Categoria: Wordpress

Nell’era contemporanea della tecnologia digitale, lo sviluppo di software si distingue come una delle competenze più redditizie e ricercate. Sebbene perseguire una carriera a tempo pieno come sviluppatore di software offra una fonte di reddito affidabile, un numero crescente di sviluppatori sta esplorando attivamente strade per generare guadagni passivi. Il reddito passivo si riferisce al denaro che matura con uno sforzo continuo minimo, in genere dopo una fase di configurazione iniziale. All’interno di questa guida completa, approfondiremo numerosi metodi attraverso i quali gli sviluppatori di software possono coltivare un reddito passivo, presentati in modo semplice e illustrati con esempi pratici di vita reale.

1. Crea e vendi prodotti digitali

Uno dei modi più accessibili per guadagnare un reddito passivo come sviluppatore di software è creare e vendere prodotti digitali. Questi prodotti possono includere app mobili, applicazioni web, plug-in, temi o strumenti software. Diamo un’occhiata più da vicino a un esempio:

1.1 Modelli di applicazioni Web

• Esempio: Progetti e sviluppi una serie di modelli di applicazioni web reattive su misura per settori specifici, come l’e-commerce, la sanità o la finanza.
• Piattaforma: Puoi vendere questi modelli su mercati come TemaForesta, TemplateMonstero il tuo sito web.

1.2 Plugin WordPress

• Esempio: Crei un plug-in WordPress che migliora la funzionalità dei siti Web di e-commerce, offrendo funzionalità come la ricerca avanzata dei prodotti o opzioni di pagamento personalizzate.
• Piattaforma: WordPress.org per plugin gratuiti o CodiceCanyon per i plugin premium.

1.3 Strumenti software per sviluppatori

• Esempio: Svilupperai uno strumento di ottimizzazione del codice che aiuta gli sviluppatori a identificare e risolvere i problemi di prestazioni nelle loro applicazioni.
• Piattaforma: Puoi commercializzare e vendere questo strumento direttamente tramite il tuo sito web o su piattaforme focalizzate sugli sviluppatori come Mercato GitHub.

1.4 Temi software premium

• Esempio: Progetti e codifichi temi premium per applicazioni software popolari come la gestione dei contenuti…

Nel fiorente mondo dell’eCommerce, il marketing è più di una semplice opzione; è un’ancora di salvezza che può migliorare significativamente la crescita e le vendite.

UN strategia di marketing ben pianificata ed eseguita può distinguere il tuo negozio online dagli altri, attirando molti clienti e generando entrate esponenziali.

In questa era digitale, l’utilizzo di plugin e piattaforme per semplificare e potenziare gli sforzi di marketing è fondamentale per qualsiasi attività di e-commerce. Questi strumenti, che vanno da quelli gratuiti a quelli premium, offrono immense capacità per indirizzare, raggiungere e convertire potenziali clienti in modo più efficace ed efficiente.

Questo post approfondirà alcuni dei migliori plug-in e piattaforme di marketing e-commerce per il 2023. Esistono molti strumenti gratuiti, ma qualsiasi negozio di e-commerce degno di questo nome investirà in potenti plug-in di e-commerce.

A questo punto, devo smentire che alcuni dei prodotti qui menzionati appartengono a me e ai miei co-fondatori. Tuttavia, non consigliamo questi prodotti per interesse personale o lo facciamo alla leggera.

Uno dei motivi principali per cui la mia attività e il mio marchio esistono è che il nostro pubblico ci contatta, in particolare richiedendo strumenti che rispondano alle loro esigenze. Dieci anni fa, la situazione del mercato era tale che esisteva un forte divario di strumenti utili generazione di leadmarketing tramite posta elettronica e così via. E abbiamo fatto del nostro meglio per colmare questa lacuna con prodotti di prim’ordine, alcuni dei quali sono elencati di seguito.

Ecco i migliori plugin di marketing eCommerce per il 2023.

1. Miglior plugin per la generazione di lead: OptinMonster

È raro che il pubblico e gli utenti arrivino semplicemente alla pagina di un prodotto e acquistino qualcosa senza un graduale accumulo di esso.

Ecco perché la lead generation è così importante. Per i siti di eCommerce, ciò significa utilizzare un modulo popup opzionale che appare esattamente al momento giusto per impedire a un potenziale cliente di andarsene senza un modo per riportarlo indietro.

Il modo più efficace e diretto per gestirlo è utilizzare un modulo popup di attivazione orientato alla creazione di lead.

E il nostro OptinMonster è uno di questi strumenti. È progettato per piccole imprese e professionisti e svolge funzioni sofisticate, un tempo disponibili solo per le grandi aziende con team di sviluppo interni.

Questo strumento ti consente di creare un semplice modulo di acquisizione di lead in corrispondenza di trigger specifici. Per esempio:

• Quando raggiungono una sezione specifica della pagina, come la parte centrale o la fine
• Quando iniziano a passare con il mouse sul pulsante di chiusura
• Pochi minuti o secondi dopo essere arrivati ​​sulla tua pagina e così via

Per i negozi di eCommerce, l’utilizzo di uno strumento come questo consente loro di entrare in contatto con le persone anche dopo che sono uscite da una pagina di destinazione o da una pagina di prodotto. E col tempo, puoi coltivare il tuo vantaggio e convincerli ad acquistare da te in futuro.

2. Miglior plugin per prove sociali e FOMO: TrustPulse

Nel mondo dell’eCommerce, la prova sociale non è più un optional. È un must per aumentare le vendite e le conversioni.

Un modo efficace per mostrare prove sociali senza interrompere l’esperienza del cliente è mostrargli una piccola bolla nell’angolo dello schermo. Tale notifica informa il cliente che “Eileen di New York ha acquistato questo prodotto 3 ore fa” o “Jason di Londra lo ha aggiunto al carrello proprio ora” e così via.

Questa è una notifica di prova sociale. Utilizzando un plugin come TrustPulse, puoi facilmente collegare le attività del tuo negozio per generare automaticamente tali notifiche.

Puoi evidenziare che un prodotto è in rapida vendita, che qualcuno nelle vicinanze lo ha acquistato, che sta per finire e così via.

È anche facile creare l’effetto Fear of Missing Out (FOMO) impostando un timer per mostrare quando un articolo sarà esaurito o se stai eseguendo una promozione.

3. Miglior plug-in CRM eCommerce: HubSpot

La personalizzazione è la chiave del successo per il tuo negozio di e-commerce. Non è più sufficiente offrire semplicemente un’esperienza incentrata sul cliente.

Devi andare oltre, ad esempio comprendere la loro storia con te, le loro preferenze o interessi, e quindi creare offerte di conseguenza. È qui che entra in gioco uno strumento CRM o Customer Relationship Management.

HubSpot è un potente plugin CRM che fornisce informazioni dettagliate sulle esigenze dei tuoi clienti. Ti aiuta ad analizzare i dati dei clienti, a creare offerte mirate e a interagire con loro tramite messaggi personalizzati.

Ti consente inoltre di impostare campagne di marketing all’interno della stessa piattaforma e monitorare il ROI per ciascuna di esse. E ciò che lo rende eccezionale per le piccole imprese è che puoi facilmente incorporarlo nel tuo sito WordPress utilizzando il suo plug-in.

4. Miglior plug-in per la creazione di funnel eCommerce: FunnelKit

Le canalizzazioni aiutano a spostare i clienti da una fase del processo di acquisto (consapevolezza, considerazione, decisione) a un’altra. Una configurazione efficace della canalizzazione è fondamentale per qualsiasi negozio di e-commerce per far valere ogni lead.

Il nostro prodotto personale: FunnelKit è un plug-in per la creazione di funnel incentrato sull’e-commerce. Aiuta a creare, costruire e gestire canalizzazioni per acquisire clienti, spingere le vendite, coinvolgere nuovamente i clienti e altro ancora.

Offre diversi modelli predefiniti progettati per raggiungere i tuoi obiettivi nel modo più efficace possibile. Vai semplicemente alla dashboard e personalizza uno qualsiasi dei kit già ottimizzati che effettueranno vendite o costruiranno la tua lista e-mail.

Non è necessaria alcuna codifica e disponi di un builder visivo e intuitivo che ti consente di aggiungere upsell, pagine di ringraziamento e altro ancora.

E hai una dashboard delle prestazioni che mostra come gli utenti interagiscono con i tuoi contenuti. Riceverai moltissime informazioni utili per apportare miglioramenti e, naturalmente, vendere di più.

5. Miglior plugin per notifiche push: PushEngage

Il problema con l’email marketing è che ha ritardato la comunicazione. Il tuo pubblico potrebbe aprire o meno la tua email e probabilmente dimenticherà tutto del tuo contenuto.

Ben presto, il loro provider di posta elettronica spingerà le tue email verso il basso e non saranno più visibili.

Tuttavia, se utilizzi un plug-in di notifica push come PushEngage, il tuo pubblico riceverà immediatamente le notifiche, anche quando non si trova sul proprio sito.

Cioè, se crei un motivo sufficientemente convincente per indurre le persone ad accettare le notifiche push. E se ti assicuri di non inviare spam alle persone con contenuti non necessari.

PushEngage ti consente di impostare notifiche automatizzate per ricordare ai clienti offerte speciali e saldi o inviare messaggi personalizzati al momento giusto. Ti consente inoltre di segmentare i tuoi messaggi per indirizzare meglio gli utenti. È ottimo anche per inviare informazioni tempestive ai clienti.

Uno dei nostri casi preferiti è quando una società di atletica ha tenuto un webinar ma ha avuto interruzioni tecniche due volte! Con il nostro plugin, sono riusciti a riportare la maggior parte del pubblico del webinar e hanno perso solo un piccolo numero di spettatori.

Come puoi vedere, ci sono molti modi creativi in ​​cui uno strumento di notifica push può aiutarti a migliorare le vendite del tuo e-commerce.

6. Miglior plug-in di pagamento Stripe: WP Simple Pay

Stripe è uno dei gateway di pagamento più popolari per i negozi di e-commerce. È veloce, sicuro e supporta più valute e lingue.

Ma forse non hai uno sviluppatore nel tuo team per configurare rapidamente Stripe sul tuo sito. È qui che entra in gioco WP Simple Pay Pro.

WP Simple Pay Pro è un plug-in per gateway di pagamento Stripe potente e facile da usare. Con esso, puoi facilmente aggiungere un gateway di pagamento Stripe al tuo sito di e-commerce senza alcuna codifica complessa. Questo plugin ti consente di accettare pagamenti, abbonamenti e donazioni direttamente sul tuo sito web, rendendolo più semplice e conveniente per i tuoi clienti.

Ciò che distingue WP Simple Pay Pro è la sua semplicità ed efficienza. E come è pensato per raggiungere i tuoi obiettivi di marketing riducendo l’abbandono del carrello e aumentando le conversioni.

Puoi anche integrarlo con altri strumenti e costruire un ecosistema di marketing eCommerce efficiente ed efficace senza costi elevati.

In questo modo, non solo riscuoti i pagamenti, ma comprendi anche i tuoi clienti, ottimizzi le tue canalizzazioni di vendita e interagisci con il tuo pubblico in modi significativi.

7. Miglior costruttore di pagine di destinazione: SeedProd

Le pagine di destinazione sono il fulcro della strategia di marketing online di qualsiasi azienda di e-commerce. Una landing page ben realizzata è fondamentale per convertire i visitatori del sito web in potenziali clienti. Qui mostri i tuoi prodotti o servizi, fai la proposta di valore e spingi i visitatori a intraprendere un’azione specifica, come iscriversi a una newsletter o effettuare un acquisto.

Quindi, vuoi utilizzare SeedProd come plug-in di riferimento per pagine di destinazione ad alta conversione.

Il nostro strumento offre centinaia di modelli, tutti pensati per la vendita.

Con poche personalizzazioni, puoi letteralmente iniziare a promuovere e vendere i tuoi prodotti in pochi minuti, anche se non hai alcuna esperienza di progettazione.

In effetti, questo è il motivo per cui l’abbiamo costruito: in modo che i proprietari di piccole imprese possano svolgere rapidamente lavori di progettazione elaborati.

Basta trascinare e rilasciare gli elementi che ti servono, aggiungere immagini, moduli, ecc. Venderai come un’agenzia di e-commerce professionale in pochissimo tempo.

8. Miglior plugin per il markup dello schema: AIOSEO

Non puoi dimenticarti della SEO quando si tratta di marketing eCommerce. Hai bisogno che le persone trovino il tuo sito, lo visitino e acquistino i tuoi prodotti.

La chiave per questo è utilizzare il markup dello schema. Che cos’è?

È un tipo di codice che aggiungi al tuo sito. Notifica ai motori di ricerca il contenuto di una pagina in modo che possa essere visualizzato nei risultati di ricerca.

Aggiungere manualmente il codice dello schema può essere piuttosto complesso e dispendioso in termini di tempo. Il servizio migliore è utilizzare uno strumento che gestisce le funzioni SEO chiave, in particolare per i siti di e-commerce. Ed è qui che entra in gioco AIOSEO.

Abilitando la funzione di markup dello schema di AIOSEO, puoi aggiungere i tag giusti a diversi elementi del tuo contenuto. Ad esempio, se vendi un’applicazione software, puoi creare campi per aggiungere il nome del prodotto, il sistema operativo, il prezzo, la valuta e così via.

E questo fornisce a Google informazioni preziose sui tuoi prodotti e li rende più facili da trovare.

Ben presto, scoprirai che i tuoi prodotti si classificheranno più in alto nelle pagine dei risultati dei motori di ricerca e otterrai traffico e vendite organici, riducendo i costi.

9. Miglior plugin per il marketing di affiliazione: AffiliateWP

Molte attività di e-commerce si affidano agli affiliati per promuovere e vendere i propri prodotti.

Tuttavia, la creazione di un programma di affiliazione è impegnativa. Utilizzare una piattaforma esistente per elencare i tuoi prodotti e trovare affiliati è possibile, ma l’aspetto negativo è che perdi un po’ di controllo sul processo e paghi una commissione, riducendo i tuoi margini di profitto.

Ecco perché è meglio creare internamente il tuo programma di affiliazione utilizzando un plugin come AffiliateWP.

Ancora una volta, questo è pensato per le piccole imprese e i professionisti con poca competenza tecnica. È completamente intuitivo, visivo e ben supportato, con documentazione, tutorial e un servizio di assistenza clienti competente. Quindi, puoi creare un intero programma di affiliazione da zero con problemi minimi.

E ottieni funzionalità come pagamenti con un clic, monitoraggio avanzato degli affiliati, codici coupon e molto altro.

Se stai cercando un modo semplice per far crescere la tua attività di e-commerce, questo strumento ti aiuterà a farlo.

Conclusione

Entrare nel mondo dell’eCommerce può essere scoraggiante, ma il successo è dietro l’angolo con la giusta configurazione.

Sfruttando gli strumenti e i plugin evidenziati in questa guida, non stai solo configurando un negozio online ma crei un ecosistema che può crescere e adattarsi alla tua attività.

Credito immagine in primo piano: fornito dall’autore; Rupissene; Apri; Grazie!

Il popolare plug-in LiteSpeed ​​WordPress ha risolto una vulnerabilità che ha compromesso oltre 4 milioni di siti Web, consentendo agli hacker di caricare script dannosi.

LiteSpeed ​​è stata informata della vulnerabilità due mesi fa, il 14 agosto, e ha rilasciato una patch in ottobre.

Vulnerabilità del Cross-Site Scripting (XSS).

Wordfence ha scoperto una vulnerabilità Cross-Site Scripting (XSS) nel plugin LiteSpeed, il plugin di caching di WordPress più popolare al mondo.

Le vulnerabilità XSS sono generalmente un tipo che sfrutta la mancanza di un processo di sicurezza chiamato sanificazione e fuga dei dati.

La sanificazione è una tecnica che filtra il tipo di file che possono essere caricati tramite un input legittimo, come in un modulo di contatto.

Nella vulnerabilità specifica di LiteSpeed, l’implementazione di una funzionalità shortcode ha consentito a un hacker malintenzionato di caricare script che altrimenti non sarebbe stato in grado di eseguire se fossero stati implementati i protocolli di sicurezza adeguati di sanificazione/fuga dei dati.

La pagina degli sviluppatori di WordPress descrive il pratica di sicurezza della sanificazione:

“I dati non attendibili provengono da molte fonti (utenti, siti di terze parti, persino il tuo stesso database!) e devono essere tutti controllati prima di essere utilizzati.

…La sanificazione degli input è il processo di protezione/pulizia/filtraggio dei dati di input.”

Un’altra pagina per sviluppatori di WordPress descrive il metodo consigliato processo di fuga dei dati come questo:

“L’escape dell’output è il processo di protezione dei dati di output eliminando i dati indesiderati, come tag HTML o script non validi.

Questo processo aiuta a proteggere i tuoi dati prima di renderli per l’utente finale.”

Questa specifica vulnerabilità richiede che l’hacker ottenga prima le autorizzazioni a livello di collaboratore per eseguire l’attacco, il che rende l’esecuzione dell’attacco più complicata rispetto ad altri tipi di minacce non autenticate (che non richiedono alcun livello di autorizzazione).

Secondo Wordfence:

“Ciò consente agli autori delle minacce di effettuare attacchi XSS archiviati. Una volta inserito in una pagina o in un post, lo script verrà eseguito ogni volta che un utente accede alla pagina interessata.

Sebbene questa vulnerabilità richieda che l’account di un collaboratore fidato sia compromesso o che un utente sia in grado di registrarsi come collaboratore, gli autori delle minacce di successo potrebbero rubare informazioni sensibili, manipolare il contenuto del sito, inserire utenti amministrativi, modificare file o reindirizzare gli utenti a siti Web dannosi che sono tutte conseguenze gravi”.

Quali versioni del plugin LiteSpeed ​​sono vulnerabili?

Le versioni 5.6 o precedenti del plugin LiteSpeed ​​Cache sono vulnerabili all’attacco XSS.

Gli utenti di LiteSpeed ​​Cache sono incoraggiati ad aggiornare il proprio plug-in il prima possibile all’ultima versione, 5.7, rilasciata il 10 ottobre 2023.

Leggi il bollettino Wordfence sulla vulnerabilità XSS LiteSpeed:

4 milioni di siti WordPress interessati dalla vulnerabilità di cross-site scripting archiviata nel plug-in LiteSpeed ​​Cache

Immagine in primo piano di Shutterstock/Asier Romero

Un plugin popolare per WordPress costruttore di siti web con oltre due milioni di installazioni attive presentava una grave falla che consentiva agli autori delle minacce di rubare dati sensibili dai visitatori e, in alcuni casi, di assumere completamente il controllo del sito web.

Il plug-in si chiama Advanced Custom Fields che, insieme alla versione Pro, offre agli amministratori del sito Web un maggiore controllo sui contenuti e sui dati del sito Web.

Estensioni da avere una sezione privata su WordPress ce ne sono tanti e permettono di realizzare progetti complessi. Ma è possibile creare un’area riservata senza plugin se serve solo uno spazio dove organizzare i documenti da scaricare e visualizzare?

Certo. C’è questa possibilità. Se non hai particolari esigenze in termini di pagamenti e permessipuoi sfruttare le funzioni native di WordPress per ottenere quello che vuoi.

Nello specifico, poi, tutto diventa più semplice se si ha l’editor Gutenberg. Vuoi più informazioni? Continua a leggere per scoprire come creare un’area riservata senza plugin.

Crea una pagina o un post in WordPress

Il primo passo per avere aarea privata su WordPress: devi creare una sezione del tuo sito web dedicata a questa operazione. E in cui riunire tutto ciò che deve essere visto solo da persone che hanno il permesso con relativa capacità di fruizione dei contenuti.

Per raggiungere questo obiettivo devi solo decidere se preferisci utilizzare un post o una pagina WordPress. Quest’ultima opzione è perfetta se desideri gestire i contenuti con una soluzione estranea al flusso delle informazioni articoli del blog e da inserire nel menù di navigazione.

Trasforma la pagina in una risorsa privata

Ecco il nocciolo del processo che permette di creare un’area privata senza l’utilizzo di plugin specifici. Ogni pubblicazione WordPress, sia pagina che post, può farlo essere confidenziale. Ciò significa che solo le persone che dispongono di credenziali possono accedere.

I tuoi contenuti saranno protetti da password.

Nel menù a destra dei contenuti è presente una voce dedicata alla visibilità. Qui potrai decidere se la pubblicazione sarà visibile a tutti, privata per gli amministratori o protetta da password. Il nostro obiettivo è mirare su quest’ultima opzione avere un’area riservata

In pratica con questa soluzione possiamo creare una sezione del sito che non è visibile se non grazie all’accesso con una parola chiave che potrai dare a chi preferisci. Il limite è che tutto è limitato ad una sola pubblicazione. Che però puoi gestire in diversi modi.

Come anticipato, non sarà semplice gestire una grande quantità di elementi da scaricare o acquistare senza un’estensione per ottimizzare le aree membership. Ma anche con Gutenberg puoi gestire queste sezioni per creare un’area riservata senza plugin. Qualche esempio concreto?

Scaricamento della pagina

Sai che puoi creare una landing page con WordPress Gutenberg? Se desideri una sezione in cui gli utenti possano trovare un codice sconto, un ebook o altri vantaggi, puoi pensare ad una sezione riservata in stile landing page da creare con blocchi predefiniti.

Crea una pagina di download con Gutenberg.

Su Gutenberg troverai i moduli predefiniti nella sezione “schemi di blocchi”. Qui hai la possibilità di aggiungere colonne con testo e titolo nella pagina web H2 o H3, immagine e pulsante. In sintesi, hai quello che ti serve invitare gli utenti ad agire.

Banca dati

Avere un database nell’area riservata significa rendere tutto più organizzato. Puoi gestire ogni aspetto attraverso una tabella. Sempre con i Blocchi di Gutenberg hai la possibilità di creare una scheda con pochi clic e definire schematicamente i collegamenti più la descrizione.

Cartella stampa

Primo passo per ottenere il massimo dalla tua area privata creata senza plugin: aggiungi i pulsanti per scaricare contenuti riservati. Ad esempio, hai bisogno di una sezione privata del sito per consentire al pubblico di scaricare documenti privati?

Puoi utilizzare il blocco Gutenberg dedicato. SÌ chiama File e lo riconosci subito perché presenta l’icona della cartella. Puoi collegarti a qualsiasi supporto, inserire un pulsante di invito all’azione e aggiungere un’anteprima di qualsiasi documento da scaricare.

Ecco i blocchi di file al lavoro su WordPress.

Una volta caricato il contenuto PDF nella sezione multimediale, puoi prendere l’URL e aggiungilo al pulsante di download del blocco appropriato aggiungendo una descrizione. In questo modo puoi creare un piccolo database da cui scaricare ciò di cui hanno bisogno i tuoi follower.

Troppo lungo; Non ho letto

La cura proattiva del sito Web WordPress è essenziale per il successo a lungo termine. Aggiornamenti regolari, misure di sicurezza e ottimizzazione garantiscono la salute del sito, l’esperienza dell’utente e il posizionamento SEO. Questa guida delinea le strategie e gli strumenti chiave per salvaguardare efficacemente il tuo sito WordPress.

Il core committer di WordPress Pascal Birchler ha pubblicato un Tavola periodica dei plugin WordPress per celebrare l’imminente ventesimo anniversario del software. La tabella mostra 108 dei plugin gratuiti più popolari su WordPress.org.

Dieci anni fa Birchler creò un sito web che mostrava i plugin più popolari in una tabella simile, classificandoli in base al numero di installazioni attive. Questo grafico è stato aggiornato ed è ora disponibile su plugintable.com.

“Oggi sto effettivamente ‘reintroducendo’ questo progetto, completo di un aspetto modernizzato, una maggiore cura e informazioni più utili rispetto a prima”, ha affermato Birchler.

Il sito Web è interattivo, quindi le schede possono essere espanse per visualizzare ulteriori informazioni su ciascun plug-in, incluso l’autore, il conteggio delle installazioni, la valutazione in stelle e la data di prima pubblicazione.

Circa il 57% dei plugin inclusi ha 1 milione o più installazioni, quindi hai la possibilità di vedere a colpo d’occhio tutte le estensioni di WordPress.org di maggior successo. 600k è il numero più basso di installazioni attive per i plugin inclusi nel grafico.

Dopo aver stilato il grafico, Birchler ha notato di essere rimasto colpito dalle statistiche del plugin Really Simple SSL, che ha più di 5 milioni di installazioni attive e una valutazione di 5/5 stelle. Ha inoltre evidenziato Site Kit di Google come l’”elemento” più giovane rilasciato per la prima volta nell’ottobre 2019, con oltre 3 milioni di installazioni attive nella directory in poco più di tre anni. Il plugin XML Sitemaps Generator è il più vecchio tra quelli inclusi, rilasciato nel 2005 poco prima di Akismet.

“Un altro plugin che ha attirato la mia attenzione è WP Multibyte Patch di @eastcoderche offre miglioramenti per i siti giapponesi”, ha affermato Birchler. “Con oltre 1 milione di installazioni, mi chiedo perché il core stesso di WordPress non abbia un supporto migliore per i caratteri multibyte.”

Se ti piace la tabella periodica dei plugin di WordPress e vuoi vederla appesa al muro, Birchler ha creato un Negozio basato su Shopify dove è possibile acquistare una versione stampata di alta qualità. Il poster è disponibile in modalità chiara e scura ed è disponibile anche incorniciato. Ha intenzione di donare i proventi del negozio alla comunità di WordPress.

I plugin di WordPress sono essenziali per aggiungere funzionalità e caratteristiche al tuo sito web, ma possono anche introdurre rischi per la sicurezza se non vengono aggiornati o mantenuti correttamente. In questo post del blog, ti mostrerò come sfruttare una vulnerabilità di escalation dei privilegi nel plugin TheCartPress, che consente a un utente malintenzionato non autenticato di creare un account amministratore su qualsiasi sito WordPress che utilizza questo plugin.

TheCartPress è un plug-in WordPress che ti consente di creare un negozio online con varie funzionalità come gestione del prodotto, carrello della spesa, checkout, gateway di pagamento e altro ancora. Ha oltre 10.000 installazioni attive ed è compatibile con le versioni di WordPress fino alla 5.7.

Tuttavia, il plugin TheCartPress presenta una grave falla di sicurezza che è stata scoperta da Spacehen, un ricercatore di sicurezza che ha pubblicato un codice exploit il 4 ottobre 2021 1. La vulnerabilità è un’escalation di privilegi non autenticata che consente a un utente malintenzionato di creare un account amministratore sul sito di destinazione inviando una richiesta appositamente predisposta al file admin-ajax.php con il parametro di azione impostato su tcp_register_and_login_ajax.

Il codice exploit funziona inviando i seguenti dati al file admin-ajax.php:

data = {
"tcp_new_user_name" : "admin_02",
"tcp_new_user_pass" : "admin1234",
"tcp_repeat_user_pass" : "admin1234",
"tcp_new_user_email" : "test@test.com",
"tcp_role" : "administrator"
}

Il parametro tcp_role è la chiave di questa vulnerabilità, poiché consente all’aggressore di specificare qualsiasi ruolo desideri per il nuovo utente, incluso l’amministratore. Il plugin non controlla né convalida questo parametro prima di creare l’utente, quindi bypassa di fatto il sistema di autenticazione di WordPress.

Per trovare siti vulnerabili che utilizzano il plug-in TheCartPress, puoi utilizzare un dork di Google come:

inurl:/wp-content/plugins/thecartpress/

Jetpack, un plugin WordPress estremamente popolare che fornisce una varietà di funzioni tra cui caratteristiche di sicurezza per circa cinque milioni di siti web, ha ricevuto un aggiornamento di sicurezza critico in seguito alla scoperta di un bug che si nascondeva inosservato dal 2012.

I manutentori di Jetpack, Automattic, annunciato martedì ha lavorato a stretto contatto con il team di sicurezza di WordPress per rilasciare una patch automatica per ogni versione di Jetpack a partire dalla 2.0.

La falla di sicurezza si trova nell’API di Jetpack ed è presente da quando è stata rilasciata la versione 2.0, oltre dieci anni fa, nel 2012.

IL vulnerabilitàche potrebbe consentire agli autori di un sito di manipolare qualsiasi file in un’installazione di WordPress, è stato scoperto durante un controllo di sicurezza interno.

Se sfruttata, la falla avrebbe potuto consentire a un hacker malintenzionato di modificare il contenuto di un sito Web, compromettendo la sicurezza di altri utenti e visitatori del sito Web.

La buona notizia è che Automattic afferma di non aver riscontrato alcuna prova che la vulnerabilità sia stata utilizzata per attacchi dannosi. Tuttavia, ciò non è una garanzia che la falla di sicurezza non sia stata sfruttata.

Anzi, ora che il problema è stato reso pubblico, potrebbero esserci tentativi più determinati da parte dei criminali informatici di sfruttare la falla, sottolineando l’importanza per tutti i siti Web vulnerabili basati su WordPress di garantire che eseguano una versione sicura di Jetpack.

Fortunatamente, WordPress dispone di un sistema ragionevolmente robusto per inviare automaticamente aggiornamenti di sicurezza critici in situazioni come questa, e quasi tutti i siti Web a rischio basati su WordPress sono probabilmente già stati aggiornati automaticamente a una versione sicura del plug-in Jetpack.

Jetpack, proprio come WordPress, è open source. Ciò significa che chiunque può controllare il codice sorgente e spesso si afferma che uno dei vantaggi dell’open source è che ciò significa che è più probabile che vengano trovate falle di sicurezza.

Eppure questa vulnerabilità della sicurezza è passata inosservata per oltre dieci anni.

Solo perché chiunque può controllare il codice open source per individuare eventuali vulnerabilità critiche della sicurezza, non significa necessariamente che qualcuno lo faccia.

---

Nota dell’editore: Le opinioni espresse in questo articolo dell’autore ospite sono esclusivamente quelle del collaboratore e non riflettono necessariamente quelle di Tripwire.

Quando gli utenti configurano un nuovissimo sito Web basato su WordPress, vengono a lungo accolti da un post introduttivo predefinito intitolato semplicemente “Hello world!”

Ma ora è il momento per WordPress di dire addio. Nello specifico, addio a Twitter.

WordPress.com è appena diventata l’ultima grande piattaforma o organizzazione a tagliare le sue integrazioni con Twitter a causa dei nuovissimi piani di abbonamento API ad alto prezzo di Elon Musk.

Sotto Musk, Twitter ha fermare le sue offerte API gratuite per gli sviluppatori che desiderano creare app o integrazioni basate su Twitter. Al suo posto, la società ha annunciato livelli di abbonamento Enterprise a pagamento a prezzi esorbitanti, che partono da $ 42.000 al meseall’inizio di quest’anno.

Secondo una dichiarazione rilasciata dalla società madre di WordPress.com, Automattic, la piattaforma sta rimuovendo Twitter da Jetpack, un plugin ufficiale di WordPress gestito dall’azienda. Tra le sue numerose offerte di sicurezza e marketing, Jetpack Social offre agli utenti la possibilità di condividere automaticamente i contenuti direttamente su una serie di piattaforme di social media dai loro siti WordPress.

WordPress.com è chiaro nella sua dichiarazione, intitolata “La fine della condivisione automatica su Twitter,” che la rimozione di Twitter da Jetpack è dovuta all’aumento del prezzo dell’API.

“Twitter ha deciso, con breve preavviso, di cambiare radicalmente i termini e i prezzi delle API di Twitter”, ha affermato Automattic in una nota. “Abbiamo tentato di collaborare con Twitter in buona fede per negoziare nuovi termini, ma non siamo riusciti a raggiungere un accordo. Di conseguenza, la connessione Twitter su Jetpack Social cesserà di funzionare e i post del tuo blog non saranno più condiviso automaticamente su Twitter.”

La società è chiara sul fatto che ciò riguarderà solo Twitter. Automattic afferma che gli utenti di WordPress potranno ancora utilizzare le funzionalità social di Jetpack come facevano prima con piattaforme come Facebook, LinkedIn e Tumblr. Inoltre, la società ha dichiarato di voler aggiungere Instagram e il concorrente decentralizzato di Twitter Mastodon a Jetpack Social nel “prossimo futuro”.

Rimuovendo Twitter, Automattic si unisce alle fila di altre grandi aziende che hanno abbandonato Twitter nelle ultime settimane. Microsoft, ha recentemente rimosso Twitter dal suo Annunci Microsoft servizio e Xbox console di gioco e Citofonouna popolare piattaforma di servizio clienti, ha eliminato anche la piattaforma di proprietà di Musk dai suoi strumenti.

Perdere WordPress è un duro colpo per Twitter. Ecco perché.

WordPress è il massimo popolare sistema di gestione dei contenuti su Internet. Circa il 43% dell’intero web è alimentato da WordPress. Si tratta di centinaia di milioni di siti Web, blog e siti di e-commerce.

Sebbene WordPress sia una piattaforma open source che può essere ospitata autonomamente dagli utenti su WordPress.org, Automattic possiede e gestisce una versione ospitata su WordPress.com con opzioni di abbonamento gratuite e a pagamento.

Jetpack è un plugin gratuito per sicurezza, prestazioni e marketing fornito dalla società madre di WordPress.com, Automattic. Esistono anche piani di abbonamento a pagamento per funzionalità premium.

Jetpack lo è elencato sulla directory ufficiale dei plugin di WordPress che mostra che ci sono più di 5 milioni di installazioni Jetpack attive su siti Web basati su WordPress. Secondo la directory, ci sono meno di una dozzina di plugin con altrettante installazioni attive. Va inoltre notato che l’etichetta di installazione attiva “5+ milioni” su Jetpack è l’etichetta con il numero più alto fornita da WordPress nella directory.

Automattic dice a Mashable che di queste installazioni, 1,2 milioni di siti hanno Jetpack Social abilitato. Per quanto riguarda specificamente Twitter, 120.000 siti Web attivi hanno condiviso oltre 4,3 milioni di post di blog su Twitter ogni mese tramite Jetpack Social prima dell’implementazione della modifica API.

Le mosse API di Twitter hanno confuso gli sviluppatori, sia grandi che piccoli. Molti sviluppatori indipendenti lo erano costretto a chiudere le loro piccole app basate su Twitter nell’ultimo mese poiché Twitter ha sospeso gli sviluppatori dalla propria piattaforma API in preparazione al passaggio ai piani aziendali a pagamento. Anche i client Twitter più popolari come Tweetbot e Twitterific lo erano taglio dall’API di Twitter senza preavviso. Entrambi sono ora chiusi.

I conti del servizio pubblico non sono andati meglio. Conti di trasporto pubblico come il MTAche gestisce il sistema metropolitano di New York City e i servizi di pubblica sicurezza, come il Servizio meteorologico nazionalesono stati interessati dalle modifiche API di Twitter. Entrambi hanno annunciato che non potranno più fornire avvisi aggiornati al minuto sulla piattaforma.

AGGIORNAMENTO: maggio. 2, 2023, 9:25 EDT Questa storia è stata aggiornata per chiarire la differenza tra la versione di WordPress ospitata da Automattic su WordPress.com e la versione open source self-hosted disponibile su WordPress.org. Sono state aggiunte anche le statistiche di Automattic su quanti siti web hanno utilizzato specificatamente Jetpack Social e la sua integrazione con Twitter.