Categoria: Wordpress

Il plugin Jetpack WordPress di Automattic ha rilasciato una versione aggiornata che espande le funzionalità basate sull’intelligenza artificiale e la possibilità di guadagnare di più dagli abbonamenti e-mail.

Plug-in WordPress Jetpack 12.7

Jetpack è un plug-in modulare all-in-one che offre praticamente tutte le funzionalità importanti di cui un sito Web o un’azienda potrebbe aver bisogno.

Poiché è modulare, l’utente deve solo selezionare le funzionalità di cui ha bisogno e mantenere disattivate quelle indesiderate.

Esistono versioni gratuite e a pagamento disponibili in bundle, a seconda delle tue esigenze.

Ad esempio, esiste un pacchetto di sicurezza e un pacchetto completo, ma gli utenti possono selezionare solo le funzioni di cui hanno bisogno.

La parte AI del plugin è disponibile come app autonoma in una versione gratuita per un periodo di prova limitato e in quella a pagamento per $ 8,33 al mese (fatturazione annuale).

L’assistente AI Jetpack attualmente assiste con un’ampia gamma di attività di creazione di contenuti, è davvero come avere un assistente in grado di portare a termine le cose rapidamente.

Oltre al contenuto, può anche creare moduli, tabelle di confronto ed elenchi.

L’aggiornamento a Jetpack aggiunge una funzionalità di estratto di articolo che riassume automaticamente l’articolo e crea un estratto di articolo per esso.

Sono stati apportati ulteriori miglioramenti all’assistente AI nel modo in cui vengono generati i prompt e nell’aggiunta di più lingue.

Livelli di abbonamento alla newsletter

Jetpack ha inoltre aggiornato la funzionalità della newsletter aggiungendo più livelli di iscrizione alla newsletter a pagamento.

Il Blogroll è tornato!

Per chi si perde il blogroll, è tornato. È un ottimo modo per collegarsi a siti Web che potrebbero piacere ai visitatori del tuo sito.

Naturalmente attenzione a non utilizzarlo per collegamenti reciproci organizzati, che sembrano tornare di moda nella nicchia dei blog di ricette.

Condivisione social con un clic

L’altro aggiornamento utile è stata l’aggiunta della funzione di condivisione social con un clic che formatta automaticamente la condivisione.

Plugin Jetpack disponibili in più configurazioni

I plugin Jetpack sono disponibili in versioni premium gratuite e autonome, oltre a pacchetti che costano meno rispetto all’acquisto separato.

Leggi il comunicato ufficiale:

Jetpack 12.7

Immagine in primo piano di Shutterstock/Catalyst Labs

Ringraziamo il nostro sponsor per aver reso possibile questo contenuto; non è scritto dalla redazione né riflette necessariamente le sue opinioni.

TL;DR: Se hai bisogno di aiuto per diventare creativo, questo Plug-in WordPress ChatGPT può fare il trucco. Durante i Deal Days, è in vendita a soli $ 39,97 fino al 15 ottobre!

Tra quel robot inquietante che ti segue nel negozio di alimentari (conosci il ragazzo) e il piccolo mostro nel tuo telefono che ascolta le tue preferenze pubblicitarie (maledizione!), L’intelligenza artificiale ha ufficialmente preso il sopravvento. Lascia che accada perché rende le cose molto più facili!

OpenAI ha rilasciato il API per ChatGPTche è un modo elegante per dire che ChatGPT può aiutarti con qualsiasi negozio online, sito web personale o qualsiasi altro sito WordPress. L’accesso illimitato al programma ora costa solo $ 39,97 (reg. $ 299) durante la nostra versione di Prime Day, Deal Days!

Perfetto per creare contenuti front-end e materiale amministrativo back-end, questo plugin ti consente di stare tranquillo quando metti le tue creazioni sul web. E poiché è una licenza a vita (anche se hai bisogno di un account OpenAI!), puoi continuare a far scorrere i succhi finché tu e ChatGPT non sarete pronti a gettare la spugna!

Poiché il programma ha un suono ultra-umano, non è tanto un robot su cui potresti trovarti I Jetson e più simile al tipo che vedresti inseguire Will Smith nel 2004 (riferimento a film di nicchia, lo sappiamo). Se scegli di farlo aggiungi un chatbot al tuo sito con questo plugini tuoi visitatori potranno ottenere risposte istantanee, precise e in linguaggio naturale alle loro domande!

Sebbene ChatGPT sia un robot e non un essere umano (sorprendentemente!), elementi come blog post, pagine di destinazione, descrizioni video, metadati SEO e altri progetti possono richiedere meno tempo di quanto pensavi una volta. Assicurati solo di dare un’occhiata al lavoro. Ricorda, tu sei il supervisore, non il dipendente in questa relazione AI/umano (affermi rapidamente quel dominio, poiché probabilmente i robot prenderanno il sopravvento!).

Confuso sul processo creativo? Questo plug-in ChatGPT include una sezione Chiedi, che può aiutarti con le tue domande se rimani bloccato. È meglio che aspettare 2-3 giorni prima che il tuo capo ritorni “dal suo pranzo di lavoro”.

Scopri perché questo prodotto ha ottenuto cinque stelle complete nel nostro negozio.

Potenzia il tuo sito WordPress con la potenza dell’intelligenza artificiale con questo licenza a vita per il plugin ChatGPT WordPressora a soli $ 39,97, il miglior prezzo online. Non è richiesto alcun coupon, ma lo sconto Deal Days termina il 15 ottobre alle 23:59 Pacifico!

Prezzi soggetti a modifiche.

TL;DR: Una licenza a vita per Plug-in WordPress ChatGPT è in vendita a £ 32,97, risparmiando l’86% sul prezzo di listino.

---

La tecnologia può essere affascinante a vari livelli. Alcune persone amano tutto ciò che è tecnologico, dai film alle macchine fino alle ultime novità in fatto di tecnologia informatica. Allo stesso tempo, altri provano entusiasmo quando la tecnologia si rivela utile nei loro sforzi professionali o personali, come nel caso di questo caso. Plug-in WordPress ChatGPT. Ti consente di integrare il tuo sito WordPress con ChatGPTe una licenza a vita è in vendita per soli £ 32,97.

Esistono tanti modi per utilizzare questo plug-in, a seconda delle tue esigenze. Ad esempio, puoi utilizzarlo internamente nel back-end come utile assistente amministrativo, un modo per creare vari contenuti in modo rapido ed efficiente, raccogliere feedback e altro ancora.

D’altra parte, puoi anche usarlo come supporto frontale. Ad esempio, può fungere da strumento di supporto tramite chat dal vivo sul tuo sito in cui visitatori o clienti possono porre domande o chiedere assistenza, migliorando la soddisfazione dell’utente. Oppure, se hai una base di clienti internazionale, questo plug-in può aiutarti con la traduzione. Puoi anche consentire l’accesso solo agli utenti che hanno effettuato l’accesso.

È importante notare che i clienti devono accedere o registrarsi per un account OpenAI per accedere a ChatGPT tramite questo plug-in. La versione ChatGPT del plug-in (gratuita o Plus) si basa sul tuo account OpenAI. Aggiornato con la versione più recente del modello Open AI, GPT4, ottieni consegna e download immediati, insieme all’assistenza clienti gratuita se ne hai bisogno.

Aggiungi le funzionalità AI di ChatGPT al tuo sito e scopri come può aumentare la tua produttività e l’esperienza del cliente in un lampo. Una licenza a vita per Plug-in WordPress ChatGPT il prezzo è sceso a soli £ 32,97.

Temi
Intelligenza artificiale
ChatGPT

Gli analisti di Defiant, la società dietro lo sviluppo del plugin di sicurezza Wordfence per WordPress, scoperto nuovo malware che finge di essere un normale plug-in di memorizzazione nella cache. In realtà, il malware è una backdoor multifunzionale in grado di controllare altri plugin, nascondersi dal rilevamento sui siti compromessi, sostituire contenuti e reindirizzare gli utenti a risorse dannose.

I ricercatori scrivono che la backdoor è "professionalmente" mascherata da strumento di memorizzazione nella cache, il che dovrebbe aiutare a ridurre il carico del server e ridurre i tempi di caricamento della pagina. In questo caso il plugin viene configurato in modo tale da autoescludersi dalla lista dei plugin attivi ed evitare eventuali controlli.

Secondo gli specialisti di Defiant, il malware ha le seguenti capacità.

Creazione di un nuovo utente. Crea un utente denominato "superadmin" con una password codificata e diritti a livello di amministratore e la seconda funzione può eliminare questo utente per cancellare tracce di infezione.

Rilevamento dei bot. Quando i visitatori del sito risultano essere bot (come i crawler dei motori di ricerca), il malware mostra loro altri contenuti, come lo spam, costringendoli a indicizzare i contenuti dannosi sul sito compromesso. Pertanto, gli amministratori potrebbero notare un improvviso aumento del traffico o reclami degli utenti che rilevano reindirizzamenti a risorse dannose.

Sostituzione dei contenuti. Il malware può modificare i post e il contenuto della pagina, nonché inserire collegamenti e pulsanti spam nel sito. In questo caso, all'amministratore del sito vengono mostrati i contenuti non modificati per evitare il rilevamento.

Controllo sui plugin. Gli operatori backdoor possono attivare o disattivare da remoto plugin WordPress arbitrari su un sito compromesso, nonché rimuovere tracce di questa attività dal database del sito in modo che questa attività rimanga nascosta.

Chiamata remota. La backdoor verifica la presenza di determinate stringhe dell'agente utente, che consentono agli aggressori di attivare in remoto varie funzioni dannose.

"Collessivamente, queste funzionalità forniscono agli aggressori tutto ciò di cui hanno bisogno per controllare e monetizzare a distanza il sito vittima, a scapito del posizionamento SEO del sito e della privacy dei suoi utenti", scrivono gli esperti.

Defiant non dice quanti siti sono già stati interessati da questo plugin e sottolinea inoltre che il vettore dell'accesso iniziale alle risorse è ancora sconosciuto.

Defiant ha già aggiunto una firma di rilevamento backdoor alla versione gratuita di Wordfence e ha anche creato una regola firewall per proteggere gli utenti delle versioni Premium, Care e Response.

Garantire che il tuo sito WordPress funzioni senza problemi e si carichi rapidamente non è un compito da poco. Tuttavia, è interamente realizzabile seguendo alcune tecniche avanzate ma semplici. Ecco come fare ottimizzare le prestazioni del tuo sito web e puntare a quell’elusivo punteggio di 100 su GTmetrix.

1. Combina LiteSpeed ​​Server con il plug-in LiteSpeed ​​Cache

Il plugin LiteSpeed ​​Cache può memorizzare nella cache il contenuto dinamico del tuo sito WordPress, riducendo significativamente il tempo di caricamento del server. Funziona anche in sinergia con QUIC.cloud per la compressione gratuita delle immagini.

Puntatori della lista di controllo:

• Installa il server Web LiteSpeed
• Attiva il plug-in di memorizzazione nella cache LiteSpeed
• Abilita l’ottimizzazione delle immagini QUIC.cloud
• Rimuovi i CSS inutilizzati con QUIC.cloud
• Verifica che tutte le librerie PHP rilevanti come Imagick siano installate. Controllalo in Salute del sito sulla dashboard di WordPress.

2. Scegli un tema come Elementor

Elementor dot com è una scelta eccellente per coloro che richiedono un equilibrio tra controllo e facilità d’uso. La sua interfaccia drag-and-drop semplifica la creazione di pagine, mentre le sue opzioni di personalizzazione avanzate ti consentono di modificare ogni dettaglio.

Puntatori della lista di controllo:

3. Ottimizza le immagini

Assicurati di ottimizzare le immagini per caricarle più velocemente utilizzando gli strumenti di compressione delle immagini. QUIC.cloud offre l’ottimizzazione gratuita delle immagini che si integra perfettamente con LiteSpeed. Utilizza strumenti come Media Cleaner per rimuovere immagini e risorse inutilizzate, riducendo la confusione del tuo sito.

Puntatori della lista di controllo:

• Comprimi le immagini tramite QUIC.cloud
• Utilizza immagini reattive
• Esegui Media Cleaner per rimuovere immagini e risorse inutilizzate

4. Sfrutta la potenza di RankMath per la SEO

ClassificaMath (punto com) offre numerosi vantaggi, come markup dello schema superiore, meta titoli e descrizioni e integrazione della mappa del sito. Queste funzionalità migliorano il SEO del tuo sito e ne aumentano indirettamente le prestazioni.

Puntatori della lista di controllo:

• Installa RankMath
• Configura meta titoli e descrizioni
• Configura una mappa del sito

5. Distribuisci sia i CDN Cloudflare che quelli QUIC.cloud

Mentre Cloudflare (punto com) è specializzato nella memorizzazione nella cache di contenuti statici, QUIC.cloud si concentra su contenuti dinamici specifici di WordPress. L’utilizzo di entrambi in tandem garantirà velocità e affidabilità ottimali.

Puntatori della lista di controllo:

• Configura il CDN Cloudflare per le risorse statiche
• Abilita QUIC.cloud per la memorizzazione nella cache dinamica di WordPress

6. Aggiorna a MySQL 8 e ottimizza il database

MySQL 8 offre prestazioni migliori, nuove funzionalità e maggiore sicurezza. Assicurati che le tue tabelle vengano convertite in InnoDB per una migliore efficienza. Utilizza plugin come WP-Sweep per un’ulteriore ottimizzazione del database.

Puntatori della lista di controllo:

• Aggiorna a MySQL 8
• Converti tabelle SQL in InnoDB
• Esegui WP-Sweep per la pulizia del database

7. Abilita caricamento lento

Puntatori della lista di controllo:

• Sfrutta il plug-in LiteSpeed ​​Caching per abilitare il caricamento lento delle immagini

8. Minimizza CSS e JavaScript

Aggiunta: rimuovi gli elementi che bloccano il rendering e sfrutta il plug-in di memorizzazione nella cache di LiteSpeed ​​per rinviare JavaScript e CSS che bloccano il rendering nei contenuti Above-the-fold.

Puntatori della lista di controllo:

• Utilizza il plug-in di memorizzazione nella cache LiteSpeed ​​per minimizzare CSS e JavaScript
• Utilizza QUIC.cloud per rimuovere CSS non utilizzati (UCSS)
• Testare per garantire che l’aspetto del sito rimanga coerente
• Rimuovi gli elementi che bloccano la visualizzazione

9. Utilizza HTTP/2 e forza HTTPS

L’implementazione di Zend OP Cache può compilare e archiviare il codice PHP in memoria, fornendo prestazioni più rapide. Redis può essere utilizzato per la memorizzazione nella cache degli oggetti, riducendo le query di database ridondanti e dispendiose in termini di tempo.

Puntatori della lista di controllo:

• Assicurati che il tuo hosting supporti HTTP/2
• Reindirizzare HTTP a HTTPS
• Implementa Zend OP Cache
• Configura Redis per la memorizzazione nella cache degli oggetti

10. Abilita gli aggiornamenti automatici per WordPress Core, temi e plugin

Mantenere tutto aggiornato garantisce che il tuo sito web trarrà vantaggio miglioramenti delle prestazioni e nuove funzionalità pur essendo sicuri.

Puntatori della lista di controllo:

• Vai alle impostazioni della dashboard di WordPress per abilitare gli aggiornamenti automatici
• Controlla regolarmente il successo dell’aggiornamento e la compatibilità

Seguendo questi dieci suggerimenti avanzati e i corrispondenti suggerimenti della checklist, mirerai a raggiungere il 100 perfetto su GTmetrix e ti assicurerai che il tuo sito WordPress funzioni al livello più ottimizzato. Seguire queste linee guida e monitorare continuamente le prestazioni del tuo sito web ti aiuterà a mantenere un sito veloce e facile da usare che soddisfi sia le aspettative degli utenti che gli standard dei motori di ricerca.

Credito immagine in primo piano: foto di Markus Winkler; Pixel; Grazie!

Ogni giorno lavorativo, MSSP Alert fornisce una rapida selezione di notizie, analisi e chiacchiere provenienti da tutto l’ecosistema dei fornitori di servizi di sicurezza gestiti.

Notizie di mercato di oggi su MSSP, MSP, MDR, XDR e sicurezza informatica

1. Avviso ransomware: IL Operazione del ransomware LockBit l’11 ottobre ha minacciato il rivenditore globale di prodotti e servizi IT CDW con la divulgazione dei dati rubati dopo che la società si è rifiutata di soddisfare il riscatto richiesto, secondo Il registro. CDW non ha fornito dichiarazioni in merito alla violazione, che è stata pubblicata per la prima volta sul blog di LockBit il 3 settembre, mentre l’Ufficio del Commissario per le informazioni del Regno Unito ha anche affermato che non c’è stata alcuna segnalazione da parte del rivenditore IT.

2. Esercizio sulla sicurezza informatica: La Payments Innovation Alliance di Nacha ha pubblicato un nuovo esercizio da tavolo per aiutare le piccole e medie imprese a prepararsi a un attacco informatico. La risorsa può essere scaricata da nacha.org/cybersecurity-response-project-team. Il primo scenario affronta il ransomware, ulteriori scenari e cartelle di lavoro verranno rilasciati nei prossimi mesi.

3. BlackBerry si espande in Canada: BlackBerry ha ampliato i suoi rapporti con il governo del Canada attraverso un accordo pluriennale che servirà i dipendenti federali. La partnership ampliata con Mora offre ora al governo del Canada un BlackBerry Cloud su misura ed estende ed espande l’uso di BlackBerry UEM, BlackBerry UEM Dark Site e BlackBerry SecuSUITE per consentire le operazioni quotidiane di dipartimenti e agenzie in tutto il governo.

4. Mossa della leadership: Procurarsi l’ITuna società di approvvigionamento IT, ha annunciato di averlo fatto ha nominato il socio dirigente Dylan Bouterse alla guida della pratica di consulenza sulla sicurezza informatica dell’azienda. Bouterse e il suo team si consulteranno con le organizzazioni sui modi per migliorare la loro posizione in termini di rischio di sicurezza informatica comprendendo le minacce in evoluzione e le soluzioni disponibili.

5: Le password sono qui per restare: Sicurezza del custodeun fornitore di software di sicurezza informatica che protegge password e passkey, accesso privilegiato, segreti e connessioni, ha rilasciato a rapporto sull’intelligence del mercato ciò dimostra che le combinazioni nome utente-password sono ancora la forma di autenticazione più diffusa nelle organizzazioni (58%).

6. Partenariato sulla sicurezza: Druvaun fornitore di piattaforme SaaS per la resilienza dei dati, ha annunciato una partnership strategica con NEXTGEN Groupuna società di distribuzione e servizi IT. La collaborazione mira ad espandere la presenza di Druva in Australia, Nuova Zelanda e Filippine, fornendo soluzioni di protezione dei dati a una gamma ancora più ampia di aziende nella regione Asia-Pacifico.

7. Integrazione della formazione sulla sicurezza: KnowBe4un fornitore di corsi di formazione sulla consapevolezza della sicurezza e di piattaforme di phishing simulato, ha formato una nuova integrazione con il suo Kevin Mitnick Security Awareness Training (KMSAT) piattaforma e Duo Sicurezzadell’offerta Single Sign-On di.

8. Partenariato sulla sicurezza crittografica: AnChain.AIun’azienda che fornisce soluzioni generative basate su AI, LLM e GPT per l’analisi delle risorse digitali Smart Contract Web3 e BlockTraceuna società di risorse digitali, cyber intelligence e integrazioni, hanno annunciato una nuova partnership fornire soluzioni all’avanguardia ai partner del settore della sicurezza nazionale impegnati nella lotta contro la criminalità legata alle criptovalute per affrontare le sfide della sicurezza nazionale.

9. Mossa di leadership: Cytracomun fornitore di prodotti e servizi per fornitori di servizi gestiti (MSP), ha ha nominato Nikhil Harsh vicepresidente senior delle operazioni di vendita e ricavo.

10. Avviso malware: I ricercatori di sicurezza informatica hanno fatto luce su una nuova questione sofisticato ceppo di malware che si maschera da plugin WordPress per creare di nascosto account amministratore e controllare da remoto un sito compromesso. “Completo di un commento di apertura dall’aspetto professionale che implica che si tratta di un plug-in di memorizzazione nella cache, questo codice canaglia contiene numerose funzioni, aggiunge filtri per impedire di essere incluso nell’elenco dei plug-in attivati ​​e dispone di funzionalità di ping che consente a un utente malintenzionato di verificare se il script è ancora operativo, così come le funzionalità di modifica dei file,” Wordfence disse. (Fonte: The Hacker News)

Cyberthreat.id – Più di 17.000 siti WordPress sono stati compromessi nel settembre 2023 con il malware noto come Ballad Injector, quasi il doppio del numero di rilevamenti nel mese di agosto.

Di questi, scrivi Le notizie sugli hackerSi ritiene che 9.000 siti Web siano stati compromessi utilizzando una falla di sicurezza recentemente rivelata nel plug-in tagDiv Composer (CVE-2023-3169, punteggio CVSS: 6,1) che potrebbe essere sfruttata da utenti non autenticati per eseguire attacchi cross-site scripting (XSS).

“Questa non è la prima volta che la banda di Balada Injector prende di mira le vulnerabilità nel tema premium tagDiv”, ha affermato Denis Sinegubko, ricercatore di sicurezza di Sucuri.

“Una delle prime massicce iniezioni di malware che possiamo attribuire a questa campagna si è verificata nell’estate del 2017, quando è stato scoperto un bug di sicurezza nel tema WordPress di Newspaper and News Magazine che veniva attivamente sfruttato.”

Le notizie sugli hacker Ballad Injector è un’operazione su larga scala scoperta per la prima volta da Doctor Web nel dicembre 2022, in cui i criminali informatici hanno sfruttato varie vulnerabilità dei plugin di WordPress per implementare backdoor Linux su sistemi vulnerabili.

L’obiettivo principale di questi impianti è reindirizzare gli utenti di siti compromessi a false pagine di supporto tecnico, false vincite alla lotteria e truffe con notifiche push. Dal 2017, più di un milione di siti web sono stati colpiti da questa campagna.

Gli attacchi che hanno coinvolto il Balada Injector si sono verificati sotto forma di ondate ricorrenti di attività che si verificano ogni poche settimane, con un picco di infezioni rilevato martedì dopo l’inizio dell’ondata nel fine settimana.

L’ultima serie di violazioni ha richiesto lo sfruttamento di CVE-2023-3169 per iniettare script dannosi e, infine, stabilire un accesso persistente ai siti caricando backdoor, aggiungendo plugin dannosi e creando amministratori di blog dannosi.

Storicamente, questo script prendeva di mira gli amministratori dei siti WordPress che avevano effettuato l’accesso, poiché consentiva agli avversari di eseguire azioni dannose con privilegi elevati attraverso l’interfaccia di amministrazione, inclusa la creazione di nuovi utenti amministratori che potevano utilizzare per attacchi avanzati.

La natura in rapida evoluzione dello script è evidenziata dalla sua capacità di installare una backdoor nella pagina di errore 404 di un sito Web in grado di eseguire codice PHP arbitrario o, in alternativa, di sfruttare il codice incorporato nella pagina per installare un plug-in wp-zexit dannoso. automaticamente.

Sucuri lo descrive come “uno dei tipi di attacco più complessi” effettuato tramite script, poiché imita l’intero processo di installazione di un plugin da un file di archivio ZIP e di attivazione.

La funzione principale del plugin è la stessa della backdoor, ovvero eseguire il codice PHP inviato in remoto dall’autore della minaccia.

Una nuova ondata di attacchi osservata alla fine di settembre 2023 ha richiesto l’uso di iniezioni di codice casuale per scaricare e lanciare malware di seconda fase da un server remoto per installare il plug-in wp-zexit.

Viene utilizzato anche uno script offuscato che invia il cookie di un visitatore a un URL controllato dall’attore e in cambio recupera il codice JavaScript non specificato.

“Il loro posizionamento nei file del sito compromesso mostra chiaramente che questa volta, invece di utilizzare la vulnerabilità tagDiv Composer, gli aggressori hanno sfruttato la loro backdoor e un utente amministratore dannoso che era stato installato dopo un attacco riuscito all’amministratore del sito Web”, ha spiegato Sinegubko. []

Una nuova vulnerabilità nel Plugin WordPress “Post inviati dagli utenti” (versioni 20230902 e successive) è stato scoperto dal suo team PatchStack.

Con più di 20.000 installazioni attiveil popolare plugin viene utilizzato per l’invio di contenuti creati da utenti ed è stato sviluppato da Pianeta plug-in.

Vulnerabilità, che è stata discussa dal ricercatore sicurezza di Patchstack, Rafie Muhammadè stato registrato come CVE-2023-45603.

Secondo il ricercatore, si tratta di una vulnerabilità che consente il caricamento di file non autorizzati.

Guarda anche: La nuova backdoor di WordPress porta a siti compromessi

Il bug è legato al modo in cui il plugin gestisce i file caricati, in particolare nella funzione “usp_attach_images“. Gli utenti non autenticati potrebbero sfruttare questa vulnerabilità caricando file con codice PHP incorporatochi allora verrà eseguito sul server, compromettendo potenzialmente la sicurezza del sito.

Il ricercatore ha spiegato che il team ha scoperto la vulnerabilità nel plugin WordPress Post inviati dagli utenti nel settembre 2023. Rilasciato il plugin Planet uno toppa due giorni dopo. Entro il 10 ottobre 2023, la vulnerabilità è stata elencata nel database Patchstack.

“Poiché il problema principale è che è consentito caricare estensioni di nomi di file arbitrarie, il fornitore ha deciso di aggiungere un controllo della whitelist prima di caricare il file sul server“, si riferisce.

Il problema è stato risolto nell’ultima versione del plugin WordPress, versione 20230914. Gli utenti sono invitati ad aggiornare immediatamente per proteggersi siti web loro.

“Controlla sempre ogni processo parametri $_FILES nel plugin o nel codice del tema“, Ha scritto il ricercatore. “Assicurati di controllare il nome e l’estensione del file prima di caricare il file“.

Guarda anche: Attacchi Balada Injector: hackerati 17.000 siti WordPress

Si ricorda inoltre ai proprietari dei siti Web di verificare il proprio codice per potenziali vulnerabilità e di mantenere una lista bianca di estensioni di file come precauzione contro caricamenti di file arbitrari.

La sicurezza dei siti WordPress è molto importante e le potenziali vulnerabilità nei plugin e nei temi possono rendere il tuo sito web vulnerabile agli attacchi hacker. Pertanto, è importante che vengano implementate misure adeguate sicurezza per proteggere WordPress.

Misure di sicurezza fondamentali

Gli amministratori di un sito Web WordPress devono tenere conto di una serie di misure di sicurezza di base. Questi includono la scelta di password complesse accessoaggiornando regolarmente il software e utilizzando uno strumento specializzato protezione dal virus.

Attacchi hacker

È fondamentale sapere da quali attacchi hacker non sono diretti solo alle grandi aziende o organizzazioni. Aziende o individui con una presenza Internet in crescita possono facilmente diventare bersagli.

Guarda anche: Plugin WordPress Jupiter X Core: le vulnerabilità mettono a rischio i siti

Conclusione

La sicurezza del sito WordPress è fondamentale per proteggere il tuo sito web minacce. Implementando le misure appropriate e aggiornando costantemente il software, puoi garantire la sicurezza del tuo sito web e mantenere una presenza stabile e affidabile su Internet.

Fonte: www.infosecurity-magazine.com

Il tuo blog può assumere una nuova vita sui social media se lo pubblichi su WordPress.com. Questa versione commerciale della piattaforma di pubblicazione web open source WordPress ora offre un ActivityPub opzione per trasformare un blog in un file fediverso presenza su Mastodonte e altri social network federati che operano su norma aperta.

UN inviare Mercoledì da Matthias Pfefferle, uno sviluppatore presso Automattic, società madre di WordPress.com, spiega che questo va oltre le precedenti opzioni di condivisione unidirezionale come lo strumento di condivisione Twitter dell’azienda caduto in aprile Dopo forti aumenti dei costi di utilizzo dell’API di Twitter.

“Il tuo blog WordPress ora può diventare un profilo per il fediverso”, afferma Pfefferle. E non solo il post del blog viene pubblicato su Mastodon e altrove, ma le risposte dei lettori di Fediverse ritornano al post originale “come commenti sul post del tuo blog, creando un’esperienza sincronizzata e interattiva”.

Questa funzionalità è già disponibile nella versione gratuita e nelle due versioni a pagamento più economiche di WordPress.com, mentre due opzioni commerciali di fascia alta richiedono l’installazione il plug-in ActivityPub. Questo componente aggiuntivo è disponibile anche per siti che eseguono altre versioni di WordPress– il che significa alcuni 43% dei siti può, in teoria, adottarlo.

L’attivazione richiede un clic sul pulsante “Entra nel fediverso” nelle impostazioni Discussione, nel menu Impostazioni nella barra di sinistra nella dashboard di amministrazione. Dovresti quindi vedere un identificatore fediverse lungo e un po’ strano, composto da due copie del nome di dominio del tuo blog separate da un simbolo @, che puoi quindi copiare per condividere dal tuo Mastodon o da un altro account ActivityPub.

Quando l’ho provato con Mio proprioWordPress.com-blog ospitatotuttavia, quell’identificatore mancava del prefisso @ richiesto che lo avrebbe reso riconoscibile ai clienti Mastodon come una presenza fediversa: “robpegoraro.com@robpegoraro.com”, invece di “@robpegoraro.com@robpegoraro.com”.

Come ho detto, un po’ imbarazzante. Ma una volta che ho modificato il mio post su Mastodon che annuncia questa opzione per correggere questo handle, il mio blog appariva semplicemente come “@robpegoraro.com”.

Quel profilo mostra una data di creazione del 5 aprile 2011 (quasi cinque anni prima Debutto 0.10 di Mastodonè stato allora che ho aperto il mio account WordPress.com per avere un posto dove annunciare la mia imminente uscita dal Washington Post) e circa 1.300 post (ho scritto molto lì nel mio tempo libero, ma solo i nuovi post che pubblico sul mio blog appariranno sotto questo account Mastodon). Facendo clic sul collegamento “Scopri di più sul profilo originale” mi riporta al blog stesso.

Mastodon ha preso presto il comando Alternative a Twitter dopo l’acquisizione di Twitter da parte di Elon Musk e successiva gestione caotica della compagnia ora chiamato “X” ha iniziato ad alienare alcuni degli utenti di lunga data di quel servizio. IL Bluesky solo su invito da allora ha iniziato ad attrarre il proprio gruppo di rifugiati di Twitter con un’interfaccia più semplice di Mastodon e la propria architettura decentralizzata. Ancora un’altra opzione, Meta’s Threads, funziona come una tradizionale rete centralizzata ma prevede di connettersi al fediverso tramite ActivityPub più tardi.