Le versioni obsolete di tre popolari plugin di WordPress soffrono di una vulnerabilità zero-day “critica” che consente a un utente malintenzionato di prendere il controllo di un sito web.
Insieme, questi plugin hanno una base utenti combinata di oltre 21.000 clienti WordPress. Tutti e tre hanno già ricevuto una soluzione per il problema di sicurezza, che è classificato “Critico” con un punteggio CVSS di 9,8.
Allora perché un punteggio così alto? Brad Haas, analista senior della sicurezza presso Wordfence, ha la risposta:
“Questa vulnerabilità ha consentito agli aggressori di fare in modo che un sito Web vulnerabile recuperasse un file remoto (una backdoor PHP) e lo salvasse in una posizione di loro scelta. Non richiedeva autenticazione o privilegi elevati. Per i siti che eseguono Flickr Gallery, gli aggressori dovevano solo inviare l’exploit come richiesta POST all’URL principale del sito. Per gli altri due plugin, la richiesta andrebbe a admin-ajax.php. Se l’aggressore fosse in grado di accedere alla propria backdoor, potrebbe prendere completamente il controllo del sito vulnerabile.”
Haas e i suoi colleghi si sono imbattuti nella vulnerabilità mentre stavano ripulendo un sito web compromesso. Sì, ciò significa che gli aggressori stanno sfruttando la falla in natura. Quindi non c’è tempo da perdere.
I clienti Premium di Wordfence sono già protetti dalle regole firewall aggiornate del plug-in di sicurezza WordPress. Altri utenti farebbero bene ad assicurarsi di aver aggiornato tutti i loro plugin se ritengono di essere a rischio.
Naturalmente, assicurarsi che i plugin di WordPress siano regolarmente aggiornati per proteggerli dalle vulnerabilità note è sempre un consiglio sensato. Se amministri il tuo sito Web WordPress, assicurati di mantenere aggiornati i plug-in.
Ce ne sono sicuramente statoAbbastanzaDiloro negli ultimi anni, quindi è bene prendere l’abitudine in futuro se non l’hai già fatto.
David Bisson è un drogato di notizie sulla sicurezza informatica e giornalista di sicurezza. Lavora come redattore collaboratore per Graham Cluley Security News e redattore associato per il blog “The State of Security” di Tripwire.
Nuovo Carrello magico gli attacchi comportano l’implementazione di un plugin WordPress dannoso che consente la creazione fraudolenta di utenti amministratori e l’esfiltrazione dei dati delle carte di credito nei siti Web di e-commerce, Le notizie sugli hacker rapporti. Dopo essere stato installato tramite un utente amministratore compromesso o tramite lo sfruttamento di bug del plug-in, il nuovo plug-in, che pretende di essere “Componenti aggiuntivi WordPress Cache”, esegue l’auto-replica nella directory dei plug-in obbligatori, o mu-plugins, per eludere il rilevamento, stabilire e nascondere gli account degli utenti amministratori, distribuire backdoor per il furto di carte di credito e facilitare l’esfiltrazione di dati, secondo un rapporto di Sucuri. “Poiché molte infezioni di WordPress si verificano da parte di utenti amministratori wp-admin compromessi, è logico che abbiano dovuto lavorare entro i limiti dei livelli di accesso di cui dispongono, e l’installazione di plugin è sicuramente una delle abilità chiave che gli amministratori di WordPress possiedono “, ha detto Ben Martin, ricercatore sulla sicurezza di Sucuri. Tale segnalazione sul plugin fraudolento di WordPress fa seguito alla scoperta da parte dell’azienda di una falsa patch di WordPress che mirava a consentire l’accesso remoto persistente.
UN WordPress plugin con oltre 2 milioni di installazioni attive ha lasciato i suoi utenti esposti a un’allarmante falla di sicurezza. Il popolare plug-in Advanced Custom Fields (ACF) di WP Engine consente agli amministratori di WordPress di aggiungere campi personalizzati nei loro siti per un’esperienza migliorata del sistema di gestione dei contenuti. Tuttavia, se lasciato senza patch, questo plugin presenta una vulnerabilità XSS (Cross Site Scripting) di “gravità elevata”.
Prima di proseguire, è importante notare che il plug-in Advanced Custom Fields è stato aggiornato con il rilascio di versione 6.1.6ed è per questo che i ricercatori sulla sicurezza possono ora parlare apertamente del difetto principale.
La vulnerabilità XSS riflessa del plug-in ACF consentirebbe agli utenti non autorizzati del sito di rubare potenzialmente informazioni sensibili. Era possibile che un utente malintenzionato potesse sfruttare la vulnerabilità del plug-in per iniettare script dannosi, come reindirizzamenti, pubblicità e altri payload HTML. Successivamente, quando gli ospiti visitavano il sito che era stato manomesso, gli script dannosi potevano essere eseguiti.
Tuttavia, sfruttare il difetto del plugin non è un compito banale. Per compiere le proprie azioni sporche, un attore malintenzionato deve prepararsi e indulgere in qualche sotterfugio. La vulnerabilità XSS riflessa richiede che un potenziale utente malintenzionato lo faccia ingannare un utente privilegiato a visitare un percorso URL predisposto sul sito. Solo successivamente, dopo aver ottenuto privilegi escalation, sono in grado di iniziare a iniettare codice a causa della vulnerabilità nelle versioni ACF precedenti alla 6.1.6.
WordPress è uno dei sistemi di gestione dei contenuti (CMS) più popolari disponibili, rappresenta oltre il 40% dei contenuti sul web ed è quindi un grande bersaglio per gli hacker. Oltre al codice CMS principale, le installazioni di WordPress sono solitamente piene di codice personalizzato sotto forma di temi, estensioni e plugin. Tutti questi componenti, compreso il server di hosting, espongono una superficie di attacco molto ampia per hacker e malintenzionati.
Negli ultimi anni gli sviluppatori di WordPress e dei plugin di sicurezza hanno fatto molto per chiudere le vulnerabilità con aggiornamenti automatici e altro ancora, ma l’apertura del sistema, il numero di plugin, le persone che trascurano le loro proprietà online e altro ancora possono significare che possedere un sito WordPress è come far funzionare una macchina digitale “colpisci la talpa”.
I siti web sulla piattaforma WordPress possono migliorare il posizionamento nei motori di ricerca accedendo a una varietà di plugin gratuiti.
Ecco un elenco di plugin di ottimizzazione per i motori di ricerca per WordPress. Esistono plug-in all-in-one che forniscono una varietà di strumenti e, anche, plug-in per migliorare aree specifiche relative alla ricerca, come la velocità del sito, i tag e l’ottimizzazione delle immagini. Tutti questi strumenti sono gratuiti, anche se molti hanno anche versioni premium.
Plugin SEO per WordPress
Ottimo SEO è un popolare plugin SEO multiuso per WordPress, con oltre 5 milioni di installazioni attive. Yoast fornisce contenuti e Analisi SEOconsentendoti di ottimizzare parole chiave, frasi, sinonimi e parole chiave correlate. Utilizza modelli di titolo e meta-descrizione per un migliore branding e snippet coerenti nei risultati di ricerca. Evita contenuti duplicati impostando URL canonici. Visualizza in anteprima come appariranno le tue inserzioni nei risultati di ricerca.
Ottimo SEO
Pacchetto SEO tutto in uno, un altro popolare plugin SEO completo, ha oltre 2 milioni di installazioni attive. Invia la tua mappa del sito a Google e Bing. Notifica automaticamente ai motori di ricerca le modifiche al sito. Utilizza URL canonici avanzati. Supporta pagine mobili accelerate, Google Analytics, WooCommerce e un’ampia gamma di plug-in aggiuntivi.
Cache totale W3 riduce i tempi di caricamento, migliora le prestazioni del sito Web e aumenta il posizionamento nei motori di ricerca. È dotato di gestione trasparente della rete di distribuzione dei contenuti, rendering progressivo ottimizzato e supporto mobile. Le funzionalità includono un miglioramento significativo delle prestazioni complessive del sito Web, visualizzazione istantanea di pagine ripetute, rendering migliorato, riduzione della larghezza di banda e altro ancora.
Mappe del sito XML di Google ti consente di creare speciali Mappe del sito XML per aiutare i motori di ricerca come Google, Bing e Yahoo a scoprire i tuoi URL. Inoltre avvisa tutti i principali motori di ricerca ogni volta che crei nuovi contenuti.
Mappe del sito XML di Google
Spazio di testa2 ti consente di gestire i metadati e gestire un’ampia gamma di attività SEO. Tagga i tuoi post, crea titoli e descrizioni personalizzati, cambia il tema, esegui plug-in disabilitati su pagine specifiche e altro ancora.
SEO definitivo è un plugin all-in-one con un ampio elenco di funzionalità, tra cui riscrittore di tag titolo, editor di meta description, deeplink Juggernaut, creatore di rich snippet, evidenziatore di autori, generatore di maschere di collegamento, Canonicalizer, monitor 404, permalink tweaker, editor di tag Meta Robot e altro ancora.
Compressione e ottimizzazione delle immagini Smush è uno strumento per ridimensionare, ottimizzare e comprimere tutte le tue immagini. Elimina i dati inutilizzati senza compromettere la qualità dell’immagine. Individua rapidamente le immagini che rallentano il tuo sito. Riduci automaticamente i tuoi allegati per una compressione rapida al momento del caricamento,
Compressione e ottimizzazione delle immagini Smush
WPMetaSEO consente il controllo sui meta contenuti e sulle immagini. Modifica in blocco tutti i meta in un’unica visualizzazione. Modifica meta nei contenuti con analisi SEO in tempo reale e genera mappe del sito XML e HTML. Aggiungi informazioni di monitoraggio di Google Analytics e visualizza statistiche in WordPress
Controllo collegamenti interrotti monitora il tuo sito Web per collegamenti interrotti in post, pagine, commenti, blog roll e campi personalizzati. Impedisci ai motori di ricerca di seguire collegamenti interrotti. Una volta installato, il plugin inizierà ad analizzare i tuoi post e altri contenuti, alla ricerca di collegamenti.
URL semplici ti consente di creare, gestire e monitorare i collegamenti in uscita dal tuo sito utilizzando tipi di post personalizzati e reindirizzamenti 301.
SEO SmartCrawl aumenta il posizionamento nelle ricerche e l’autorità del dominio su Google con la configurazione con un clic, mappe dei siti automatiche, condivisione social migliorata, un analizzatore di parole chiave e contenuti in tempo reale, scansioni e report. Controlla la leggibilità e la densità delle parole chiave di pagine e post e ottieni suggerimenti per ottimizzare i tuoi contenuti.
SEO SmartCrawl
Reindirizzamento è un popolare gestore di reindirizzamenti per WordPress. Gestisci i reindirizzamenti 301, monitora gli errori 404 e riordina eventuali questioni in sospeso sul tuo sito. Il plugin può anche essere configurato per monitorare quando i permalink di post o pagine vengono modificati e creare automaticamente un reindirizzamento al nuovo URL.
Immagini ottimizzate per il SEO il plugin ti consente di inserire dinamicamente e automaticamente contenuti SEO-friendly tag alt e titolo alle tue immagini Aggiungi tag alle immagini esistenti e alle immagini appena caricate.
Migliori Sitemap XML di Google WordPress è un plugin per aggiungere una mappa del sito di Google News al tuo indice della mappa del sito. La mappa del sito di notizie può essere utilizzata per eseguire il ping dei motori di ricerca individualmente. E ogni volta che pubblichi un post in una categoria di notizie, verrà eseguito il ping di tutti i motori di ricerca selezionati.
Ancora un altro plugin per articoli correlati mostra pagine, post e tipi di post personalizzati correlati al post corrente, presentando ai tuoi lettori altri contenuti pertinenti sul tuo sito. Visualizza anche i post correlati nei feed RSS con opzioni di visualizzazione personalizzate.
La comunità di sviluppo di WordPress combatte continuamente le minacce alla sicurezza. Il progetto Open Web Application Security è un esempio di mitigazione della sicurezza basata sulla comunità.
Oltre agli sforzi della comunità, ci sono molti plugin di sicurezza per WordPress. Ecco un elenco, di seguito. Sono disponibili plug-in per firewall, protezione antispam, autenticazione a due fattori e altro ancora. Tutti questi plugin sono gratuiti, anche se molti offrono funzionalità premium.
Plugin di sicurezza per WordPress
Autenticatore di Google è un plugin gratuito che fornisce l’autenticazione a due fattori a un sito web, garantendo nessun accesso non autorizzato. Prezzo: gratuito.
Autenticatore di Google
Blocco dell’accesso aiuta a prevenire i tentativi di forza bruta. Registra l’indirizzo IP e il timestamp di ogni tentativo di accesso non riuscito e quindi blocca gli indirizzi offensivi dopo un determinato numero di tentativi falliti. Prezzo: gratuito.
Sicurezza dei temi offre più di 30 modi per proteggere e proteggere un sito WordPress, tra cui l’autenticazione a due fattori, la pianificazione della scansione del malware, il rilevamento delle modifiche ai file, la modalità assente, l’accesso nascosto, i backup del database e altro ancora. Prezzo: gratuito. I piani premium partono da $ 52 al mese.
Sicurezza e firewall WP tutto in uno utilizza un sistema di classificazione dei punti di sicurezza per misurare il livello di protezione di un sito in base alle sue caratteristiche di sicurezza. Riduci i rischi verificando le vulnerabilità e implementando e applicando le più recenti pratiche e tecniche di sicurezza consigliate per WordPress. Prezzo: gratuito.
Sicurezza e firewall WP tutto in uno
WPfail2ban registra tutti i tentativi di accesso, riusciti o meno. Viene fornito con tre filtri per consentire una suddivisione tra ban immediato (hard) e approccio tradizionale (soft), con regole aggiuntive per configurazioni personalizzate. Prezzo: gratuito.
SecuPress gratuito è una sicurezza WordPress kit di strumenti da attivare per le scansioni manuali. Le funzionalità includono accessi anti-forza bruta, firewall, blocco IP, avvisi di sicurezza, scansioni di malware e blocco della geolocalizzazione. La versione Pro esegue scansioni automatizzate. Prezzo: gratuito. Pro costa $ 65 all’anno.
Difensore fornisce scansioni malware, un firewall e sicurezza di accesso con autenticazione a due fattori per bloccare attacchi di forza bruta, iniezioni SQL, scripting cross-site e altre vulnerabilità di WordPress. Defender inizia con un elenco di tecniche di rafforzamento con un clic per aggiungere livelli di protezione al tuo sito. Prezzo: gratuito. Ulteriore sicurezza grazie all’adesione a WPMU Dev.
Difensore
Sicurezza a prova di proiettile è una soluzione di sicurezza completa che include scanner di malware, firewall, sicurezza e monitoraggio dell’accesso, backup, anti-spam e altro ancora. La versione Pro include monitoraggio dei file in tempo reale, sistemi di quarantena e ripristino automatico, sistema di rilevamento delle intrusioni, firewall e altro ancora. Prezzo: gratuito. Il download del software Pro costa $ 69,95.
Wordfence include un firewall endpoint e uno scanner di malware, autenticazione a due fattori e un monitoraggio del traffico in tempo reale. Blocca gli aggressori in base all’IP o crea regole avanzate basate su intervallo IP, nome host, agente utente e referrer. La versione premium fornisce supporto avanzato, scansioni più frequenti, blocco della geolocalizzazione e aggiornamenti in tempo reale al “Threat Defense Feed” di Wordfence. Prezzo: gratuito. Il premio è di $ 99 all’anno.
Ninja della sicurezza fornisce circa 50 test di sicurezza e consente agli utenti di bloccare oltre 600 milioni di IP dannosi con un clic. Controlla il tuo sito per individuare eventuali vulnerabilità, problemi e buchi di sicurezza e adotta misure preventive contro gli attacchi. Ogni test viene spiegato, con istruzioni fornite su come riparare i problemi. La versione Pro include scansioni pianificate, correzioni automatizzate, supporto avanzato e altro ancora. Prezzo: gratuito. La versione Pro costa $ 8,99 al mese.
Ninja della sicurezza
Sicurezza anti-malware e firewall a forza bruta ti permette di correre una scansione completa per rimuovere automaticamente le minacce alla sicurezza note, gli script backdoor e le iniezioni di database. Impedisci al malware di sfruttare plugin con vulnerabilità note. Scarica gli aggiornamenti delle definizioni per proteggerti dalle nuove minacce. Prezzo: gratuito.
Nascondi il mio WP Ghost ti consente di proteggere il tuo sito Web WordPress nascondendo i percorsi di autenticazione come wp-admin, wp-login.php e wp-login. Modifica i percorsi comuni di WordPress per la migliore sicurezza contro i bot degli hacker. Prezzo: gratuito.
Cerber Sicurezza, scansione antispam e malware difende da attacchi di hacker, spam, trojan e malware. Rafforza WordPress con una serie di regole di sicurezza flessibili e algoritmi di sicurezza. Esegui lo scanner malware, il controllo dell’integrità e il monitoraggio dei file. Tieni traccia dell’attività degli utenti con notifiche flessibili tramite posta elettronica, dispositivi mobili e desktop. Blocca lo spam con il motore anti-spam e reCAPTCHA. Impedisci l’accesso con elenchi di accesso IP in bianco e nero. Configura una pianificazione per la scansione ricorrente automatizzata. Prezzo: gratuito. La versione Pro costa $ 29 al trimestre.
Cerber Sicurezza, scansione antispam e malware
Registro di controllo della sicurezza WP ti consente di tenere un registro delle attività della tua installazione di WordPress, incluso multisito. La versione premium ti consente di monitorare i visitatori e tenere traccia dell’attività in tempo reale. Prezzo: gratuito. Pro costa $ 89 all’anno.
Scudo di sicurezza è una soluzione facile da configurare che offre protezione dagli attacchi e invia avvisi solo quando necessario. Limita automaticamente i tentativi di accesso, blocca gli attacchi di forza bruta ed effettua la scansione dei file principali per rilevare modifiche dannose. Include autenticazione a due fattori, registrazione delle attività degli utenti, firewall, lista nera IP automatica e altro ancora. Prezzo: gratuito. Pro costa $ 12 all’anno.
WP Nascondi e potenzia la sicurezza ti consente di nascondere i file core di WordPress, la pagina di accesso e i percorsi di temi e plugin affinché non vengano visualizzati sul frontend. Prezzo: gratuito.
WP Nascondi e potenzia la sicurezza
Jetpack offre strumenti per migliorare la sicurezza, le prestazioni e la gestione del sito. La parte di sicurezza include funzionalità per la protezione dagli attacchi di forza bruta, backup del sito, autenticazione a due fattori, registro delle modifiche, scansione di malware e codici, risoluzione automatizzata delle minacce e altro ancora. Prezzo: gratuito. I piani premium partono da $ 39 all’anno.
Succhi di sicurezza è una suite che offre controllo delle attività di sicurezza, monitoraggio dell’integrità dei file, scansione remota del malware, monitoraggio della lista nera, rafforzamento della sicurezza, notifiche e azioni di sicurezza post-hacking. Prezzo: gratuito.
SSL davvero semplice rileva automaticamente le tue impostazioni e configura il tuo sito web per essere eseguito https. Il contenuto non sicuro viene risolto sostituendo http URL con https. Prezzo: gratuito. La versione Premium include funzionalità e supporto avanzati.
Il tuo sito web potrebbe essere facilmente violato se utilizzi “Componenti aggiuntivi definitivi per Beaver Builder,” O “Componenti aggiuntivi definitivi per Elementor” e non li hai aggiornati di recente alle ultime versioni disponibili.
I ricercatori di sicurezza hanno scoperto una vulnerabilità critica ma facile da sfruttare per bypassare l’autenticazione in entrambi i plugin WordPress premium ampiamente utilizzati che potrebbe consentire agli aggressori remoti di ottenere accesso amministrativo ai siti senza richiedere alcuna password.
La cosa più preoccupante è che gli aggressori opportunisti hanno già iniziato a sfruttare questa vulnerabilità in natura entro 2 giorni dalla sua scoperta per compromettere i siti Web WordPress vulnerabili e installare una backdoor dannosa per un accesso successivo.
Scopri le tattiche segrete che gli hacker utilizzano per diventare amministratori, come rilevarlo e bloccarlo prima che sia troppo tardi. Registrati oggi stesso al nostro webinar.
Entrambi i plugin vulnerabili, realizzati dalla società di sviluppo software Brainstorm Force, stanno attualmente alimentando centinaia di migliaia di siti Web WordPress utilizzando i framework Elementor e Beaver Builder, aiutando gli amministratori e i progettisti di siti Web a estendere la funzionalità dei loro siti Web con più widget, moduli e modelli di pagina.
Scoperto dai ricercatori del servizio sicurezza web MalCarela vulnerabilità risiede nel modo in cui entrambi i plugin consentono ai titolari di account WordPress, inclusi gli amministratori, di autenticarsi tramite i meccanismi di accesso di Facebook e Google.
Credito immagine: WebARX
Secondo l’avviso sulla vulnerabilità, a causa della mancanza di controlli nel metodo di autenticazione quando un utente accede tramite Facebook o Google, i plugin vulnerabili possono essere indotti con l’inganno a consentire agli utenti malintenzionati di accedere come qualsiasi altro utente preso di mira senza richiedere alcuna password.
“Tuttavia, i metodi di autenticazione di Facebook e Google non hanno verificato il token restituito da Facebook e Google e, poiché non richiedono una password, non è stato effettuato alcun controllo della password,” spiegato I ricercatori di WebARX, che hanno anche analizzato la falla e ne hanno confermato lo sfruttamento attivo.
“Per sfruttare la vulnerabilità, l’hacker deve utilizzare l’ID e-mail di un utente amministratore del sito. Nella maggior parte dei casi, queste informazioni possono essere recuperate abbastanza facilmente”, ha affermato MalCare.
In un’e-mail a The Hacker News, WebARX ha confermato che gli aggressori stanno abusando di questa falla per installare un falso plugin per le statistiche SEO dopo aver caricato un file tmp.zip sul server WordPress di destinazione, che alla fine rilascia un file backdoor wp-xmlrpc.php nella root directory del sito vulnerabile.
MalCare ha scoperto mercoledì questa vulnerabilità che colpisce le versioni dei plugin elencate di seguito e l’ha segnalata agli sviluppatori lo stesso giorno, che hanno poi risolto rapidamente il problema e rilasciato versioni patchate di entrambi in sole 7 ore.
Componenti aggiuntivi definitivi per Elementor <= 1.20.0
Componenti aggiuntivi definitivi per Beaver Builder <= 1.24.0
La vulnerabilità di bypass dell’autenticazione è stata risolta con il rilascio di “Ultimate Addons for Elementor versione 1.20.1” e “Componenti aggiuntivi definitivi per Beaver Builder versione 1.24.1,” che si consiglia vivamente di installare i siti Web interessati il prima possibile.
Hai trovato interessante questo articolo? Seguici su Twitter E LinkedIn per leggere i contenuti più esclusivi che pubblichiamo.
Se desideri che il tuo sito web venga caricato rapidamente su una piattaforma mobile, dovresti utilizzare la tecnologia Accelerated Mobile Pages (AMP).
Fortunatamente, è facile da fare se usi WordPress perché ce ne sono parecchi Plug-in AMP disponibile.
Ancora meglio: molti di loro lo sono gratuito.
Dovrai, tuttavia, investire del tempo per configurarli correttamente. Potrebbe anche essere necessario apportare alcune modifiche al design.
Tuttavia, ne vale la pena se Google premia il tuo sito con un posizionamento elevato nella ricerca mobile.
Nota veloce: prima di provare uno qualsiasi di questi plugin AMP per WordPress, assicurati di:
Crea una versione di backup del tuo sito web.
Assicurati che funzioni nel tuo ambiente di hosting.
Assicurati che corrisponda ai tuoi obiettivi per il sito.
Avere uno sviluppatore a portata di mano per assicurarsi che possa essere configurato correttamente.
Assicurati che funzioni con il tuo tema.
Ecco alcuni dei migliori plugin AMP per WordPress sul mercato.
1. Il plugin AMP ufficiale per WordPress
Se non sei sicuro di quale plugin scegliere in questo elenco, quasi sicuramente non puoi sbagliare con quello che è progettato dal progetto ufficiale AMP.
Ecco alcune delle sue capacità:
Supporto per temi principali: Il plugin è compatibile con i temi “core” (come Twenty Twenty).
Strumento di compatibilità: A volte non è possibile automatizzare l’inserimento del markup AMP. Quando ciò accade, il plugin mostrerà quali componenti stanno causando problemi in modo che tu possa risolverli manualmente.
Scuotimento dell’albero CSS: Lo strumento rimuoverà i fogli di stile a cascata (CSS) non utilizzati in modo da poter rimanere sotto il limite di 50.000 imposto da AMP.
Storie AMP: Sebbene sia ancora in versione beta al momento della stesura di questo documento, il plug-in ti consente di creare, modificare e pubblicare storie AMP.
Puoi anche configurare lo strumento per seguire una delle tre modalità modello:
Standard: Utilizza il plug-in AMP per l’intero sito. Non è necessario separare i contenuti AMP e non AMP.
Lettore: Mostra le pagine con un design semplificato che soddisfa gli standard AMP. Ogni pagina ha un URL canonico e un URL AMP.
Transitorio: Offre esperienze AMP e non AMP con lo stesso aspetto.
Il plugin riceve anche aggiornamenti frequenti. Se sei una persona che vuole sempre “l’ultimo e il meglio”, questo è un altro argomento a suo favore.
2. AMP per WP – Pagine mobili accelerate
Una delle opzioni più apprezzate in questo elenco è il Plug-in AMP per WP.
Sì, ha anche una valutazione media migliore di quella prodotta dal progetto AMP ufficiale.
AMP per WP offre anche un ricco set di funzionalità che include:
Supporto AdSense.
Contatta l’assistenza del modulo 7.
Supporto per l’attivazione tramite e-mail.
Supporto per l’invito all’azione.
In altre parole, se desideri trasformare il tuo sito web in qualcosa che assomigli a un’app mobile e utilizzarlo per il marketing digitale, questo plugin potrebbe essere la soluzione migliore.
Lo strumento funziona bene anche con alcuni dei più popolari Plugin SEO per WordPressinclusi Yoast SEO, All in One SEO, SEOPress, Rank Math e The SEO Framework.
Inoltre, AMP per WP si integra anche con WooCommerce. Se vendi prodotti online, questa funzionalità da sola può darti un bel vantaggio competitivo.
Gli sviluppatori del plugin offrono supporto premium se hai bisogno di una mano per far funzionare le cose.
3. Schema e dati strutturati per WP e AMP
Come vorresti aggiungere markup alle tue pagine in modo che appaiano come rich snippet nei risultati di ricerca?
Nota: questa opzione non è un plug-in AMP di per sé. Tuttavia, esso supporta AMP. Questo è il punto importante qui.
Lo strumento supporta inoltre 33 diversi tipi di schemi, inclusi post di blog, articoli di notizie, dettagli di attività commerciali locali, ricette, prodotti e video.
Se il tipo di schema che desideri utilizzare non è supportato, gli sviluppatori dicono che puoi richiederlo e lo aggiungeranno per te.
Lo strumento supporta anche campi di visualizzazione condizionali, quindi puoi decidere quali post, pagine o altri contenuti verranno contrassegnati.
Puoi anche importare dati di markup da altri plugin di schema, inclusi SEO Pressor e WP SEO Schema.
La versione premium dello strumento ti consente di aggiungere recensioni e offre supporto prioritario.
4. PWA per WP e AMP
Se desideri trasformare il tuo sito web in un’app web progressiva (PWA), dai un’occhiata a PWA per plug-in WP e AMP.
Utilizza lo strumento per portare la tua esperienza utente a un livello superiore con le ultime e migliori novità della tecnologia web.
Per cominciare, e cosa più importante per questo articolo, il plug-in offre il supporto AMP completo.
Inoltre viene fornito con il monitoraggio UTM, il supporto multisito e un’opzione di scadenza della cache.
PWA per WP e AMP offre anche una funzionalità di service work che ottimizza il tuo sito web. Ciò si traduce in tempi di caricamento più rapidi per i visitatori.
E forse la cosa migliore è che lo strumento include il supporto offline. I visitatori possono caricare il sito in un batter d’occhio anche quando non sono connessi al WiFi.
La versione premium di PWA per WP e AMP ti dà accesso a una libreria di icone di caricamento, inviti all’azione e analisi dei dati.
Perché? Perché è il “collante” che permette ai due plugin di lavorare insieme.
Ti offre anche un modo semplice per personalizzare i tuoi contenuti AMP.
Inoltre, Glue aggiunge uno stile rudimentale in modo da poter mantenere almeno un po’ dell’aspetto del sito per i visitatori AMP.
È sviluppato dallo stesso sviluppatore che ha creato il plugin Yoast SEO.
6. AMP WP – Google AMP per WordPress
Questa sembra essere una voce abbastanza nuova nella libreria dei plugin AMP. Al momento ha solo un migliaio di installazioni attive.
Eppure, il Plug-in AMP WP dimostra la promessa. Secondo la descrizione del prodotto, con lo strumento è possibile ottenere un caricamento fino a 5 volte più veloce.
Inoltre, lo sviluppatore afferma che è compatibile al 100% con Yoast SEO.
Ecco alcune altre funzionalità che ottieni con il plugin:
Supporto GDPR (per l’Europa).
Supporto del dispositivo di scorrimento.
Visualizzazione dei post correlati.
Supporto per analisi di terze parti (come Google Analytics).
Possibilità di configurare AMP per tassonomie specifiche (tag e categorie).
Intestazione adesiva opzionale.
Lightbox di immagini.
7. weeblrAMP CE
IL plugin weeblrAMP va oltre ciò che offrono altri plugin consentendoti di creare una versione AMP quasi completa dell’intero sito.
Inoltre, weeblrAMP si integra con numerosi altri strumenti, tra cui:
Disqu
statistiche di Google
Gestione tag di Google
Pixel di Facebook
Ottimo SEO
Jetpack
WooCommerce
Modulo di contatto 7
Forme di gravità
Inoltre, il plug-in ti consente anche di personalizzare completamente l’esperienza AMP con sostituzioni di modelli.
Al momento, weeblrAMP ha solo 700 installazioni attive. Tuttavia, ha una valutazione di 4,5 stelle.
8. AMPLIALO!
AMP Up! si presenta come un altro plugin “impostalo e dimenticalo”. Tutto quello che devi fare è installarlo e attivarlo e magicamente avrai un sito web compatibile con AMP.
A dire il vero, però, niente è così semplice. Soprattutto nello sviluppo web.
Dovrai eseguire alcune configurazioni manuali.
Lo strumento offre supporto per:
GDPR
HTTPS
statistiche di Google
Youtube
Bright Cove
Puoi anche aggiungere il tuo JavaScript personalizzato al tuo sito web abilitato per AMP. Questo ti dà una certa flessibilità con la funzionalità.
Inoltre, AMP It Up! aggiunge automaticamente pulsanti di condivisione social alle tue pagine. Non dovrai cercare un altro plugin per quello scopo.
Inoltre, lo strumento convertirà automaticamente i contenuti con diverse immagini in un carosello compatibile con AMP.
AMP Up! ha solo poche centinaia di installazioni a questo punto, ma ha una valutazione a 4 stelle.
9. Storie AMP per WordPress
Desideri un modo per creare contenuti a schermo intero a caricamento rapido sul Web?
Puoi utilizzare le storie AMP per coinvolgere maggiormente i visitatori del sito web con il tuo marchio.
E sì, sono proprio come le storie di Instagram.
Puoi includere immagini, animazioni, video, audio e testo nelle tue storie AMP.
Se ti piace l’idea di utilizzare le storie AMP, dovresti dare un’occhiata a Storie AMP per il plugin WordPress. Ti consente di creare una storia semplicemente compilando un modulo su un post.
Lo strumento ti consente anche di includere un URL nella tua Storia. Ciò può tornare utile se desideri reindirizzare le persone a un’altra parte del tuo sito (ad esempio, per effettuare un ordine).
La versione pro di AMP Stories per WordPress include la gestione dei fermalibri, il supporto per contenuti extra alla fine delle storie e l’integrazione con Facebook.
Lo strumento attualmente gode di una valutazione a 5 stelle.
Concludendo
In questa era mobile, hai bisogno di un sito web che si carichi rapidamente sui dispositivi mobili.
Fortunatamente, è facile farlo con AMP.
Cosa non lo èè così semplice implementare manualmente la tecnologia AMP sul tuo sito web.
Tuttavia, se utilizzi WordPress, ci sono molti plugin che lo faranno per te.
Se non hai già aggiunto il supporto AMP al tuo sito WordPress, perché non prendi uno dei plugin elencati qui e dai il via oggi stesso?
Ulteriori risorse:
Crediti immagine
Tutti gli screenshot sono stati presi dall’autore, dicembre 2019
24 aprile 2023Ravie LakshmananSicurezza del server/WordPress
È stato osservato che gli autori delle minacce sfruttano un plug-in WordPress legittimo ma obsoleto per creare backdoor di nascosto su siti Web come parte di una campagna in corso, Sucuri rivelato in un rapporto pubblicato la settimana scorsa.
Il plugin in questione è Eval PHP, rilasciato da uno sviluppatore chiamato flashpixx. Consente agli utenti di inserire pagine di codici PHP e post di siti WordPress che vengono poi eseguiti ogni volta che i post vengono aperti in un browser web.
Mentre Valutazione PHP non ha mai ricevuto un aggiornamento in 11 anni, le statistiche raccolte da WordPress mostrano che è installato su oltre 8.000 siti Web, con il numero di download alle stelle da uno o due in media da settembre 2022 a 6.988 il 30 marzo 2023.
Solo il 23 aprile 2023 è stato scaricato 2.140 volte. Il plugin ha accumulato 23.110 download negli ultimi sette giorni.
Scopri le tattiche segrete che gli hacker utilizzano per diventare amministratori, come rilevarlo e bloccarlo prima che sia troppo tardi. Registrati oggi stesso al nostro webinar.
Sucuri, di proprietà di GoDaddy, ha affermato di aver osservato i database di alcuni siti Web infetti in cui è stato iniettato codice dannoso tabella “wp_posts”.che memorizza un sito post, pagine e menu di navigazione informazione. Le richieste provengono da tre diversi indirizzi IP con sede in Russia.
“Questo codice è abbastanza semplice: utilizza il file funzione file_put_contents creare uno script PHP nel docroot del sito web con la backdoor specificata per l’esecuzione del codice remoto,” ha detto il ricercatore di sicurezza Ben Martin.
“Sebbene l’iniezione in questione inserisca una backdoor convenzionale nella struttura del file, la combinazione di un plugin legittimo e un dropper backdoor in un post di WordPress consente loro di reinfettare facilmente il sito web e rimanere nascosti. Tutto ciò che l’aggressore deve fare è visitare uno dei post o delle pagine infette e la backdoor verranno inseriti nella struttura del file.”
Sucuri ha affermato di aver rilevato oltre 6.000 istanze di questa backdoor su siti Web compromessi negli ultimi 6 mesi, descrivendo il modello di inserimento del malware direttamente nel database come uno “sviluppo nuovo e interessante”.
La catena di attacco prevede l’installazione del plugin Eval PHP su siti compromessi e il suo utilizzo improprio per creare backdoor persistenti su più post che a volte vengono anche salvati come bozze.
“Per il modo in cui funziona il plugin Eval PHP è sufficiente salvare una pagina come bozza per poter eseguire il codice PHP all’interno del [evalphp] codici brevi,” ha spiegato Martin, aggiungendo che le pagine canaglia vengono create con un vero amministratore del sito come autore, suggerendo che gli aggressori sono riusciti ad accedere con successo come utente privilegiato.
Lo sviluppo evidenzia ancora una volta come gli autori malintenzionati stiano sperimentando diversi metodi per mantenere la propria posizione in ambienti compromessi ed eludere le scansioni lato server e il monitoraggio dell’integrità dei file.
Si consiglia ai proprietari del sito di proteggere il file Pannello di amministrazione WP inoltre, fai attenzione a eventuali accessi sospetti per impedire agli autori delle minacce di ottenere l’accesso amministrativo e installare il plug-in.
WordPress rimuove il plugin Exploited Eval PHP
Il team di WordPress è intervenuto per rimuovere il plugin Eval PHP abbandonato dal repository a seguito di una segnalazione di Sucuri secondo cui veniva abusato da autori di minacce per iniettare backdoor dannose in migliaia di siti Web.
“Questo plugin è stato chiuso dal 26 aprile 2023 e non è disponibile per il download”, si legge in un messaggio di bandiera. “Questa chiusura è permanente.”
Hai trovato interessante questo articolo? Seguici su Twitter E LinkedIn per leggere i contenuti più esclusivi che pubblichiamo.
Recentemente, un plugin utilizzato da oltre un milione Sito WordPress si è scoperto che i proprietari avevano un bug in una versione precedente che registrava le password in testo normale. Sebbene il problema sia stato risolto in un aggiornamento, le credenziali potrebbero ancora fluttuare nei log, quindi assicurati di dare un’occhiata.
Il plug-in All-In-One Security (AIOS) per WordPress include funzionalità di sicurezza dell’accesso come misuratori di sicurezza della password e autenticazione a due fattori, firewall e protezione dei file e protezione dei contenuti. Anche se si potrebbe pensare che si tratti di un plugin abbastanza robusto, poco più di tre settimane fa è stato scoperto che registra le password in chiaro. Utente c0ntr07 trovato che all’interno di aiowps_audit_log venivano salvati i nomi utente e le password associate.
Questo è stato descritto dal supporto come un problema noto nella versione 5.19 del plugin e verrà risolto nella prossima versione. Tuttavia, c0ntr07 li ha richiamati, chiedendo perché non si trattava di una vulnerabilità critica e ricevendo immediatamente una patch. In precedenza aveva notato che questo tipo di problema non avrebbe consentito la conformità agli standard NIST 800-63-3, ISO27000, CIS, HIPAA, GDPR e altri. A seguito di questa chiamata, il supporto si è adoperato per fornire a c0ntr07 una copia di sviluppo dell’aggiornamento mentre si lavorava per pubblicare l’aggiornamento completo.
Sembra che ci siano ancora parecchie persone che non hanno ancora aggiornato.
La versione 5.2.0, che avrebbe dovuto risolvere il problema, non ha funzionato per tutti, quindi il team AIOS ha dovuto passare alla versione 5.2.1 per risolvere completamente il problema. In fin dei conti, questo non solo fa luce sui problemi relativi alla fiducia cieca negli strumenti, ma anche su alcune pratiche di sicurezza. IL Blog dell’AIOS rileva che se qualcuno con accesso ai registri contenenti le password le prendesse, potrebbero essere utilizzate sul sito WordPress o potenzialmente altrove con un attacco di credential stuffing.
Questo, ovviamente, è un sottile promemoria a non riutilizzare le password, poiché ne basta una sola sicurezza violazione per accedere a tutti i tuoi account, soprattutto se alcuni di essi non utilizzano l’autenticazione a due fattori, il che altrimenti renderebbe le cose un po’ più difficili. Pertanto, ti consigliamo di utilizzare un gestore di password, in modo che tu debba ricordare solo una password complessa per poter avere una password diversa per ogni sito web. Oltre a ciò, se sei un utente AIOS, è tempo di aggiornare il plug-in ed eliminare i registri per rimanere al sicuro.
