizionale.
    • Con questo plugin puoi estendere la funzionalità del sito web, utilizzando vari page builder, temi e pagine di destinazione.
    • La versione premium del plugin offre funzionalità aggiuntive, come aggiornamenti automatici, tessere associative, ricette di personalizzazione avanzate e altro ancora.

    Prezzi

    Abbonamenti a pagamento Pro offre una versione gratuita con funzionalità complete. I piani premium forniscono opzioni avanzate e supporto dedicato, adatti a diverse scale aziendali. Il prezzo del piano standard è di $ 247 all'anno per un singolo sito e $ 397 per due siti. Oltre a questo, esiste anche un piano aziendale, che costa in base alle vostre esigenze.

    6: Abbonamenti WooCommerce

    WooCommerce Memberships è un altro plugin per gli abbonamenti che si rivolge soprattutto ai siti WooCommerce. È facile da usare e offre una soluzione di abbonamento a livello di sito che riunisce contenuti, negozio e iscrizione.

    E la cosa migliore del plugin è che ti consente di creare un sistema di abbonamento completo legato al tuo negozio online.

    Caratteristiche principali degli abbonamenti WooCommerce

    • Con questo plugin puoi vendere o assegnare abbonamenti. Qui i piani di abbonamento vengono creati appositamente per i prodotti. Offre diversi tipi di abbonamento ed è possibile assegnare 0 o più prodotti in un abbonamento in base ai requisiti.
    • Questo plugin ti consente di concedere strategicamente l'accesso al contenuto. Viene fornito con una funzione di contenuto drip, in cui fornisci l'accesso ai contenuti per un determinato periodo di tempo.
    • Ti consente anche di limitare la visualizzazione dei prodotti ai membri e di limitare l'acquisto dei prodotti solo ai membri. Con questo plugin solo i membri possono acquistarli.
    • Con questo plugin puoi offrire migliori opzioni di spedizione ai membri.
    • Questo plugin offre varie altre funzionalità essenziali, come l'importazione/esportazione dei membri, inclusi sconti speciali per i membri e altro ancora.

    Prezzi

    Il plug-in di abbonamento WooCommerce costa $ 199 all'anno.

    Conclusione

    L'implementazione del giusto plugin per l'iscrizione a WordPress è essenziale per promuovere una comunità online o una piattaforma di contenuti dinamica e coinvolgente. Tutti gli strumenti disponibili nei plugin di abbonamento non solo semplificano la gestione degli accessi e i processi di abbonamento, ma sbloccano anche nuove strade per le entrate attraverso offerte di contenuti esclusivi e servizi per i membri.

    Selezionando attentamente un plug-in di abbonamento WordPress in linea con i tuoi requisiti specifici e obiettivi di crescita, puoi garantire una solida base per il tuo sito di abbonamento, migliorando sia la soddisfazione degli utenti che il successo aziendale.

    Ma se non hai mai utilizzato un plug-in per l'iscrizione prima, la cosa fondamentale da ricordare è che ci sono professionisti là fuori che sanno come utilizzare questi plug-in e sono disponibili per aiutarti. Che si tratti di un esperto di WordPress o di un Agenzia di sviluppo WordPress white labelnon aver paura di contattarli se hai bisogno di aiuto con i plugin di abbonamento.

    Ronik PatelRonik Patel

    Biografia dell'autore

    Ronik Patel è CEO e fondatore di UnlimitedWP, un'agenzia di sviluppo WordPress White Label con sede a Boston, negli Stati Uniti, che offre attività WordPress illimitate per agenzie digitali e web a un costo mensile fisso.







  • Il plug-in WordPress SQL Injection espone 1 milione di siti agli attacchi informatici

    Il plug-in WordPress SQL Injection espone 1 milione di siti agli attacchi informatici

    Oltre un milione di siti Web WordPress sono stati a rischio a causa di un problema critico SQL Injection vulnerabilità scoperta nel popolare plugin LayerSlider.

    La falla, CVE-2024-2879, potrebbe consentire ad aggressori non autenticati di estrarre dati sensibili, inclusi gli hash delle password, dai database dei siti web.

    Alla vulnerabilità, tracciata con l'identificatore CVE-2024-2879, è stato assegnato un punteggio CVSS di 9,8, classificandola come critica.

    Documento

    Esegui ThreatScan gratuito sulla tua casella di posta

    La protezione avanzata dalle minacce di Trustifi previene il più ampio spettro di attacchi sofisticati prima che raggiungano la casella di posta di un utente. Prova la scansione gratuita delle minacce di Trustifi con la sofisticata protezione e-mail basata sull'intelligenza artificiale.

    Il punteggio Common Vulnerability Scoring System (CVSS) riflette la gravità del rischio, con questo punteggio particolare che indica che la vulnerabilità potrebbe avere un impatto devastante sui siti Web interessati.

    La falla di sicurezza è stata segnalata in modo responsabile da un ricercatore di nome AmrAwad attraverso il programma Wordfence Bug Bounty.

    AmrAwad ha guadagnato $ 5.500,00, la vincita più alta nella storia del programma.

    La scoperta sottolinea l’importanza degli sforzi di collaborazione tra ricercatori di sicurezza e aziende per migliorare la sicurezza del web.

    Un recente tweet di Wordfence ha condiviso che è stata rivelata la vulnerabilità SQL Injection nel plug-in LayerSlider.

    Ripartizione tecnica

    L'analisi tecnica della vulnerabilità ha rivelato che le versioni del plugin LayerSlider da 7.9.11 a 7.10.0 erano suscettibili a SQL Injection tramite l'azione ls_get_popup_markup.

    function ls_get_popup_markup() {

    $id     = is_numeric( $_GET['id'] ) ? (int) $_GET['id'] : $_GET['id'];

    $popup = LS_Sliders::find( $id );

    if( $popup ) {

        $GLOBALS['lsAjaxOverridePopupSettings'] = true;

        $parts  = LS_Shortcode::generateSliderMarkup( $popup );

        die( $parts['container'].$parts['markup'].'<script>'.$parts['init'].'</script>' );

    }

    die();

}

    Il difetto derivava da un'escape insufficiente dei parametri forniti dall'utente e da una preparazione inadeguata delle query SQL.

    Lo snippet di codice vulnerabile, come dettagliato nel file Rapporto Wordfencemostra come il parametro id potrebbe essere manipolato se non un numero, portando al potenziale per l'iniezione SQL.

    Risposta rapida e rilascio delle patch

    Alla notifica della vulnerabilità, il Team Kreatura, sviluppatori di LayerSlider, ha risposto prontamente.

    Hanno rilasciato una patch entro due giorni, con la versione aggiornata 7.10.1 che risolve il problema di sicurezza. Gli utenti sono invitati ad aggiornare i propri siti con quest'ultima versione il prima possibile per mitigare il rischio.

    Wordfence ha assicurato ai suoi utenti, compresi quelli con i piani Premium, Care e Response e quelli che utilizzano la versione gratuita di collegare, che siano protetti contro gli exploit che prendono di mira questa vulnerabilità.

    La protezione SQL Injection integrata nel firewall Wordfence è progettata per rilevare e bloccare query SQL dannose.

    Protezione firewall Wordfence

    L'iniezione SQL vulnerabilità all'interno di LayerSlider rappresentava una minaccia significativa per oltre un milione di siti WordPress. Tuttavia, la crisi è stata evitata grazie alle azioni rapide del ricercatore di sicurezza e del team Kreatura.

    Mantenere aggiornate le misure di sicurezza di tutte le piattaforme web è un promemoria fondamentale.

    Gli utenti di WordPress sono incoraggiati a controllare i propri siti e ad assicurarsi che eseguano la versione completa di LayerSlider. Si consiglia inoltre di condividere questo avviso con altri che utilizzano il plug-in per mantenere un ambiente Web sicuro.

    Rimani aggiornato su notizie, whitepaper e infografiche sulla sicurezza informatica. Seguici su LinkedIn & Twitter.

  • Un difetto critico nel plugin LayerSlider WordPress ha un impatto su 1 milione di siti

    Un difetto critico nel plugin LayerSlider WordPress ha un impatto su 1 milione di siti

    Un plugin WordPress premium denominato LayerSlider, utilizzato in oltre un milione di siti, è vulnerabile all’iniezione SQL non autenticata, richiedendo agli amministratori di dare priorità all’applicazione degli aggiornamenti di sicurezza per il plugin.

    LayerSlider è uno strumento versatile per creare slider reattivi, gallerie di immagini e animazioni su siti WordPress, consentendo agli utenti di creare elementi visivamente accattivanti con contenuti dinamici su piattaforme online.


    Il ricercatore AmrAwad ha scoperto il difetto critico (punteggio CVSS: 9,8), tracciato come CVE-2024-2879, il 25 marzo 2024 e lo ha segnalato alla società di sicurezza WordPress Wordfence tramite il suo programma bug bounty. Per il suo lavoro responsabile, AmrAwad ha ricevuto una taglia di 5.500 dollari.

    La falla, che colpisce le versioni dalla 7.9.11 alla 7.10.0 del plugin, potrebbe consentire agli aggressori di estrarre dati sensibili, come gli hash delle password, dal database del sito, mettendoli a rischio di acquisizione completa o violazione dei dati.

    Dettagli tecnici forniti in Il rapporto di Wordfence rivelare che la vulnerabilità esisteva nella gestione del parametro “id” da parte della funzione “ls_get_popup_markup” del plugin.

    Questa funzione non riesce a disinfettare correttamente il parametro “id”, consentendo agli aggressori di inserire codice SQL dannoso in query appositamente predisposte, con conseguente esecuzione di comandi.

    Parte del codice vulnerabile (Parole)

    La struttura delle possibili query limita l'attacco alla blind SQL injection basata sul tempo, il che significa che gli aggressori devono rispettare i tempi di risposta per dedurre i dati dal database.

    Nonostante questa limitazione, CVE-2024-2879 consente comunque ad autori malintenzionati di estrarre informazioni dal database del sito senza richiedere alcuna autenticazione sul sito, inclusi hash delle password e informazioni sensibili dell'utente.

    Wordfence spiega che il problema è ulteriormente aggravato perché le query non vengono preparate utilizzando la funzione “$wpdb->prepare()” di WordPress, che impedisce l'iniezione SQL garantendo che l'input dell'utente venga ripulito prima di essere utilizzato nelle query del database.

    Il creatore del plugin, Kreatura Team, è stato immediatamente informato del difetto e ha subito preso atto della segnalazione. Gli sviluppatori hanno rilasciato un aggiornamento di sicurezza il 27 marzo 2024, meno di 48 ore dopo il contatto iniziale.

    Si consiglia a tutti gli utenti di LayerSlider di eseguire l'aggiornamento alla versione 7.10.1, che risolve la vulnerabilità critica.

    In generale, è importante che gli amministratori dei siti WordPress mantengano aggiornati tutti i plug-in, disabilitino quelli non necessari, utilizzino password di account complesse e disattivino gli account dormienti che possono essere violati.

  • Vulnerabilità del plugin WordPress abusata nell'exploit Zero-Day

    Vulnerabilità del plugin WordPress abusata nell'exploit Zero-Day

    Una vulnerabilità all'interno del plugin WordPress premium WPGateway è stata sfruttata da autori di minacce, come scoperto e segnalato dagli analisti della sicurezza di WordFence.



    La vulnerabilità del plugin WPGateway è stata sfruttata

    Il 13 settembre 2022, il team di Threat Intelligence di WordFence riportato in un post sul blog che una vulnerabilità di sicurezza all'interno del plugin premium WPGateway è stata sfruttata in libertà da soggetti malintenzionati.


    WPGateway può essere utilizzato sui siti WordPress per installare ed eseguire il backup di siti, nonché gestire e clonare temi e plug-in. Consente agli amministratori del sito Web di eseguire azioni più facilmente.

    La vulnerabilità, nota come CVE-2022-3180, ha portato all'attacco di oltre 280.000 siti Web che utilizzano il plug-in WPGateway. Questo può essere fatto aggiungendo un amministratore canaglia e dannoso a un dato sito, che di solito si chiama “rangex”. In questo modo l'aggressore può impossessarsi della pagina presa di mira e farne ciò che desidera.

    WordFence afferma che milioni di attacchi sono stati bloccati

    logo WordPress in acqua

    Nel suddetto post sul blog, WordFence ha affermato che sono già stati bloccati oltre 4,6 milioni di attacchi che sfruttano la vulnerabilità CVE-2022-3180. Tuttavia, molti siti sono stati comunque violati con successo tramite questo metodo exploit zero-day.


    Al momento in cui scrivo, WordFence mantiene la bocca chiusa riguardo al problema, avendo rilasciato solo informazioni limitate sugli attacchi. Non è noto se nel prossimo futuro verranno rilasciate informazioni relative al lato tecnico dell'exploit.

    WPGateway non è il primo plugin WordPress ad essere sfruttato

    Vulnerabilità dei plugin non sono una novità per WordPress. Pochi giorni prima che WordFence annunciasse l’exploit WPGateway, anche un altro plugin di WordPress, noto come BackupBuddy, è stato sfruttato tramite una falla zero-day. La preoccupazione maggiore nell’ambito di questa minaccia alla sicurezza era il furto di dati sensibili dai siti Web interessati.

    WordFence è stato anche in grado di bloccare milioni di attacchi derivanti da questa vulnerabilità zero-day, sebbene alcuni siti siano stati comunque presi di mira con successo.

    Le minacce alla sicurezza di WordPress sono un problema di vecchia data

    Esistono diversi modi attraverso i quali un utente malintenzionato può prendere di mira e attaccare qualsiasi sito Web WordPress. Questo è il motivo per cui è fondamentale che gli amministratori dei siti WordPress utilizzino misure di sicurezza adeguate per evitare tali rischi.

  • [AL-035] Vulnerabilità critica nel plugin LayerSlider di WordPress

    [AL-035] Vulnerabilità critica nel plugin LayerSlider di WordPress

    LayerSlider ha rilasciato aggiornamenti per risolvere una vulnerabilità critica (CVE-2024-2879) che interessa il plugin LayerSlider per WordPress. La vulnerabilità ha un punteggio Common Vulnerability Scoring System (CVSSv3) di 9,8 su 10.

    Il plug-in LayerSlider è un editor di contenuti Web visivi, un software di progettazione grafica e un'applicazione di effetti visivi digitali che consente agli utenti di creare animazioni e contenuti avanzati per i propri siti Web.

    Lo sfruttamento efficace della vulnerabilità SQL injection potrebbe consentire agli aggressori non autenticati di aggiungere ulteriori query SQL a query già esistenti che possono essere utilizzate per estrarre informazioni sensibili come gli hash delle password dal database.

    La vulnerabilità colpisce le versioni di LayerSlider dalla 7.9.11 alla 7.10.0 inclusa.

    Si consiglia agli utenti e agli amministratori delle versioni dei prodotti interessate di eseguire immediatamente l'aggiornamento alla versione più recente.

    Maggiori informazioni sono disponibili qui:

  • Migliori concorrenti e alternative Shopify (2024) – Consulente Forbes

    Migliori concorrenti e alternative Shopify (2024) – Consulente Forbes

    Prezzi e commissioni

    La prima cosa da considerare quando si sceglie un'alternativa a Shopify è il prezzo. Sebbene molte delle piattaforme che abbiamo esaminato offrano un piano gratuito, tutte hanno piani a pagamento con prezzi variabili. Se hai appena iniziato con il tuo negozio online, potresti voler iniziare con un piano gratuito per vedere come funziona la piattaforma per te. Ma se sei seriamente intenzionato a far crescere la tua attività, alla fine dovrai passare a un piano a pagamento.

    Un'altra considerazione sono le commissioni. La piattaforma addebita sia una tariffa mensile che commissioni di elaborazione o di transazione su ogni acquisto? Devi utilizzare un gateway di pagamento separato o puoi utilizzare l'elaborazione dei pagamenti integrata nella piattaforma? Queste sono domande importanti da porsi quando si valutano i prezzi.

    Ospitando

    Un'altra considerazione importante è l'hosting. Alcune piattaforme, come Shopify e Wix, includono l'hosting come parte del canone di abbonamento mensile. Altri, come Ecwid e WooCommerce, non includono l'hosting ma semplificano la configurazione del tuo negozio su una piattaforma di hosting, come WordPress.

    Se non sei sicuro di quale sia l'opzione giusta per te, pensa a quanto controllo desideri sull'hosting del tuo negozio. Se vuoi che la piattaforma gestisca tutto, allora una soluzione ospitata come Shopify o Squarespace potrebbe essere la scelta giusta. Ma se ti senti a tuo agio nel configurare il tuo hosting, allora una soluzione self-hosted come WooCommerce potrebbe essere un'opzione migliore.

    Temi e opzioni di progettazione

    Quando crei il tuo negozio online, vuoi che abbia un aspetto professionale e di marca. Ciò significa scegliere una piattaforma con una vasta gamma di temi e opzioni di design. Alcune piattaforme, come Shopify e Wix, offrono centinaia di temi tra cui scegliere. Altri, come Ecwid e Squarespace, offrono una selezione più piccola di temi ma ti consentono di personalizzare maggiormente il design del tuo negozio.

    Pensa a quanto sia importante il design per la tua attività. Se desideri un'ampia selezione di temi tra cui scegliere, una piattaforma personalizzabile potrebbe essere la scelta giusta. E se ti senti a tuo agio nel lavorare con il codice e desideri un maggiore controllo sulla progettazione del tuo negozio, allora una piattaforma con open source o API potrebbe essere l'opzione migliore. Con questi tipi di piattaforme, puoi spesso trovare temi forniti dalla piattaforma, assumere un web designer o persino acquistare un tema già pronto da un mercato come Etsy.

    Facilità d'uso

    Un'altra considerazione importante è la facilità d'uso. Desideri una piattaforma facile da configurare e utilizzare, soprattutto se sei nuovo nell'e-commerce. Anche se non sei nuovo all'e-commerce e stai semplicemente cercando di migrare su una nuova piattaforma, valuta se esiste un servizio di migrazione o una guida passo passo per il trasferimento sulla tua nuova piattaforma. L'ultima cosa che vuoi è una piattaforma così complessa che ci vogliono settimane o mesi per impararla.

    Per valutare la facilità d'uso, approfitta delle prove gratuite e delle demo offerte da varie piattaforme. Considera quanto tempo ci vuole per configurare un negozio di base, quanto è facile aggiungere prodotti e categorie e quanto è intuitiva l'interfaccia della piattaforma.

    Sicurezza

    Quando gestisci un negozio online, la sicurezza è sempre una delle principali preoccupazioni. Vuoi assicurarti che i dati dei tuoi clienti siano sicuri e protetti e che il tuo negozio sia protetto dagli hacker. Per valutare la sicurezza, cerca una piattaforma che offra funzionalità come la crittografia SSL e la conformità PCI. La crittografia SSL è importante per proteggere i dati dei tuoi clienti, mentre la conformità PCI garantisce che il tuo negozio sia sicuro dagli hacker.

    Dovresti anche cercare una piattaforma che venga regolarmente aggiornata con le ultime patch di sicurezza. Ciò aiuta a garantire che il tuo negozio sia sempre protetto dalle minacce più recenti.

    Opzioni di elaborazione dei pagamenti

    Abbiamo accennato ai gateway di pagamento nella sezione prezzi e commissioni, ma vale la pena menzionarli ancora. Ti consigliamo di assicurarti che la piattaforma scelta offra un'ampia gamma di opzioni di elaborazione dei pagamenti. Ciò include carte di credito e debito, nonché fornitori di pagamenti popolari come PayPal, Stripe o Apple Pay.

    Dovresti anche considerare se la piattaforma offre funzionalità aggiuntive, come la possibilità di impostare pagamenti basati su abbonamento o ordini ricorrenti. Queste funzionalità possono essere molto preziose per le aziende che vendono prodotti o servizi su base ricorrente.

    Funzionalità SEO

    Se vuoi che il tuo negozio abbia successo, devi assicurarti che sia visibile ai potenziali clienti. Ciò significa ottimizzare il tuo sito per i motori di ricerca come Google. Per valutare le funzionalità SEO di una piattaforma, cerca funzionalità come blog integrato, URL personalizzabili, meta tag e pulsanti di condivisione sui social. Queste funzionalità ti aiuteranno a ottimizzare il tuo sito per i motori di ricerca e ad indirizzare traffico al tuo negozio.

    Dovresti anche considerare se la piattaforma offre funzionalità aggiuntive che possono aiutare con la SEO, come la possibilità di creare pagine personalizzate o aggiungere dati strutturati. Queste funzionalità possono aiutarti a migliorare il posizionamento del tuo sito nei risultati di ricerca e ottenere più traffico verso il tuo negozio.

    Servizio Clienti

    Infine, ti consigliamo di considerare l'assistenza clienti quando scegli una piattaforma di e-commerce. Di tanto in tanto le cose andranno inevitabilmente storte e dovrai poter fare affidamento sul team di assistenza clienti della tua piattaforma per aiutarti a risolvere eventuali problemi.

    Per valutare l'assistenza clienti, cerca funzionalità come supporto 24 ore su 24, 7 giorni su 7, chat dal vivo, gruppo di supporto della community, supporto via email e una knowledge base. Queste funzionalità ti aiuteranno a ottenere l'aiuto di cui hai bisogno quando ne hai bisogno. Dovresti anche considerare la qualità del team di assistenza clienti. Cerca le recensioni di altri utenti per vedere come sono state le loro esperienze. Le loro promesse di marketing sono all’altezza delle aspettative?