Categoria: Wordpress

Il web hosting è un servizio che ti consente di ospitare un sito web online. I fornitori di servizi Internet (ISP) offrono spesso servizi di hosting come parte di un piano web, mentre alcune società di hosting dedicate sono specializzate in servizi di web hosting. Questi fornitori di servizi solitamente forniscono spazio di archiviazione e larghezza di banda sui propri server, a cui gli utenti possono accedere tramite il World Wide Web. Il Black Friday è un ottimo momento per scoprire enormi sconti servizi di hosting webcompresi quelli attualmente offerti da Nexcess. Puoi usufruire di enormi sconti su WordPress, WooCommerce e Hosting Magento gestito per un periodo limitato.

Perchè Nexcess?

Affidabilità e sicurezza dovrebbero essere le tue massime priorità quando scegli un provider di hosting. E se stai cercando un fornitore che offra entrambi, oltre a tempi di attività e velocità eccellenti, vale la pena considerare Nexcess.

Con una solida infrastruttura di hosting gestito e funzionalità di sicurezza avanzate, Nexcess può darti la tranquillità di concentrarti su ciò che è importante: far crescere il tuo sito web o la tua attività. E se mai avessi bisogno di assistenza, il loro team di supporto 24 ore su 24, 7 giorni su 7, è sempre pronto ad aiutarti.

Sebbene i servizi Nexcess possano essere un po’ costosi, i loro vantaggi valgono l’investimento. E se stai cercando di risparmiare, le offerte del Black Friday e del Cyber ​​Monday possono essere una grande opportunità.

Ma non è tutto: Nexcess offre anche prezzi trasparenti e numerosi omaggi, rendendoli una scelta eccellente per coloro che apprezzano l’onestà e la convenienza.

Quindi, se desideri un provider di hosting in grado di fornirti tempi di attività e velocità eccellenti, funzionalità di sicurezza superiori e supporto 24 ore su 24, Necessario vale la pena considerare. Non lasciarti spaventare dal prezzo: i vantaggi che offrono lo rendono un investimento utile a lungo termine.

WP Cache più veloce, a WordPress Il plug-in attualmente utilizzato da oltre 1 milione di utenti che aiuta a fornire in modo più efficiente i propri siti Web, sta affrontando un problema di sicurezza con la sua versione 1.2.2. Questo aggiornamento risolve una vulnerabilità SQL injection rilevata durante una revisione interna da parte del team WPScan. La vulnerabilità ha consentito a un utente malintenzionato non autenticato di accedere con il tempo all’intero database WordPress‑carico utile basato su blind SQL injection.

Il team di sviluppo di WP Fastest Cache è stato immediatamente avvisato di questa vulnerabilità da WPScan, che ha portato all’aggiornamento 1.2.2 che contiene la correzione di questo problema. Si consiglia vivamente agli amministratori di WordPress che hanno questo plug-in attualmente installato di applicare l’aggiornamento il più rapidamente possibile per ridurre al minimo eventuali danni ai propri siti Web.

WPScan è entrato nei dettagli essenziali riguardanti la vulnerabilità, spiegando come il colpevole sia una funzione trovata nel codice del plugin. Secondo WPScan, “La funzione recupera la variabile $username da qualsiasi cookie con il testo wordpress_logged_in nel suo nome, recuperando tutto fino al primo | carattere. La variabile viene quindi inserita nella query senza escape. Nota che questa funzione viene chiamata su tempo di caricamento del plugin, che è prima che wp_magic_quotes() sia stato chiamato sui dati della richiesta.”

Poiché i risultati della query SQL non vengono utilizzati al di fuori di questa funzione, non esiste un modo diretto per recuperarli. Tuttavia, un tempo‑Il payload basato su blind SQL injection può facilmente estrarre qualsiasi informazione dal database utilizzando questa vulnerabilità.

WPScan è un servizio di sicurezza di WordPress che ricerca le vulnerabilità nel popolare sistema di gestione dei contenuti e mantiene un database che cataloga 43.655 vulnerabilità di core, plugin e temi di WordPress.

La botnet IPStorm smantellata dopo la dichiarazione di colpevolezza dell’hacker

L’FBI ha smantellato la rete proxy botnet IPStorm e la sua infrastruttura questa settimana a seguito di un patteggiamento con l’hacker dietro l’operazione. Il malware IPStorm è stato individuato per la prima volta nel giugno 2019 e utilizzava il protocollo peer-to-peer InterPlanetary File System (IPFS) per infettare migliaia di dispositivi Linux, Mac e Android in tutto il mondo. A settembre, Sergei Makinin, cittadino russo e moldavo, si è dichiarato colpevole di tre accuse di pirateria informatica, ciascuna delle quali prevede una pena massima di dieci anni di carcere. Makinin ha guadagnato almeno 550.000 dollari vendendo l’accesso illegittimo a dispositivi infetti a clienti che cercavano di nascondere le proprie attività su Internet. Ha accettato di rinunciare a tutti i proventi delle criptovalute relativi all’operazione.

(Il disco)

La corte federale stabilisce che i giganti dei social media devono affrontare cause legali sulla sicurezza dei bambini

Martedì, un giudice distrettuale degli Stati Uniti ha respinto una mozione dei giganti dei social media di archiviare le azioni legali contro di loro. I distretti scolastici degli Stati Uniti hanno intentato una causa contro Meta, ByteDance, Alphabet e Snap, sostenendo che le società causano danni fisici ed emotivi ai bambini. Inoltre, il mese scorso, 42 stati hanno citato in giudizio Meta per le affermazioni che Facebook e Instagram “hanno profondamente alterato le realtà psicologiche e sociali di una generazione di giovani americani”. La sentenza di martedì afferma che il Primo Emendamento e la Sezione 230, che afferma che le piattaforme non dovrebbero essere trattate come editori di contenuti di terze parti, non proteggono le piattaforme da ogni responsabilità. Molte delle affermazioni del querelante si riferiscono a presunti “difetti” delle piattaforme, tra cui controlli parentali insufficienti, sistemi deboli di verifica dell’età e difficili processi di cancellazione degli account.

(Il limite)

Le autorità avvertono delle attività e del rebranding della banda del riscatto reale

Martedì, l’FBI e la CISA hanno emesso un avviso congiunto incentrato sulla minaccia rappresentata dalla banda di ransomware Royal. Royal ha preso di mira più di 350 vittime in tutto il mondo, guadagnando 275 milioni di dollari da settembre 2022. Le autorità affermano che Royal ha sfruttato il phishing per ottenere l’accesso iniziale alla rete nel 66,7% dei loro attacchi e continua a utilizzare tattiche di crittografia parziale e doppia estorsione. La tecnica di crittografia parziale consente a Royal di ridurre la percentuale di crittografia per file più grandi e aiuta a eludere il rilevamento. Si ritiene che Royal sia emersa dall’ormai defunto Conti Group e potrebbe nuovamente rinominarsi Blacksuit, una banda emersa a metà di quest’anno. L’avviso include un elenco di file, programmi e indirizzi IP associati agli attacchi di Royal e raccomanda alle organizzazioni di dare priorità alla riparazione delle vulnerabilità sfruttabili, rafforzare la formazione sul phishing dei dipendenti e applicare l’autenticazione a più fattori sui loro sistemi.

(Lettura oscura)

Intel risolve un bug della CPU di elevata gravità che causa un “comportamento molto strano”

Martedì, Intel ha pubblicato le correzioni per un bug della CPU di elevata gravità (CVE-2023-23583) che colpisce praticamente tutte le moderne CPU Intel, facendole “entrare in uno stato glitch”. Google ha identificato il problema che può provocare arresti anomali del sistema e escalation dei privilegi anche quando viene eseguito codice non attendibile all’interno di un account ospite di una macchina virtuale. Si presumeva che la maggior parte dei modelli di sicurezza cloud fossero al sicuro da tali errori. Il bollettino ufficiale di Intel elenca due classi di prodotti interessati, quelli già risolti e quelli risolti dagli aggiornamenti del microcodice di martedì.

(Ars Tecnica)

Un enorme ringraziamento al nostro sponsor, Sysdig

Il bug espone 600.000 siti WordPress agli attacchi

Un plugin WordPress chiamato WP Fastest Cache è vulnerabile a una vulnerabilità SQL injection (CVE-2023-6063) che potrebbe consentire ad aggressori non autenticati di leggere il contenuto del database del sito. Il plug-in viene utilizzato per accelerare il caricamento delle pagine, migliorare l’esperienza dei visitatori e aumentare il posizionamento del sito nella ricerca di Google. Secondo WordPress.org, oltre 600.000 siti Web eseguono versioni di plugin vulnerabili, tutte precedenti alla versione 1.2.2. Lunedì è stata rilasciata una correzione per il bug ad alta gravità e WPScan prevede di rilasciare un exploit proof-of-concept (PoC) a bassa complessità il 27 novembre 2023.

(Computer che suona)

Probabilmente dovresti patcharlo (edizione Patch Tuesday)

Martedì, Microsoft ha rilasciato correzioni per oltre cinque dozzine di buchi di sicurezza, comprese tre vulnerabilità zero day sfruttate negli attacchi attivi. Il primo zero-day (CVE-2023-36025) consente ai contenuti dannosi di ignorare la funzionalità di sicurezza Windows SmartScreen dopo che un utente fa clic su un collegamento dannoso. Il secondo zero day (CVE-2023-36033) è una vulnerabilità nella DWM Core Library in Windows 10 e versioni successive e Windows Server 2019 e versioni successive che può essere sfruttata localmente, con bassa complessità e senza bisogno di privilegi di alto livello o interazione con l’utente. L’ultimo zero day è un problema di Windows Cloud Files Mini Filter Driver (CVE-2023-36036) che consente agli aggressori di aumentare i privilegi in un attacco relativamente semplice su Windows 10 e versioni successive e Windows Server 2008 e versioni successive. Altri bug degni di nota includono un difetto di installazione di software dannoso in Microsoft Exchange Server (CVE-2023-36439) e altri tre bug di Exchange designati come “sfruttamento più probabile” (CVE-2023-36050, CVE-2023-36039 e CVE-2023-36035 ). Infine, SANS Internet Storm Center consiglia di dare priorità alla correzione per una vulnerabilità di tipo Denial of Service in ASP.NET Core (CVE-2023-36439) e un bypass della funzionalità di sicurezza di Microsoft Office (CVE-2023-36413).

(Krebs sulla sicurezza)

VMware rivela bug critici dell’appliance senza patch

VMware ha rivelato una vulnerabilità critica di bypass dell’autenticazione (CVE-2023-34060) che interessa le distribuzioni dell’appliance Cloud Director. Cloud Director consente agli amministratori VMware di gestire i servizi cloud come parte dei Virtual Data Center (VDC). Gli aggressori non autenticati potrebbero sfruttare in remoto il bug negli attacchi a bassa complessità che non richiedono l’interazione dell’utente. Il problema riguarda solo gli apparecchi che eseguono VCD Appliance 10.5 precedentemente aggiornati da una versione precedente. La società ha affermato che il bug non influisce sulle nuove installazioni di VCD Appliance 10.5, sulle distribuzioni Linux e su altri dispositivi. VMware non dispone ancora di una patch per il problema ma ha pubblicato una soluzione temporanea nella sua knowledge base.

(Computer che suona)

Una nuova ricerca rivela che le vulnerabilità del software sono in declino

Martedì, Synopsys, Inc. ha pubblicato il rapporto 2023 Software Vulnerability Snapshot che rivela che il numero di vulnerabilità software note è sceso dal 97% nel 2020 all’83% nel 2022. Solo il 27% dei test conteneva vulnerabilità ad alta gravità e il 6,2% conteneva vulnerabilità di gravità critica. Questo è un segnale incoraggiante del fatto che le revisioni del codice, i test automatizzati e l’integrazione continua stanno contribuendo a ridurre gli errori di programmazione comuni. I dati del report sono stati derivati ​​sfruttando tecniche di hacking del mondo reale (test di penetrazione (pen), test dinamici di sicurezza delle applicazioni (DAST), test di sicurezza delle applicazioni mobili (MAST) e test di sicurezza di rete) su applicazioni web, applicazioni mobili, sistemi di rete e codice sorgente . Sebbene si tratti di uno sviluppo positivo per il settore, il rapporto evidenzia che le singole soluzioni di test di sicurezza non sono più sufficienti per identificare le vulnerabilità del software.

(Lettura oscura)

Il plugin WordPress WP Fastest Cache è vulnerabile a una vulnerabilità SQL injection che potrebbe consentire agli aggressori non autenticati di leggere il contenuto del database del sito.

WP Fastest Cache è un plug-in di memorizzazione nella cache utilizzato per accelerare il caricamento delle pagine, migliorare l’esperienza dei visitatori e aumentare il posizionamento del sito nella ricerca di Google. Secondo le statistiche di WordPress.org, è utilizzato da più di un milione di siti.

Scaricamento statistiche da WordPress.org mostrano che più di 600.000 siti web eseguono ancora una versione vulnerabile del plugin e sono esposti a potenziali attacchi.

Oggi, il team WPScan di Automattic divulgato i dettagli di una vulnerabilità SQL injection, tracciata come CVE-2023-6063 e con un punteggio di gravità elevato pari a 8.6, che colpisce tutte le versioni del plugin precedenti alla 1.2.2.

Le vulnerabilità SQL injection si verificano quando il software accetta input che manipolano direttamente le query SQL, portando all’esecuzione di codice SQL arbitrario che recupera informazioni private o l’esecuzione di comandi.

In questo caso, il difetto colpisce la funzione “is_user_admin” della classe “WpFastestCacheCreateCache” all’interno del plugin WP Fastest Cache, che ha lo scopo di verificare se un utente è un amministratore estraendo il valore “$username” dai cookie.

Poiché l’input “$username” non viene ripulito, un utente malintenzionato può manipolare il valore di questo cookie per alterare la query SQL eseguita dal plug-in, portando ad un accesso non autorizzato al database.

I database di WordPress in genere includono informazioni sensibili come dati utente (indirizzi IP, e-mail, ID), password degli account, impostazioni di configurazione di plug-in e temi e altri dati necessari per le funzioni del sito.

WPScan rilascerà un exploit proof-of-concept (PoC) per CVE-2023-6063 il 27 novembre 2023, ma va notato che la vulnerabilità non è complessa e gli hacker possono capire come sfruttarla.

Una correzione è stata resa disponibile dallo sviluppatore WP Fastest Cache nella versione 1.2.2, rilasciata ieri. Si consiglia a tutti gli utenti del plugin di eseguire l’aggiornamento alla versione più recente il prima possibile.

Nell ‘”aria” c’è il Atto schema profondo suo Atto dell’animaun pieno plug-in WordPress per la creazione di dati strutturati su siti web, da parte di programmatori greci con profonda conoscenza ed esperienza nel funzionamento degli schemi di Google.

Come si legge nel relativo comunicato stampa, Actus Deep Schema “è lo strumento definitivo e uno studio approfondito per la marcatura di un sito web con schemi (schema markup), contribuendo alla SEO (Search Engine Optimization) e al suo migliore posizionamento nei motori di ricerca e ‘ per potenziare il traffico. In particolare, consente il markup per 23 schemi di base, 39 schemi secondari e varianti e 220 tipi.

Vale la pena notare che oggi i Dati Strutturati rappresentano la punta di diamante del settore SEO, in quanto Google stessa ha investito sistematicamente in questo settore e ne ha evidenziato l’importanza catalitica nella comprensione dei contenuti di un sito web da parte dei motori di ricerca, il suo ruolo complementare nel processo di machine learning, ma anche il suo contributo decisivo alla visualizzazione arricchita dei risultati nei motori di ricerca (rich results).

Ora è il metodo principale attraverso il quale un sito web può acquisire in modo sistematico e approfondito l’ambito EAT: competenza, autorevolezza e affidabilità.

Actus Anima dichiara nel relativo comunicato aziendale di aver compreso e studiato a fondo la complessa e labirintica struttura degli schemi per il web e di aver creato l’unico plugin che automaticamente e in modo semplice struttura e interconnette in modo approfondito ogni sito web, seguendo secondo le linee guida di Google.

Come accennato in genere, la superiorità di Actus Deep Schema si basa su quanto segue:

1. È l’unico plugin che, seguendo le linee guida di Google e schema.org, ha raggiunto una tale profondità nella struttura e nell’interconnessione dei singoli elementi di un sito web. Nello specifico, offre 23 tipi di forme principali, 39 tipi minori e varianti e 220 tipi per prodotti, servizi, libri, eventi, ricette, app, tutorial, video e altro ancora.

2. Ciò avviene in modo sostanzialmente automatico, in quanto SOLO installandolo, il sito acquisisce automaticamente i seguenti schemi in forma completa, senza che l’utente faccia il minimo intervento, anche se gli viene data la possibilità di compilare e personalizzare: Pagina Web, Locale affari, breadcrumb, articolo, pubblico, pagina del profilo, pagina della raccolta, pagina dell’articolo, pagina dei risultati di ricerca,
Pagina Informazioni, Pagina Contatti, Prodotto, Pagina Pagamento, Evento.

3. Offre connessione API con directory e servizi di dati, disegnando tutti i dati utili per costruire e interfacciare le pagine tra loro. Permette così l’interconnessione di ogni sito web con directory affidabili e valide, conferendogli valore e competenza. In particolare offre connessione Api a:
-youtube e noembed per estrarre dati come immagine, titolo, durata, meta descrizione, tag, capitolo di tutti i video in modo semplice
– Dati wiki per l’estrazione di tutti i tipi di dati, che a loro volta sono stati strutturati in modo molto approfondito, secondo le linee guida sui dati strutturati. In questo modo, ogni sito web è collegato automaticamente ed in modo estremamente analitico con qualsiasi informazione relativa e di valore al marchio (luogo, libro, prodotto, film, persona, malattia, farmaco, animale sportivo, ecc.)
– Wikipedia e Product Ontology per estrarre dati su tipologie di prodotti e servizi.

4. Cooperazione con Woocommerce

5. Collaborazione con plugin di terze parti come The Events Calendar e Cook

6. Ottima interfaccia con WordPress ed estrazione dinamica di tutte le informazioni importanti, con compilazione automatica dei campi relativi al contenuto delle pagine.

7. Gestione della profondità dello schema semplice e intuitiva. Il plugin è progettato attentamente, con un’interfaccia pulita e funzionale, per consentire all’utente di gestire facilmente diverse tipologie di dati.

8. Guida molto dettagliata nel completamento dei campi, fornendo i campi obbligatori e consigliati, ma anche suggeriti dal nostro team. Infatti è l’unico plugin che offre una descrizione e istruzioni di compilazione per ogni campo.

9. Valutazione (convalida) automatica da parte di schema.org e da Google, senza richiedere la pubblicazione di pagine ottimizzate.

Il plugin Actus Deep Schema si rivolge a sviluppatori, esperti SEO, marketer digitali, ma – per la sua semplicità – anche all’utente medio che ha un sito web e desidera migliorarne il posizionamento e l’autorità nei motori di ricerca.

Memorizziamo i cookie sul tuo computer per migliorare la tua esperienza e fornire servizi più personalizzati, sia su questo sito che su altri siti. Per ulteriori informazioni sui cookie che utilizziamo, consultare la nostra Informativa sulla privacy. Non terremo traccia delle tue informazioni quando visiti il ​​nostro sito. Dovremo utilizzare almeno un cookie per assicurarci che tu non debba effettuare nuovamente questa scelta.Accettarepolitica sulla riservatezza