Categoria: Wordpress

Dietro un plug-in di caching di WordPress dall’aspetto autentico si nasconde un sofisticato malware in grado di creare un account amministrativo per un sito Web, offrendo agli autori delle minacce un modo per dirottare completamente i siti Web infetti a piacimento.

I ricercatori di Wordfence hanno scoperto il plug-in, che può eseguire una serie di attività dannose mascherandosi da legittimo software aggiuntivo per la piattaforma WordPress, hanno rivelato in un post sul blog 11 ottobre. La principale di queste attività è la possibilità di creare un account amministratore e attivare i plug-in da remoto, dando sostanzialmente libero sfogo agli autori delle minacce sui siti infetti.

La backdoor può funzionare sia come script autonomo che come plug-in, con funzionalità come l’attivazione remota del plug-in e il filtro condizionale dei contenuti che le conferiscono capacità di evasione difficili da rilevare per gli utenti inesperti.

Altre funzionalità includono la possibilità di aggiungere filtri per impedire che il malware venga incluso nell’elenco dei plug-in attivati, funzionalità di ping che consente a un utente malintenzionato di verificare se lo script è ancora operativo e funzionalità di modifica dei file. Inoltre, la backdoor può attivare o disattivare plug-in arbitrari da remoto, il che è “utile per disabilitare plug-in indesiderati e anche per attivare questo plug-in dannoso secondo necessità”, ha scritto Wotschka.

“Poiché il file dannoso viene eseguito come plug-in nel contesto di WordPress, ha accesso alle normali funzionalità di WordPress proprio come fanno gli altri plug-in”, ha scritto nel post Marco Wotschka, ricercatore di vulnerabilità di Wordfence. “Nel loro insieme, queste funzionalità forniscono agli aggressori tutto ciò di cui hanno bisogno per controllare e monetizzare da remoto un sito vittima, a scapito del posizionamento SEO del sito stesso e della privacy degli utenti.”

Un analista di Wordfence ha scoperto un campione del malware durante la pulizia del sito il 18 luglio e ha creato una firma il giorno successivo, che è stata successivamente testata e rilasciata ai clienti di Wordfence il 1° settembre.

Plug-in dannoso: un nemico malware nascosto ma rilevabile

I ricercatori hanno analizzato alcune delle funzionalità chiave del file plug-in dannosocomprese funzionalità che molto probabilmente destano sospetti tra gli attuali amministratori o utenti del sito.

Uno di questi consiste nell’utilizzare la funzione wp_create_user per creare un nuovo account utente con il nome utente superadmin e una password codificata per impostare un utente malintenzionato come amministratore del sito Web. Secondo Wordfence, questo account viene rimosso una volta che una vittima è stata compromessa con successo in modo da rimuovere le tracce e quindi ridurre i cambiamenti di rilevamento.

“Anche se spesso vista nel codice di prova, la creazione di utenti con password codificate dovrebbe essere considerata un campanello d’allarme, e l’elevazione di questo utente ad amministratore è certamente motivo sufficiente per sospettare”, ha scritto Wotschka.

Il plug-in dannoso include anche il codice di rilevamento dei bot, spesso presente nel malware su un sito Web che fornisce contenuti normali ad alcuni utenti reindirizzando o presentando contenuti dannosi ad altri.

“Un filo comune condiviso da questi scenari di infezione è che i proprietari dei siti ritengono che il loro sito abbia un bell’aspetto, ma i loro visitatori hanno segnalato problemi come vedere spam o essere reindirizzati a siti dubbi”, ha spiegato Wotschka.

Inoltre, poiché questo tipo di malware vuole che i motori di ricerca trovino il contenuto dannoso, di solito viene loro servito mentre indicizzano un sito, ha detto. Gli autori delle minacce utilizzano il riempimento di parole chiave per aumentare il traffico inviato ai siti infetti, con gli amministratori che spesso segnalano un aumento improvviso e inaspettato del traffico del sito quando i loro siti vengono colpiti da un’infezione.

Sebbene la sola presenza del codice di rilevamento dei bot non sia sufficiente per verificare la presenza di attività dannose su un sito Web, si distingue come attività sospetta, ha aggiunto Wotschka.

Protezione dei siti WordPress

Rimangono i plug-in un esposto e una superficie di attacco considerevole per WordPress e i milioni di siti costruiti su di esso, un problema endemico che rimane una minaccia persistente. Gli autori delle minacce hanno preso di mira i siti WordPress tramite entrambi dannoso E vulnerabile plug-in, entrambi i problemi spesso passano inosservati agli operatori del sito fino a quando il sito web non è già stato creato sotto attacco attivo.

Nel complesso, chiunque crei siti Web utilizzando WordPress dovrebbe seguire le migliori pratiche di sicurezza nel modo in cui configura i siti per garantire che rimangano il più protetti possibile. Wordfence consiglia di includere anche un qualche tipo di monitoraggio della sicurezza sul sito in caso di compromissione anche dopo aver seguito queste pratiche.

Blog2Efficienza del marketing video sociale

GREVENBROICH, Germania, 5 dicembre 2023 (GLOBE NEWSWIRE) — Nel panorama odierno dei social media, i contenuti video sono diventati una componente essenziale di una presenza online di successo. Tuttavia, la produzione e la condivisione di contenuti video richiedono molto tempo. Blog2Social, lo strumento di automazione dei social media di ADENION GmbH, aiuta gli esperti di marketing a risparmiare tempo nel marketing video. La nuova funzionalità video di Blog2Social consente agli utenti di condividere e programmare facilmente video su tutti i canali di social media da un unico posto.

Blog2Social è un plug-in di automazione dei social media per WordPress progettato per semplificare i flussi di lavoro dei social media e far risparmiare tempo agli esperti di marketing online nella gestione dei social media. La sua nuova funzionalità video offre agli utenti la possibilità di condividere e programmare i propri contenuti video sui social network come YouTube, Vimeo, Instagram, TikTok e molti altri. In tal modo, aiuta gli esperti di marketing a risparmiare tempo poiché possono gestire completamente la propria attività sui social media da un unico punto: la dashboard di WordPress.

Secondo uno studio condotto da Wyzowl, le persone guardano in media 17 ore di video a settimana. Inoltre, il 90% dei professionisti del marketing ha affermato che il video marketing li ha aiutati a generare contatti e l’87% ha affermato che li ha aiutati ad aumentare le vendite. Ciò dimostra che il video è diventato un potente strumento nel marketing sui social media.

Blog2Social aiuta gli esperti di marketing a colmare il divario tra la creazione e la distribuzione di contenuti video. Gli utenti possono caricare o selezionare un video dalla propria libreria multimediale WordPress, aggiungere titoli, descrizioni e parole chiave e pubblicare i propri contenuti sugli account dei social media scelti. Semplificando il flusso di lavoro sui social media con Blog2Social, gli esperti di marketing possono risparmiare ore di lavoro rimanendo al passo con la pianificazione dei social media.

>> Maggiori informazioni su condivisione video con Blog2Social.

Blog2Social è disponibile con un piano in abbonamento o come versione gratuita con funzionalità ridotte. I nuovi utenti possono testare lo strumento gratuitamente per 30 giorni.

La storia continua

ADENION GmbH fornisce da 20 anni servizi online per content marketing, PR online e social media e aiuta aziende e agenzie nella comunicazione aziendale. Numerose aziende e agenzie rinomate come Generali Versicherungen, Linda AG, Edelman o Havas Worldwide beneficiano degli utili servizi Blog2Social per la distribuzione di contenuti sui social media e PR-Gateway per la distribuzione di comunicati stampa.

Contatto
Telefono: +49 2181 1602255
E-mail: ciao@adenion.de

Parole chiave
Video marketing, Strumento per social media, Automazione dei social media, Efficienza, Gestione dei social media, TikTok, Instagram, Facebook, Pinterest, Condivisione dei social media, Pianificazione dei social media, Social media marketing, Video

Una foto che accompagna questo annuncio è disponibile all’indirizzo https://www.globenewswire.com/NewsRoom/AttachmentNg/0f8f6191-4788-4e70-af3f-476a76a381fa

Amministratori del sito WordPress attualmente stanno ricevendo falsi avvisi di sicurezza via e-mail per uno vulnerabilità fittizia tracciato come CVE-2023-45124. Il suo scopo è infettare i siti con un plugin dannoso. La campagna è stata notata e segnalata dagli esperti di sicurezza di WordPress su Wordfence e PatchStack, che hanno pubblicato avvisi sui propri siti per avvisare gli utenti del rischio. Le e-mail fingono di provenire dallo stesso WordPress. Il testo segnala che è stata rilevata una novità sul sito dell’amministratore insetto critico esecuzione di codice remoto (RCE) nella piattaforma. L’e-mail falsa invita quindi gli utenti a scaricare e installare un plug-in che dovrebbe risolvere il problema della sicurezza. In questo modo, però, l’utente installa a malware che compromette il tutto sito web.

WordPress: come funziona l’attacco dei plugin malevoli

Cliccando sul pulsante “Scarica plugin” all’interno dell’e-mail, la vittima viene reindirizzata a una pagina di destinazione falsa su “en-gb-wordpress[.]org” che sembra identico a sito legittimo “wordpress.com”. La pagina del plugin falso mostra a numero di download probabilmente gonfiato (circa 500.000). Inoltre ce ne sono numerosi recensioni false di utenti che spiegano come la patch abbia ripristinato il sito compromesso e li abbia aiutati contrastare gli attacchi degli hacker. La stragrande maggioranza delle recensioni degli utenti sono a cinque stelle. Tuttavia, per non destare sospetti, vengono mostrate anche le recensioni a quattro, tre e una stella. Al momento dell’installazione, il plugin crea un utente amministratore nascosto denominato “wpsecuritypatch” e invia informazioni sulla vittima al server di comando e controllo degli attaccanti (C2) su “wpgate[.]cerniera lampo”. Successivamente, il plugin scarica un file backdoor del carico utile base64 codificato da C2 e lo salva come “wp-autoload.php“nella webroot del sito web.

La backdoor è dotata di funzionalità gestione dei file, SQL del cliente, console PHP e terminale della riga di comando. Il suo scopo sarebbe mostrare agli aggressori informazioni dettagliate sull’ambiente del server. Il plugin dannoso nasconde dall’elenco dei plugin installati, quindi rimuoverlo richiede una ricerca manuale nel file directory principale del sito. Al momento rimane il focus operativo del plugin sconosciuto. Tuttavia, PatchStack ipotizza che potrebbe essere utilizzato per inserire annunci pubblicitari Sono siti compromessi, reindirizzare i visitatori, rubare informazioni sensibili o addirittura ricattare i proprietari minacciando di far trapelare il contenuto del database del loro sito web. Il consiglio per tutti gli utenti è di ignorare e eliminare tali falsi avvisi e, naturalmente, non installare il plug-in sul tuo sito.

I ricercatori di sicurezza di Wordfence hanno dettagliato una falla di sicurezza critica nel plugin MW WP Form, che colpisce le versioni 5.0.1 e precedenti. La vulnerabilità consente agli autori di minacce non autenticati di sfruttare il plug-in caricando file arbitrari, inclusi backdoor PHP potenzialmente dannosi, con la possibilità di eseguire questi file sul server.

Plug-in modulo MW WP

Il plug-in MW WP Form aiuta a semplificare la creazione di moduli sui siti Web WordPress utilizzando un generatore di shortcode.

Rende facile per gli utenti creare e personalizzare moduli con vari campi e opzioni.

Il plugin ha molte funzionalità, inclusa una che consente il caricamento di file utilizzando il formato [mwform_file name=”file”] shortcode ai fini della raccolta dei dati. È questa caratteristica specifica che può essere sfruttata in questa vulnerabilità.

Vulnerabilità nel caricamento di file arbitrari non autenticati

UN Vulnerabilità nel caricamento di file arbitrari non autenticati è un problema di sicurezza che consente agli hacker di caricare file potenzialmente dannosi su un sito web. Non autenticato significa che non è necessario che l’aggressore sia registrato sul sito Web o abbia bisogno di qualsiasi tipo di livello di autorizzazione fornito con un livello di autorizzazione utente.

Questo tipo di vulnerabilità può portare all’esecuzione di codice in modalità remota, in cui i file caricati vengono eseguiti sul server, con il potenziale per consentire agli aggressori di sfruttare il sito Web e i visitatori del sito.

L’avviso di Wordfence rileva che il plugin controlla i tipi di file imprevisti ma che non funziona come dovrebbe.

Secondo i ricercatori sulla sicurezza:

“Sfortunatamente, anche se la funzione di controllo del tipo di file funziona perfettamente e restituisce false per i tipi di file pericolosi, genera un’eccezione di runtime nel blocco try se viene caricato un tipo di file non consentito, che verrà catturato e gestito dal blocco catch.

…anche se il tipo di file pericoloso viene controllato e rilevato, viene solo registrato, mentre la funzione continua a essere eseguita e il file viene caricato.

Ciò significa che gli aggressori potrebbero caricare file PHP arbitrari e quindi accedere a tali file per attivarne l’esecuzione sul server, ottenendo l’esecuzione di codice in modalità remota”.

Ci sono le condizioni per un attacco riuscito

La gravità di questa minaccia dipende dal requisito che l’opzione “Salvataggio dei dati della richiesta nel database” nelle impostazioni del modulo sia abilitata affinché questa lacuna di sicurezza possa essere sfruttata.

L’avviso sulla sicurezza rileva che la vulnerabilità è considerata critica con un punteggio di 9,8 su 10.

Azioni da intraprendere

Wordfence consiglia vivamente agli utenti del plug-in MW WP Form di aggiornare le proprie versioni del plug-in.

La vulnerabilità è stata corretta nella versione liuti del plugin, versione 5.0.2.

La gravità della minaccia è particolarmente critica per gli utenti che hanno abilitato l’opzione “Salvataggio dei dati della richiesta nel database” nelle impostazioni del modulo e ciò è aggravato dal fatto che non sono necessari livelli di autorizzazione per eseguire questo attacco.

Leggi l’avviso di Wordfence:

Aggiorna al più presto! Il caricamento di file arbitrari critici non autenticati nel modulo MW WP consente l’esecuzione di codice dannoso

Immagine in primo piano di Shutterstock/Alexander_P

Tre dei principali plugin di WordPress sono stati recentemente soggetti a un attacco SQL injection, lasciando oltre 150.000 utenti a rischio di essere sfruttati da malintenzionati.

Fortunatamente, da allora i plugin vulnerabili lo hanno fatto stato rattoppatocontribuire a proteggere le imprese che dipendono dai loro servizi.

Oltre ad aggiornare il software, descriviamo alcuni semplici modi WordPress gli utenti possono rimanere al sicuro quando utilizzano lo strumento.

Inoltre, considerando la storia movimentata di WordPress e la varietà degli altri costruttori di siti Web competitivi disponibili, discutiamo anche se valga la pena attenersi alla soluzione.

La vulnerabilità critica SQL di WordPress è stata corretta

Secondo una prova di concetto (PoC) rilasciata da un ricercatore di sicurezza presso Computer che dormetre popolari accessi a WordPress sono stati attaccati da SQL injection, un tipo di falla di sicurezza che consente agli hacker di modificare, eliminare o inserire script dannosi in un sito.

I plugin Paid Membership Pro, Easy Digital Downloads e Survey Marker, che vantano rispettivamente 100.000, 50.000 e 3.000 installazioni, sono stati compromessi nel dicembre 2022, ma per fortuna da allora sono stati corretti dai loro autori.

Ora che questi difetti sono stati risolti, le aziende che utilizzano i plugin dovrebbero essere salvaguardate con successo. Tuttavia, per garantire un ulteriore livello di protezione, consigliamo di eseguire un aggiornamento software su WordPress per assicurarsi che questa patch sia attualmente installata.

WordPress: un bersaglio popolare per i criminali informatici?

Sebbene questo problema sia stato risolto in tempi relativamente brevi, questo non è l’unico errore di sicurezza di WordPress negli ultimi tempi.

All’inizio di questo mese, il National Vulnerability Database del governo degli Stati Uniti ha avvisato gli utenti di una vulnerabilità localizzata in “Popup Maker”, un plugin per WordPress che vanta oltre 700.000 installazioni.

Recentemente è stato rilevato un nuovo tipo di malware Linux anche sul costruttore del sito web; i ricercatori di sicurezza sospettano che il virus sia attivo sul sito da almeno tre anni.

Le vulnerabilità di WordPress hanno anche l’abitudine di essere piuttosto gravi, con 8 rischi su 10 che rientrano nel livello di rischio “medio” o “alto”, secondo il rapporto. Sistema comune di punteggio di vulnerabilità (vedi grafico sotto).

Punteggio di vulnerabilità di WordPress. Fonte: sistema comune di punteggio delle vulnerabilità

Ma perché WordPress sembra essere più vulnerabile agli attacchi di terze parti? Bene, rispetto alla maggior parte degli altri siti Web, WordPress è scritto con codice open source. Ciò rende più facile visualizzare, accedere e sfruttare le vulnerabilità della sicurezza.

WordPress è anche uno dei sistemi di gestione dei contenuti più popolari sul mercato, il che lo rende un bersaglio ancora più attraente per gli hacker.

Come rimanere al sicuro utilizzando WordPress

Nonostante i difetti delle applicazioni, esistono una serie di passaggi che gli utenti possono seguire per eludere le minacce.

• Mantieni WordPress aggiornato – Il mancato aggiornamento periodico del builder potrebbe lasciarti indifeso contro una serie di pericoli. inclusa la vulnerabilità SQL che ha compromesso i plugin più diffusi.
• Proteggi la tua password – L’utilizzo di password complesse è uno dei modi più efficaci per difendere i tuoi server dai virus. Non ti piace ricordare codici lunghi e goffi? Gestori di password sei il tuo migliore amico.
• Installa plugin di sicurezza – Non tutti i plugin comportano rischi. Scaricando plugin di sicurezza efficaci come Defender e Wordfence Security, il duro lavoro può essere svolto per te.
• Installa il software antivirus – Se stai cercando di fare un ulteriore passo avanti nella tua sicurezza informatica, programma antivirus è un modo efficace per proteggere i sistemi personali e aziendali

WordPress dovrebbe cercare altrove?

Grazie alle potenti funzionalità di gestione dei media e all’editor basato su blocchi di WordPress, la nostra ricerca suggerisce che lo strumento è l’opzione numero uno per blogger e siti di pubblicazione.

Tuttavia, WordPress è ben lungi dall’essere il miglior costruttore di siti Web che abbiamo recensito: il riconoscimento va a Wix. Inoltre, i problemi di sicurezza dei builder sono difficili da trascurare e consigliamo di utilizzare un sito con sicurezza SSL gratuita, come Weebly.

Ancora indeciso? Leggi la nostra recensione di i migliori costruttori di siti web per scoprire quali soluzioni potranno maggiormente soddisfare le vostre esigenze.

Per fortuna, ci sono molti passaggi che puoi eseguire per proteggere il tuo sito Web WordPress.

Inizia con queste semplici nozioni di base sulla sicurezza

Quando imposti la sicurezza del tuo sito WordPress, ci sono alcune cose basilari che puoi fare per rafforzare la tua protezione.

Ecco alcune delle prime cose che dovresti implementare per proteggere il tuo sito web.

1. Implementare i certificati SSL

Certificati Secure Sockets Layer (SSL). sono uno standard di settore utilizzato da milioni di siti Web per proteggere le transazioni online con i propri clienti.

Ottenere uno dovrebbe essere uno dei primi passi da compiere per proteggere il tuo sito web.

Puoi acquistare un certificato SSL, ma la maggior parte dei provider di hosting lo offre gratuitamente.

Successivamente, utilizza un plug-in per forzare il reindirizzamento HTTPS, che attiva la connessione crittografata.

Questa tecnologia standard stabilisce una connessione crittografata tra un server web (host) e un browser web (client).

Aggiungendo questa connessione crittografata, puoi garantire che tutti i dati scambiati tra i due rimangano privati ​​e intrinseci.

2. Richiedi e utilizza password complesse

Oltre a ottenere un certificato SSL, una delle primissime cose che puoi fare per proteggere il tuo sito è utilizzare e richiedere password complesse per tutti i tuoi accessi.

Potresti essere tentato di utilizzare o riutilizzare una password familiare o facile da ricordare, ma farlo mette a rischio te, i tuoi utenti e il tuo sito web.

Migliorare la forza e la sicurezza della tua password riduce le possibilità di essere hackerato.

Più forte è la tua password, meno probabilità avrai di essere vittima di un attacco informatico.

Quando si crea una password, ce ne sono alcuni generali migliori pratiche per la password dovresti seguire.

Se non sei sicuro di utilizzare una password sufficientemente complessa, verificane la sicurezza utilizzando uno strumento gratuito utile come questo Controllo della robustezza della password.

3. Installa un plugin di sicurezza

I plugin di WordPress sono un ottimo modo per aggiungere rapidamente funzionalità utili al tuo sito web e sono disponibili numerosi ottimi plugin di sicurezza.

L’installazione di un plugin di sicurezza può aggiungere ulteriori livelli di protezione al tuo sito web senza richiedere troppi sforzi.

Per iniziare, dai un’occhiata a questo elenco di plugin di sicurezza WordPress consigliati.

• Sicurezza Wordfence: scansione firewall e malware
• Sicurezza e firewall WP tutto in uno
• Sicurezza dei temi
• Jetpack: sicurezza, backup, velocità e crescita WP

4. Mantieni aggiornati i file core di WordPress

Mantenere WordPress sempre aggiornato è fondamentale per mantenere la sicurezza e la stabilità del tuo sito.

Ogni volta che viene segnalata una vulnerabilità nella sicurezza di WordPress, il team principale inizia a lavorare per rilasciare un aggiornamento che risolva il problema.

Se non stai aggiornando il tuo sito Web WordPress, probabilmente stai utilizzando una versione di WordPress che presenta vulnerabilità note.

Nel 2021, si stima che sul Web siano presenti in totale 1,3 miliardi di siti Web con oltre 455 milioni di quei siti che utilizzano WordPress.

Poiché è così popolare, WordPress è un obiettivo primario per hacker, distributori di codice dannoso e ladri di dati.

Non esporti agli attacchi utilizzando una vecchia versione di WordPress. Attiva gli aggiornamenti automatici e dimenticartene.

Se desideri un modo ancora più semplice per gestire gli aggiornamenti, considera a Hosting WordPress gestito soluzione con aggiornamenti automatici integrati.

5. Presta attenzione a temi e plugin

Mantenere WordPress aggiornato garantisce che i tuoi file principali siano sotto controllo, ma ci sono altre aree in cui WordPress è vulnerabile che gli aggiornamenti principali potrebbero non proteggere, come temi e plugin.

Per cominciare, installa solo plugin e temi di sviluppatori affidabili.

Se un plugin o un tema non è stato sviluppato da una fonte credibile, probabilmente è più sicuro non utilizzarlo.

Oltre a ciò, assicurati di aggiornare i plugin e i temi WordPress.

Proprio come una versione obsoleta di WordPress, l’utilizzo di plugin e temi obsoleti rende il tuo sito web più vulnerabile agli attacchi.

6. Esegui backup frequenti

Un modo per proteggere il tuo sito Web WordPress è avere sempre un backup aggiornato del tuo sito e dei file importanti.

L’ultima cosa che desideri è che succeda qualcosa al tuo sito e non disponi di un backup.

Esegui il backup del tuo sitoe farlo spesso.

In questo modo, se succede qualcosa al tuo sito web, puoi ripristinarne rapidamente una versione precedente e tornare operativo più velocemente.

Misure di sicurezza intermedie per aggiungere maggiore protezione

Se hai completato tutte le nozioni di base ma desideri fare ancora di più per proteggere il tuo sito web, ci sono alcuni passaggi più avanzati che puoi eseguire per rafforzare la tua sicurezza.

7. Non utilizzare mai il nome utente “Admin”.

Poiché “admin” è un nome utente così comune, è facilmente indovinabile e rende molto più facile per i truffatori indurre le persone a rivelare le proprie credenziali di accesso.

Non utilizzare mai il nome utente “admin”.

Ciò ti rende vulnerabile agli attacchi di forza bruta e alle truffe di ingegneria sociale.

Proprio come avere una password complessa, utilizzare un nome utente univoco per i tuoi accessi è una buona idea perché rende molto più difficile per gli hacker violare le tue informazioni di accesso.

Se attualmente stai utilizzando il nome utente “admin”, cambia il tuo nome utente amministratore di WordPress.

8. Nascondi la tua pagina di accesso WP-Admin

Per impostazione predefinita, è possibile accedere alla maggior parte delle pagine di accesso di WordPress aggiungendo “/wp-admin” o “/wp-login.php” alla fine di un URL.

Ciò rende facile per gli hacker iniziare a tentare di entrare nel tuo sito web.

Una volta che un hacker o un truffatore ha identificato la tua pagina di accesso, può tentare di indovinare il tuo nome utente e la tua password per accedere alla tua dashboard di amministrazione.

Nascondere la pagina di accesso di WordPress è un buon modo per renderti un bersaglio meno facile.

Proteggi le tue credenziali di accesso nascondendo la pagina di accesso dell’amministratore di WordPress con un plugin come WPS Hide Login.

9. Disabilita XML-RPC

WordPress utilizza un’implementazione del protocollo XML-RPC per estendere le funzionalità ai client software.

Questo Chiamata di procedura remota Il protocollo consente l’esecuzione dei comandi, con i dati restituiti formattati in XML.

La maggior parte degli utenti non ha bisogno della funzionalità XML-RPC di WordPress ed è una delle vulnerabilità più comuni che espone gli utenti agli exploit.

Ecco perché è una buona idea disabilitarlo.

Grazie al plugin Wordfence Security, è davvero facile farlo.

10. Rafforzare il file wp-config.php

Il tuo file WordPress wp-config.php contiene informazioni molto sensibili sulla tua installazione di WordPress, comprese le chiavi di sicurezza di WordPress e i dettagli di connessione al database di WordPress, motivo per cui non vuoi che sia di facile accesso.

Puoi “rafforzare” il tuo sito web proteggendo il tuo file wp-config.php tramite il tuo file .htaccess.

Ciò significa sostanzialmente che stai dando al tuo sito una protezione extra contro gli hacker.

11. Esegui uno strumento di scansione di sicurezza

A volte il tuo sito Web WordPress potrebbe presentare una vulnerabilità di cui non avresti idea che esistesse.

È saggio utilizzare strumenti in grado di individuare le vulnerabilità e risolverle per te.

Il plug-in WPScan esegue la scansione delle vulnerabilità note nei file principali, nei plug-in e nei temi di WordPress.

Il plugin ti avvisa anche via e-mail quando vengono rilevate nuove vulnerabilità di sicurezza.

Rafforza la tua sicurezza lato server

Ormai hai adottato tutte le misure di cui sopra per proteggere il tuo sito web.

Tuttavia, potresti comunque voler sapere se puoi fare altro per renderlo il più sicuro possibile.

Le rimanenti azioni che puoi intraprendere per rafforzare la tua sicurezza dovranno essere eseguite sul lato server del tuo sito web.

12. Cerca una società di hosting che faccia questo

Quando cerchi una società di hosting, vuoi trovarne una che sia veloce, affidabile, sicura e che ti supporterà con un ottimo servizio clienti.

Ciò significa che dovrebbero disporre di risorse valide e potenti, mantenere un tempo di attività almeno del 99,5% e utilizzare tattiche di sicurezza a livello di server.

Se un host non riesce a selezionare queste caselle di base, non valgono il tuo tempo o denaro.

Una delle cose migliori che puoi fare per proteggere il tuo sito fin dall’inizio è scegliere la società di hosting giusta per ospitare il tuo sito Web WordPress.

13. Utilizza l’ultima versione di PHP

Come le vecchie versioni di WordPress, le versioni obsolete di PHP non sono più sicure da usare.

Se non utilizzi l’ultima versione di PHP, aggiorna la tua versione PHP per proteggersi dagli attacchi.

14. Host su un server completamente isolato

I server cloud privati ​​presentano molti vantaggi.

Uno di questi vantaggi è che aumenta la tua sicurezza.

Tutti gli ambienti cloud richiedono una forte combinazione di protezione antivirus e firewall, ma un cloud privato viene eseguito su macchine fisiche specifiche, rendendo più semplice garantirne la sicurezza fisica.

Oltre alla sicurezza, un server completamente isolato offre altri vantaggi, come tempi di attività molto elevati e una facile integrazione dell’hosting gestito.

Cerchi l’ambiente cloud perfetto per il tuo sito Web WordPress?

Non guardare oltre.

Con InMotion Hosting Hosting WordPress gestito ottieni migrazioni da server a server, aggiornamenti più sicuri, patch di sicurezza immediate e velocità leader del settore, tutto in uno.

15. Utilizzare un firewall per applicazioni Web

Una delle ultime cose che puoi fare per aggiungere ulteriori misure di sicurezza al tuo sito Web WordPress è utilizzare a firewall per applicazioni Web (WAF).

UN WAF è solitamente un sistema di sicurezza basato su cloud che offre un ulteriore livello di protezione attorno al tuo sito.

Consideralo come un gateway per il tuo sito.

Blocca tutti i tentativi di hacking e filtra altri tipi di traffico dannoso, come gli attacchi DDoS (Distributed Denial of Service) o gli spammer.

I WAF di solito richiedono canoni di abbonamento mensili, ma aggiungerne uno vale il costo se si assegna un premio alla sicurezza del proprio sito Web WordPress.

Assicurati che il tuo sito web e la tua attività siano sicuri e protetti

Se il tuo sito web non è sicuro, potresti lasciarti aperto a un mondo di dolore.

Per fortuna, proteggere un sito WordPress non richiede troppe conoscenze tecniche purché si disponga degli strumenti e del piano di hosting giusti per soddisfare le proprie esigenze.

Invece di aspettare di rispondere alle minacce una volta che si verificano, dovresti proteggere in modo proattivo il tuo sito web per prevenire problemi di sicurezza.

In questo modo, se qualcuno prende di mira il tuo sito web, sei pronto a mitigare il rischio e a svolgere la tua attività come al solito invece di affannarti per individuare un backup recente.

Ottieni hosting WordPress sicuro e completamente isolato con SSL gratuito, indirizzo IP dedicato, backup gratuiti, aggiornamenti automatici di WordPress, protezione DDoS e WAF inclusi.

Ulteriori informazioni su come Hosting WordPress gestito può aiutarti a proteggere il tuo sito web e i tuoi dati preziosi dall’esposizione a hacker e truffatori.

12 maggio 2023Ravie LakshmananVulnerabilità/Sicurezza del sito web

È stata rilevata una vulnerabilità di sicurezza nel popolare plugin WordPress Componenti aggiuntivi essenziali per Elementor che potrebbe essere potenzialmente sfruttato per ottenere privilegi elevati sui siti interessati.

Il problema, tracciato come CVE-2023-32243, è stato risolto dai manutentori del plugin nella versione 5.7.2 che è stata spedita l’11 maggio 2023. I componenti aggiuntivi essenziali per Elementor hanno oltre un milione di installazioni attive.

“Questo plugin soffre di una vulnerabilità di escalation dei privilegi non autenticati e consente a qualsiasi utente non autenticato di aumentare i propri privilegi a quelli di qualsiasi utente sul sito WordPress,” il ricercatore di Patchstack Rafie Muhammad disse.

Lo sfruttamento riuscito della falla potrebbe consentire a un autore di minacce di reimpostare la password di qualsiasi utente arbitrario purché la parte malintenzionata sia a conoscenza del proprio nome utente. Si ritiene che il difetto esistesse già dalla versione 5.4.0.

Ciò può avere gravi conseguenze in quanto la falla potrebbe essere utilizzata come arma per reimpostare la password associata a un account amministratore e prendere il pieno controllo del sito web.

“Questa vulnerabilità si verifica perché questa funzione di reimpostazione della password non convalida una chiave di reimpostazione della password e modifica invece direttamente la password di un determinato utente”, ha sottolineato Muhammad.

La divulgazione arriva più di un anno dopo Patchstack rivelato un altro grave difetto nello stesso plugin che potrebbe essere stato utilizzato in modo improprio per eseguire codice arbitrario su siti Web compromessi.

I risultati seguono anche la scoperta di una nuova ondata di attacchi contro i siti WordPress dalla fine di marzo 2023 che mira a iniettare il famigerato SocGholish (alias FakeUpdates) malware.

SocGholish è un persistente JavaScript struttura del malware che funziona come fornitore di accesso iniziale per facilitare la distribuzione di ulteriore malware agli host infetti. Il malware è stato distribuito tramite download drive-by mascherati da aggiornamento del browser web.

È stato scoperto che l’ultima campagna rilevata da Sucuri sfrutta tecniche di compressione utilizzando una libreria software chiamata zlib per nascondere il malware, ridurne l’impronta ed evitare il rilevamento.

“I malintenzionati evolvono continuamente le loro tattiche, tecniche e procedure per eludere il rilevamento e prolungare la durata delle loro campagne malware”, ha affermato Denis Sinegubko, ricercatore di Sucuri. disse.

“Il malware SocGholish ne è un ottimo esempio, così come lo hanno già fatto gli aggressori modificato il loro approccio nel passato per iniettare script dannosi nei siti Web WordPress compromessi.”

Non è solo SocGholish. Malwarebytes, in un rapporto tecnico di questa settimana, ha descritto in dettaglio una campagna di malvertising che serve ai visitatori di siti Web per adulti annunci popunder che simulano un falso aggiornamento di Windows per rilasciare il caricatore “in2al5d p3in4er” (aka Invalid Printer).

“Lo schema è molto ben progettato in quanto si basa sul browser web per visualizzare un’animazione a schermo intero che assomiglia molto a ciò che ti aspetteresti da Microsoft”, Jérôme Segura, direttore dell’intelligence sulle minacce presso Malwarebytes, disse.

Il caricatore, che era documentato da Morphisec il mese scorso, è progettato per controllare la scheda grafica del sistema per determinare se è in esecuzione su una macchina virtuale o in un ambiente sandbox e infine avviare il Aurora malware per il furto di informazioni.

La campagna, secondo Malwarebytes, ha mietuto 585 vittime negli ultimi due mesi, con l’autore della minaccia collegato anche ad altre truffe legate al supporto tecnico e ad un Amadybot pannello di comando e controllo.

Componenti aggiuntivi essenziali per il difetto del plugin Elementor sfruttato attivamente

Wordfence, nel proprio parere, disse la vulnerabilità critica nel plug-in Essential Addons for Elementor viene sfruttata attivamente in natura e ha bloccato 200 attacchi mirati al difetto nelle ultime 24 ore, rendendo imperativo che gli utenti si muovano rapidamente per aggiornare alla versione più recente.

Anche la società di sicurezza WordPress notato la maggior parte dei tentativi di sfruttamento proveniva da un unico indirizzo IP 78.128.60[.]112, seguito da 23.224.195[.]51 e 212.113.119[.]6.

12 ottobre 2023Sala stampaSicurezza del sito web/WordPress

I ricercatori di sicurezza informatica hanno fatto luce su un nuovo sofisticato ceppo di malware che si maschera da plug-in WordPress per creare furtivamente account amministratore e controllare da remoto un sito compromesso.

“Completo di un commento di apertura dall’aspetto professionale che implica che si tratta di un plug-in di memorizzazione nella cache, questo codice canaglia contiene numerose funzioni, aggiunge filtri per impedire di essere incluso nell’elenco dei plug-in attivati ​​e dispone di funzionalità di ping che consente a un utente malintenzionato di verificare se il script è ancora operativo, così come le funzionalità di modifica dei file,” Wordfence disse.

Il plugin offre anche la possibilità di attivare e disattivare plugin arbitrari sul sito da remoto, nonché di creare account amministratore non autorizzati con il nome utente superadmin e una password codificata.

In quello che viene visto come un tentativo di cancellare le tracce di compromissione, presenta una funzione denominata “_pln_cmd_hide” progettata per rimuovere l’account superadmin quando non è più necessario.

Alcune delle altre funzioni degne di nota del malware includono la capacità di attivare in remoto varie funzioni dannose, alterare post e contenuto della pagina e inserire collegamenti o pulsanti di spam e fare in modo che i crawler dei motori di ricerca indicizzino contenuti dubbi in modo da reindirizzare i visitatori del sito verso siti imprecisi.

“Nel loro insieme, queste funzionalità forniscono agli aggressori tutto ciò di cui hanno bisogno per controllare e monetizzare da remoto un sito vittima, a scapito del posizionamento SEO del sito stesso e della privacy dell’utente”, ha affermato il ricercatore Marco Wotschka.

“L’attivazione remota del plug-in, la creazione e l’eliminazione degli utenti amministratori, nonché il filtraggio condizionale dei contenuti consentono a questa backdoor di eludere un facile rilevamento da parte dell’utente inesperto.”

La portata degli attacchi e l’esatto vettore di intrusione iniziale utilizzato per violare i siti sono attualmente sconosciuti.

La divulgazione arriva quando Sucuri ha rivelato che più di 17.000 siti Web WordPress sono stati compromessi nel mese di settembre 2023 con Malware Balada Injector per aggiungere plugin dannosi e creare amministratori di blog non autorizzati.

Tutti amano un accordo. Sconti e coupon promozionali possono motivare gli acquirenti. I commercianti di WordPress possono facilmente aggiungere una varietà di plugin promozionali con costi aggiuntivi minimi o nulli.

Ecco un elenco di plugin scontati e promozionali per WordPress. Sono disponibili plug-in per coupon, timer di vendita, codici di iscrizione, ruote delle offerte, buoni regalo e altro ancora. La maggior parte dei plugin elencati sono gratuiti, anche se molti offrono opzioni premium.

Plugin promozionali

Coupon avanzati per WooCommerce è un plugin gratuito per applicare offerte coupon. Esegui le tue offerte “Paga uno, prendi uno” e i coupon URL. Organizza con categorie di coupon e limita i coupon WooCommerce in base al ruolo dell’utente. Proteggiti dall’utilizzo accidentale degli sconti con le Condizioni del carrello (regole dei coupon). Mostra i coupon WooCommerce nella casella di anteprima dell’ordine rapido. Prezzo: gratuito. I piani premium partono da $ 59,50 all’anno.

Coupon avanzati per WooCommerce

Ruota di ottimizzazione WP ti consente di aumentare le vendite o la lista e-mail offrendo ai visitatori la possibilità di vincere un coupon o un altro premio girando la ruota della fortuna. La versione pro offre una personalizzazione avanzata. Prezzo: gratuito. La versione Pro parte da $ 49 all’anno.

Buoni regalo YITH WooCommerce è una soluzione semplice e gratuita per iniziare a vendere buoni regalo sul tuo sito di e-commerce. I clienti possono scegliere tra gli importi impostati, selezionare un’immagine per personalizzare la carta regalo, inserire i dettagli del destinatario, aggiungere un messaggio e acquistare la carta regalo come qualsiasi altro prodotto nel tuo negozio e-commerce. Prezzo: gratuito. Il premio è di $ 129,99 all’anno.

Regole di sconto per WooCommerce ti consente di creare sconti per quantità, prezzi dinamici, sconti avanzati, sconti percentuali, sconti basati sui prodotti e sconti a scaglioni per i tuoi prodotti. La versione pro consente sconti a prezzo fisso, offerte BOGO e altro ancora. Prezzo: gratuito. La versione Pro costa $ 59 all’anno.

Regole di sconto per WooCommerce

Sconto sulla categoria di prodotto Woo ti consente di applicare o rimuovere uno sconto sui prodotti in base alle categorie esistenti. La versione pro ti consente di applicare sconti per categorie di prodotto, attributi, tag e marchi. Pianifica sconti orari per date future. Escludi prodotti specifici dagli sconti. Prezzo: gratuito. La versione Pro costa $ 25.

Finale Lite è un timer per il conto alla rovescia per le campagne promozionali. Crea campagne di vendita urgenti e pianificate, come vendite flash, promozioni stagionali, sconti basati su codici, offerte pre-lancio, offerte giornaliere, campagne con scadenze di spedizione più rapide, sconti istantanei, offerte anticipate e offerte ricorrenti. La versione pro ti consente di iniziare subito la tua campagna o pianificarla per una data successiva, creare campagne ricorrenti, visualizzare coupon con scadenza temporale e altro ancora. Prezzo: gratuito. I piani Pro partono da $ 29 all’anno.

Etichette di prodotto avanzate per WooCommerce aggiunge un’etichettatrice per promuovere i tuoi prodotti. Mostra sconti, “spedizione gratuita” o altri attributi unici. Utilizza le condizioni per aggiungere ciascuna etichetta a prodotti specifici nel tuo negozio. Prezzo: gratuito.

Etichette di prodotto avanzate per WooCommerce

Punti e premi per WooCommerce è un plug-in di gestione dei punti che coinvolge i clienti offrendo loro punti su attività del negozio come registrazione, acquisto e referenze. Crea un programma di abbonamento per premiare i clienti fedeli con offerte esclusive. I clienti possono riscattare i propri punti nel carrello o nella pagina di pagamento. Prezzo: gratuito.

Funzionalità estese dei coupon WooCommerce aggiunge funzionalità ai coupon WooCommerce e consente regole di sconto automatiche. Applica coupon tramite un URL e limita i coupon in base al metodo di spedizione, al metodo di pagamento, ai prodotti combinati e ai ruoli del cliente. Utilizza ulteriori restrizioni sui coupon con la versione premium. Prezzo: gratuito. Pro costa € 29,00.

Prezzi dinamici avanzati per WooCommerce ti consente di impostare rapidamente sconti e regole di prezzo per il tuo negozio WooCommerce. Imposta eventuali sconti o prezzi dinamici, inclusi i prezzi all’ingrosso, e attiva o disattiva le regole secondo necessità. Prezzo: gratuito. La versione Pro costa $ 60 all’anno.

Generatore di popup di OptinMonster è un plug-in di marketing per eseguire pop-up promozionali interattivi, come moduli di attivazione “gira una ruota” gamificati, pop-up mobili e scorrevoli, timer per il conto alla rovescia e altro ancora. Prezzo: gratuito per un massimo di 500 impressioni di campagna al mese e due campagne. I piani Pro partono da $ 9 al mese.

Generatore di popup di OptinMonster

Ruota girevole per WooCommerce stimola le vendite aggiungendo una “ruota della fortuna” al tuo sito. La ruota può generare automaticamente coupon per i clienti quando vincono. Configura la visualizzazione della ruota nell’intento di uscita, in modo che il visitatore abbia la possibilità di girare la ruota prima di uscire. Imposta la durata di tempo durante la quale il tuo sito web mostrerà la ruota. La ruota personalizzabile ti dà il controllo completo sulle opzioni di testo e colore per abbinarlo al tema del tuo sito web. Prezzo: $ 49 all’anno.

Pacchetti di prodotti WPC per WooCommerce ti consente di creare offerte che combinano più prodotti in vendita. Aumenta le vendite di diversi prodottie sviluppare strategie di cross-selling. Prezzo: gratuito.

Coupon intelligenti per WooCommerce aggiunge opzioni avanzate ai coupon WooCommerce predefiniti. Crea offerte BOGO, buoni regalo, buoni negozio e coupon basati sul comportamento. Crea coupon intelligenti che si applicano automaticamente quando i consumatori aggiungono prodotti al carrello. Emettere coupon con vari opzioni di pagamentocome metodi di spedizione o ruoli utente. Incorpora prodotti omaggio nei coupon. Prezzo: $ 69 all’anno.

Pulsante di rivelazione coupon e codice sconto ti aiuta a creare e gestire rapidamente i pulsanti di invito all’azione promozionali. Personalizza la visualizzazione del tuo coupon con la tua combinazione di colori e utilizza e riutilizza tutti i pulsanti del coupon e del codice bonus su qualsiasi pagina. Prezzo: gratuito.

Pulsante di rivelazione coupon e codice sconto