Categoria: Wordpress

Gli hacker stanno ora sondando attivamente la vulnerabilità dei componenti aggiuntivi essenziali per le versioni dei plug-in Elementor su migliaia di siti Web WordPress durante massicce scansioni di Internet, tentando di sfruttare un difetto critico di reimpostazione della password dell’account divulgato all’inizio del mese.

Il difetto di gravità critica viene tracciato come CVE-2023-32243 e influisce sui componenti aggiuntivi essenziali per le versioni Elementor da 5.4.0 a 5.7.1, consentendo agli aggressori non autenticati di reimpostare arbitrariamente le password degli account amministratore e assumere il controllo dei siti Web.

Il difetto quello ha avuto un impatto su oltre un milione di siti web è stato scoperto da PatchStack l’8 maggio 2023 e risolto dal fornitore l’11 maggio, con il rilascio della versione 5.7.2 del plugin.

Scala di sfruttamento

Il 14 maggio 2023, i ricercatori hanno pubblicato un exploit proof-of-concept (PoC) su GitHub, rendendo lo strumento ampiamente disponibile agli aggressori.

All’epoca, un lettore di BleepingComputer e proprietario di un sito web riferirono che il loro sito era stato colpito da hacker che avevano reimpostato la password dell’amministratore sfruttando la falla. Tuttavia, la portata dello sfruttamento era sconosciuta.

Un rapporto di Wordfence pubblicato ieri fa più luce, con la società che afferma di osservare milioni di tentativi di indagine per la presenza del plugin sui siti Web e di aver bloccato almeno 6.900 tentativi di sfruttamento.

Il giorno successivo alla scoperta del difetto, WordFence ha registrato 5.000.000 di scansioni alla ricerca del file “readme.txt” del plugin, che contiene le informazioni sulla versione del plugin e quindi determina se un sito è vulnerabile.

“Sebbene esistano servizi che analizzano i dati di installazione per scopi legittimi, riteniamo che questi dati indichino che gli aggressori hanno iniziato a cercare siti vulnerabili non appena la vulnerabilità è stata rivelata.” commenta Wordfence nel rapporto.

La maggior parte di queste richieste proveniva da due soli indirizzi IP, “185.496.220.26” e “185.244.175.65”.

Per quanto riguarda i tentativi di sfruttamento, l’indirizzo IP “78.128.60.112” ha avuto un volume considerevole, utilizzando l’exploit PoC rilasciato su GitHub. Altri IP di attacco di alto rango contano tra 100 e 500 tentativi.

Si consiglia ai proprietari di siti Web che utilizzano il plug-in “Componenti aggiuntivi essenziali per Elementor” di applicare l’aggiornamento di sicurezza disponibile installando immediatamente la versione 5.7.2 o successiva.

“Considerando la facilità con cui questa vulnerabilità può essere sfruttata con successo, consigliamo vivamente a tutti gli utenti del plug-in di aggiornarsi al più presto per garantire che il loro sito non sia compromesso da questa vulnerabilità”, consiglia Wordfence.

Inoltre, gli amministratori dei siti Web dovrebbero utilizzare gli indicatori di compromissione elencati nel rapporto di Wordfence e aggiungere gli indirizzi IP offensivi a una lista bloccata per fermare questi e futuri attacchi.

Gli utenti del pacchetto di sicurezza gratuito di Wordfence saranno coperti dalla protezione contro CVE-2023-32243 il 20 giugno 2023, quindi anche loro sono attualmente esposti.

WordPress ha recentemente rilasciato la versione 1.0.0 del plugin ActivityPub, consentendo agli utenti di connettere i propri blog WordPress con altre piattaforme di social media sul fediverso, come Mastodon. Con questo aggiornamento, i blogger possono ora consentire agli utenti di seguirli su varie piattaforme e visualizzare i loro post direttamente su quei feed. Il plugin offre inoltre ai blogger la possibilità di ricevere aggiornamenti da tutti gli autori sui loro blog, anziché solo dagli account dei singoli autori.

Una volta installato il plug-in ActivityPub, solo i nuovi post saranno accessibili nel fediverso. I post pubblicati in precedenza non saranno visibili ai follower sui loro feed home. Questa funzionalità è simile all’iscrizione a una newsletter, dove vengono ricevute solo le email future e non quelle precedentemente archiviate. Pertanto, se qualcuno segue il tuo sito sul fediverso, riceverà solo i nuovi post del blog pubblicati da quel momento in poi.

Per connettere il tuo blog al fediverso, installa semplicemente il plugin ActivityPub e attiva la pagina del profilo dell’autore del tuo blog. Quindi, segui il tuo account social su una piattaforma federata (come Mastodon), pubblica un nuovo post sul tuo blog ed entro 15 minuti il ​​post apparirà nel tuo feed home. Il plugin supporta varie piattaforme federate, tra cui Mastodon, Pleroma/Akkoma, friendsica, Hubzilla, Pixelfed, Socialhome, Misskey e Firefish.

Il fediverso è un social network decentralizzato che consente agli utenti di avere un account su un servizio e pubblicare su altri servizi. Ha lo scopo di rendere Internet più connesso consentendo interazioni multipiattaforma. La popolarità del fediverso crebbe quando Elon Musk passò a X (precedentemente noto come Twitter) e Mastodon divenne una delle alternative X più importanti all’interno del fediverso.

Mentre Internet continua ad evolversi, il fediverso offre ai creatori e agli utenti l’opportunità di connettersi con una vasta gamma di piattaforme mantenendo il controllo sui contenuti e sulle interazioni.

Fonti:

– Descrizione del plugin ActivityPubMatthias Pfefferle & Automattic
– Il fediverso: definizione e concetto

Nell’intricata danza dei colloqui tecnici, le sfumature spesso fanno la differenza. Quanto è fondamentale per un candidato conoscere bene l’azienda per cui sta facendo il colloquio? Mentre il lavoro a distanza rimodella il panorama professionale, in che modo le aziende valutano l’adattabilità di un candidato ai team distribuiti e la sua competenza con gli strumenti di comunicazione? E come AI continua a ridefinire i settori, il tradizionale colloquio tecnico resisterà alla prova del tempo o saranno gli scenari di casi reali e le interviste in stile conversazionale a prendere l’iniziativa? Queste sono solo alcune delle domande urgenti che aleggiano sui processi di assunzione del settore tecnologico.

Il Ricorsivo si è seduto con Stanko Metodievil CTO di DevriXper approfondire queste questioni. Con oltre un decennio di esperienza in WordPress (il popolare fonte aperta Content Management System), Metodiev ha assistito alla trasformazione di DevriX da una coppia a una potenza di oltre 50 esperti del settore. Al di là della sua abilità tecnica, è un collaboratore principale di WordPress, un autore di temi e plugin e un membro attivo della comunitàorganizzazione di WordCamp e vari eventi incentrati sulla piattaforma. Mentre esploriamo le sue intuizioni, scopriamo le sfumature delle interviste tecniche attingendo alla saggezza che ha raccolto dalla sua espansiva carriera.

Questo articolo è la seconda parte della nostra serie “Mastering the Tech Interview”. Restate sintonizzati per i prossimi e date un’occhiata Parte 1 dove apprendiamo qual è l’“effetto Wow” che i CTO cercano!

Il ricorsivo: quali sono alcuni errori comuni nel colloquio tecnico che hai osservato e come possono i candidati evitarli?

Stanko Metodiev: Uno degli errori comuni che ho notato spesso è i candidati non sono ben informati sull’azienda con cui stanno intervistando. Potrebbe sembrare un cliché, ma è fondamentale. Ho partecipato a colloqui in cui il candidato non aveva una chiara comprensione dei requisiti attuali della posizione per cui si stava candidando, il che può rendere il colloquio un po’ caotico.

Un altro aspetto che trovo importante è quando i candidati non chiedono informazioni sull’attuale stack tecnologico dell’azienda e sulle tecnologie utilizzate nei loro progetti. Allo stesso modo, è essenziale informarsi sulla struttura del team, sugli strumenti quotidiani e così via. Se dovessi candidarmi per un nuovo lavoro, vorrei sapere su cosa lavorerò e gli strumenti che utilizzerò durante le mie attività quotidiane.

Potresti condividere un esempio di performance di un colloquio tecnico particolarmente impressionante? Cosa distingueva quel candidato?

Basandosi sulla domanda precedente, apprezzo sempre quando i candidati si impegnano in una discussione significativa sul carico di lavoro, sugli strumenti che utilizziamo, sui processi di distribuzione, sul controllo della versione e su argomenti simili. È impressionante quando un candidato chiede informazioni sulle sue responsabilità quotidiane, settimanali e mensili, nonché sugli strumenti con cui lavorerebbe e su come questi si allineeranno ai nostri progetti attuali.

Ciò che distingue un candidato ai miei occhi è quando non solo fa domande ma condivide anche le sue esperienze e intuizioni. È prezioso quando suggeriscono approcci diversi, scorciatoie e offrono suggerimenti e trucchi utili. Questo tipo di scambio di idee con un potenziale candidato può essere davvero arricchente.

Quali sono alcuni modi efficaci in cui i candidati possono dimostrare le proprie capacità di problem solving e competenze tecniche durante un colloquio tecnico?

L’efficacia nel dimostrare capacità di problem solving e abilità tecniche durante un colloquio tecnico può variare a seconda della posizione e del formato del colloquio. Nel caso di un colloquio online, la condivisione dello schermo per esaminare soluzioni specifiche può essere un metodo utile. Personalmente, Lo apprezzo quando i candidati hanno progetti open source nei loro repository Git; fornisce una chiara comprensione delle loro capacità.

Durante il colloquio stesso, è utile avere una serie di domande specifiche e scenari di esempio. Ciò consente di valutare il processo di pensiero e le capacità di risoluzione dei problemi del candidato. A volte poniamo domande impegnative o presentiamo risultati non ottimali soluzioni ai problemi per valutare se il candidato mette in discussione l’approccio e può offrire una soluzione migliore.

Preferisci candidati esperti del settore o quelli con una gamma più ampia di competenze? Come possono i candidati trovare il giusto equilibrio tra specializzazione e versatilità?

La mia preferenza tra i candidati esperti del settore e quelli con un insieme di competenze più ampio dipende dai requisiti specifici della posizione aperta. Ci sono momenti in cui cerchiamo candidati con un particolare insieme di competenze su misura per un progetto specifico, come competenza in un particolare stack tecnologico o linguaggio di programmazione.

Al contrario, in altre situazioni, potremmo dare priorità all’adattabilità e alla capacità del candidato di passare senza problemi a un flusso di lavoro dinamico in linea con le esigenze attuali dell’azienda e i progetti in corso. Dipende da trovare il giusto equilibrio tra specializzazione e versatilità il contesto del ruolo e le esigenze dell’azienda.

In un’era di lavoro remoto e team distribuiti, come adattare i colloqui tecnici per valutare le capacità di collaborazione remota e l’autodisciplina di un candidato?

Anche prima che il lavoro a distanza diventasse molto popolare, avevamo esperienza con team distribuiti. In passato, ci concentravamo sulla valutazione di come i candidati avrebbero reagito a vari compiti o sfide in un ambiente remoto. Abbiamo presentato loro scenari di esempio e posto domande approfondite per valutare la loro risposta e le capacità di risoluzione dei problemi. Questi scenari spesso coinvolgevano aspetti tecnici o richieste del cliente.

Anche se non è un metodo infallibile, sapere cosa cercare in questi scenari può fornire informazioni preziose per valutare se un candidato è adatto al lavoro attuale, in particolare in termini di capacità di collaborazione remota e autodisciplina.

Considerando la natura collaborativa dei progetti tecnologici, come valuti la capacità di un candidato di lavorare efficacemente in un team e di comunicare concetti tecnici complessi con chiarezza?

La valutazione della capacità di un candidato di lavorare efficacemente in team e di comunicare concetti tecnici complessi con chiarezza dipende dal contesto e si basa sull’esperienza del candidato. Come accennato in precedenza, presentiamo diversi esempi del nostro lavoro, adattandoli allo scenario specifico.

A volte poniamo domande abbastanza tecniche per valutare come il candidato affronta nuovi compiti, soprattutto se non ha esperienza con determinate tecnologie o se si tratta di un problema complesso.

Inoltre, esaminiamo l’esperienza passata del candidato con strumenti di comunicazione come Slack o Discord, la sua familiarità con Git e il suo utilizzo dei sistemi di gestione dei progetti. Questo ci aiuta a valutare come potrebbero gestire la comunicazione all’interno di un team.

Osservare la frequenza con cui un candidato cerca aiuto o cerca una seconda opinione su un compito può fornire preziosi spunti per capire se è propenso al lavoro di squadra collaborativo o preferisce lavorare in modo indipendente. Entrambi gli approcci hanno i loro pregi e i loro svantaggi e l’idoneità dipende dallo specifico profilo lavorativo stiamo considerando.

Secondo te, cosa distingue un buon colloquio tecnico da uno eccezionale?

A mio avviso, ciò che distingue un buon colloquio tecnico da uno eccezionale è un approccio più colloquiale. Sebbene sia necessario valutare il livello di abilità di un candidato, ciò può essere ottenuto attraverso vari scenari e casi reali.

Per migliorare l’esperienza del colloquio, adattiamo le nostre domande per allinearle al livello di anzianità della posizione. Combiniamo domande teoriche con domande pratiche per acquisire una comprensione completa delle capacità del candidato.

Sebbene le sessioni di revisione del codice possano essere illuminanti, possono anche essere stressanti per alcuni candidati e abbiamo osservato che questo stress potrebbe non riflettere accuratamente le loro prestazioni in situazioni lavorative reali. Pertanto, miriamo a condurre interviste diverse che si adattino all’individuo con cui stiamo parlando.

Per i candidati che hanno progetti open source o impegni personali, approfondire questi aspetti può essere piuttosto approfondito. Ci fornisce maggiori informazioni sul candidato, sulla sua passione per il proprio lavoro, sul suo approccio tecnico e sulle tecnologie che utilizza. Puoi capire di più sulla persona, se sta lavorando su qualcosa di cui è appassionata.

In qualità di leader nel settore tecnologico, come vedi l’evoluzione dei colloqui tecnici nei prossimi cinque anni per tenere il passo con il panorama in evoluzione del settore?

COME AI continua a svolgere un ruolo sempre più importante in vari settori, prevedo che le interviste tecniche si evolveranno verso formati più non convenzionali. Come ho già detto in precedenza, preferisco scenari di casi reali e interviste in stile conversazione. Il motivo di questa preferenza è che nel panorama tecnologico odierno è diventato più facile accedere a risposte predefinite a tipiche domande tecniche.

Negli anni a venire, potremmo vedere uno spostamento verso colloqui incentrati sulla valutazione delle capacità di problem solving e dell’adattabilità dei candidati in situazioni uniche e dinamicheche può essere più difficile da preparare con risposte preimpostate. Questa evoluzione contribuirà a garantire che i colloqui tecnici rimangano efficaci nell’identificare i candidati che possono prosperare nel settore tecnologico in continua evoluzione.

All-In-One Security, un plugin di sicurezza per WordPress installato su più di 1 milione di siti web, ha rilasciato un aggiornamento di sicurezza dopo essere stato sorpreso tre settimane fa a registrare password in chiaro e a memorizzarle in un database accessibile agli amministratori dei siti web.

Le password venivano registrate quando gli utenti di un sito che utilizzava il plug-in, generalmente abbreviato in AIOS, effettuavano l’accesso, lo sviluppatore di AIOS . Lo sviluppatore ha affermato che il logging era il risultato di un bug introdotto a maggio nella versione 5.1.9. La versione 5.2.0 rilasciata giovedì risolve il bug e inoltre “elimina i dati problematici dal database”. Il database era disponibile per le persone con accesso amministrativo al sito web.

Una grave violazione della sicurezza

Un rappresentante di AIOS ha scritto in una e-mail che “per ottenere qualcosa da questo difetto è necessario accedere con i privilegi amministrativi di livello più alto, o equivalenti. cioè può essere sfruttato da un amministratore disonesto che può già fare queste cose perché è un amministratore.”

Tuttavia, i professionisti della sicurezza ammoniscono da tempo gli amministratori di non archiviare mai le password in chiaro, data la relativa facilità con cui gli hacker hanno avuto per decenni di violare i siti Web e di sottrarsi ai dati in essi archiviati. In tale contesto, la scrittura di password in chiaro su qualsiasi tipo di database, indipendentemente da chi vi abbia accesso, rappresenta una grave violazione della sicurezza.

L’unico modo accettabile per archiviare le password per più di due decenni è come un hash crittografico generato utilizzando quello che viene spesso definito come un algoritmo lentoil che significa che per essere violato richiede tempo e risorse di calcolo superiori alla media. Questa precauzione funge da sorta di polizza assicurativa. Se un database viene violato, gli autori delle minacce richiederanno tempo e risorse informatiche per convertire gli hash nel testo in chiaro corrispondente, dando agli utenti il ​​tempo di modificarli. Quando le password sono complesse, ovvero composte da almeno 12 caratteri, generate casualmente e uniche per ciascun sito, è generalmente impossibile per la maggior parte degli autori delle minacce violarle se sottoposte ad hashing con un algoritmo lento.

I processi di accesso da alcuni servizi più grandi spesso utilizzano sistemi che tentano di proteggere i contenuti in chiaro, anche dal sito stesso. Tuttavia, rimane ancora comune che molti siti abbiano brevemente accesso ai contenuti in chiaro prima di passarli all’algoritmo di hashing.

Il bug di registrazione della password almeno tre settimane fa in un forum WordPress, quando un utente ha scoperto il comportamento e si è preoccupato in un post che avrebbe portato l’organizzazione a fallire un’imminente revisione della sicurezza da parte di revisori della conformità di terze parti. Lo stesso giorno, un rappresentante AIOS ha risposto: “Questo è un bug noto nell’ultima versione”. Il rappresentante ha fornito uno script che avrebbe dovuto cancellare i dati registrati. L’utente ha segnalato che lo script non ha funzionato.

L’utente ha anche chiesto perché AIOS non stesse rendendo disponibile una correzione generalmente disponibile in quel momento, scrivendo:

Questo è un ENORME problema. Chiunque, come un appaltatore, ha accesso al nome utente e alle password di tutti gli altri amministratori del sito.

Inoltre, come documentato dal nostro pentesting, gli appaltatori e i progettisti del sito hanno pratiche di password molto scadenti. Le credenziali del nostro contratto sono le stesse che utilizzano su TUTTI GLI ALTRI SITI CLIENTI (e su Gmail e Facebook).

AIOS offre per lo più una valida guida per la password

L’avviso di giovedì affermava: “Era importante risolvere questo problema e ci scusiamo per l’errore”, e continuava ribadendo i consigli standard, tra cui:

• Assicurati che AIOS e tutti gli altri plugin che utilizzi siano aggiornati. Ciò garantisce che qualsiasi vulnerabilità identificata dagli sviluppatori o dalla comunità venga corretta, contribuendo a mantenere il tuo sito sicuro. Puoi vedere quale versione del plugin stai utilizzando nella dashboard. Riceverai una notifica di eventuali aggiornamenti in sospeso nella schermata del plugin sulla dashboard di WordPress. Queste informazioni sono disponibili anche nella sezione degli aggiornamenti della dashboard di WordPress.

• Cambia regolarmente tutte le password, soprattutto se ritieni che la tua password sia stata compromessa. Ciò impedirà a chiunque abbia le tue informazioni di accesso di causare danni al tuo sito o di accedere ai tuoi dati.

• Abilita sempre l’autenticazione a due fattori sui tuoi account (WordPress e altro). Questo ulteriore livello di protezione funziona verificando il tuo accesso tramite un secondo dispositivo come il tuo telefono cellulare o tablet. È uno dei modi più semplici ed efficaci per tenere i tuoi dati fuori dalle mani degli hacker: con l’autenticazione a due fattori, una password rubata non consente ancora a un utente malintenzionato di accedere a un account. AIOS include un modulo di autenticazione a due fattori per proteggere i tuoi siti WordPress.

Sebbene la maggior parte dei consigli sia valida, la raccomandazione di modificare regolarmente le password è obsoleta. Negli ultimi anni, i professionisti della sicurezza hanno concluso che è possibile modificare la password più danno che bene quando non c’è motivo di sospettare una compromissione dell’account. Il ragionamento: i cambiamenti regolari delle password incoraggiano gli utenti a scegliere password più deboli. Microsoft ha caratterizzato la pratica come “antico e obsoleto.”

Chiunque utilizzi AIOS dovrebbe installare l’aggiornamento non appena possibile e assicurarsi che l’eliminazione del registro funzioni come descritto. Gli utenti finali o gli amministratori che sospettano che la loro password sia stata acquisita da un sito Web che utilizza AIOS dovrebbero modificarla su quel sito e, nel caso in cui utilizzino la stessa password su altri siti, anche su tali altri siti.

HARISHCHANDRA PRESS CLUB E MEDIA FOUNDATION, un’organizzazione leader dedicata al supporto del giornalismo indipendente e dei creatori di contenuti, è lieta di annunciare il lancio di MediaAid, un potente plug-in WordPress progettato per potenziare giornalisti, scrittori, siti di notizie e piattaforme di blog fornendo loro un modo semplice per ricevere sostegno finanziario dal proprio pubblico.

Nel panorama digitale odierno, sostenere il giornalismo indipendente e la creazione di contenuti può essere una sfida. MediaAid mira ad affrontare questo problema offrendo una soluzione user-friendly che consente ai creatori di accettare sovvenzioni, mance, royalties e abbonamenti una tantum o ricorrenti attraverso la piattaforma sicura Razorpay.

Caratteristiche principali di MediaAid:

Processo di contributo semplificato: con MediaAid, i creatori di contenuti possono integrare facilmente un’opzione di contributo nel piè di pagina di ogni post sul loro sito Web WordPress. Questo posizionamento di rilievo incoraggia il sostegno del pubblico, rendendo conveniente per lettori e fan mostrare il proprio apprezzamento e contribuire con pochi clic.

Integrazione perfetta: MediaAid vanta un’interfaccia intuitiva che si integra perfettamente sia con le piattaforme desktop che mobili. Il plug-in offre un’esperienza fluida agli utenti, garantendo l’accessibilità su vari dispositivi e schermi.

Opzioni di personalizzazione: i creatori di contenuti hanno il pieno controllo sull’aspetto e sui messaggi delle loro opzioni di contributo. MediaAid consente la personalizzazione dei messaggi di testo di supporto per desktop e dispositivi mobili, consentendo ai creatori di allineare i messaggi con il proprio marchio. Inoltre, i loghi sia per desktop che per dispositivi mobili possono essere facilmente aggiunti o modificati per creare un’esperienza utente coerente.

Impostazioni di pagamento flessibili: MediaAid supporta una gamma di tipi di pagamento, inclusi contributi una tantum e pagamenti ricorrenti. I creatori possono impostare titoli di pagamento, descrizioni e controllare il tempo di apertura del popup di pagamento. Inoltre, i pagamenti ricorrenti possono essere abilitati o disabilitati e è possibile impostare un limite in mesi in base alle preferenze del creatore.

Sfruttando la potenza di MediaAid, giornalisti, scrittori e creatori di contenuti possono costruire una comunità di fan fedeli aumentando al contempo le proprie entrate attraverso contributi finanziari sostenibili. Questo plugin trasforma i siti Web in piattaforme che promuovono il giornalismo indipendente e amplificano l’impatto dei creatori sul mondo.

“Siamo entusiasti di offrire MediaAid come plugin gratuito per WordPress per dare più potere a giornalisti e creatori di contenuti. Il nostro obiettivo è rendere più semplice per loro ricevere supporto finanziario dal loro pubblico, aiutandoli a continuare il loro prezioso lavoro”, ha affermato CM JAIN, Direttore di CLUB STAMPA HARISHCHANDRA E FONDAZIONE MEDIA.

MediaAid è concesso in licenza sotto la GNU General Public License v3.0 (GPL-3.0), garantendo accessibilità e collaborazione open source. Per informazioni dettagliate, fare riferimento al file di licenza MediaAid incluso con il plug-in.

Per scaricare il plug-in MediaAid e sfruttare le sue potenti funzionalità, visitare: https://hpcmf.org/plugin/

Chi siamo : CLUB STAMPA HARISHCHANDRA E FONDAZIONE MEDIA è una rinomata organizzazione impegnata a sostenere il giornalismo indipendente e a dare potere ai creatori di contenuti. Attraverso varie iniziative, mirano a promuovere un vivace panorama mediatico e ad amplificare le voci che modellano il nostro mondo.

Drew Barrymore è nei guai dopo aver annunciato che avrebbe ripreso le riprese del suo talk show nel mezzo dello sciopero in corso della Writers Guild of America (WGA), in atto da maggio 2023.

In una dichiarazione pubblicata su Instagram durante il fine settimana, Barrymore ha spiegato che la sua decisione di abbandonare l’hosting degli MTV Movie & TV Awards la scorsa primavera è stata dovuta al fatto che “era in conflitto diretto con ciò di cui si occupava lo sciopero, ovvero studi cinematografici, streamer, film”. , e televisione” e che pensava che “la cosa appropriata in quel momento fosse solidale con gli scrittori”.

Barrymore ha poi condiviso che il suo spettacolo si è concluso il 20 aprile, quindi tecnicamente non ha mai dovuto annullare la registrazione dello spettacolo, ma ora che è il momento della nuova stagione, “The Drew Barrymore Show” andrà avanti, nonostante gli scioperi. (Anche la Screen Actors Guild e la Federazione americana degli artisti televisivi e radiofonici (SAG-AFTRA) sono in sciopero con la WGA.)

Imparentato: Affleck, Damon si offre di pagare lo staff di Kimmel durante lo sciopero degli scrittori

“Ci atteniamo a non discutere o promuovere film e programmi televisivi colpiti di alcun tipo. Abbiamo lanciato dal vivo in una pandemia globale. Il nostro spettacolo è stato costruito per tempi delicati e ha funzionato solo attraverso ciò che il mondo reale sta attraversando nella realtà. tempo”, ha scritto Barrymore. “Voglio essere lì per fornire ciò che gli scrittori fanno così bene, ovvero un modo per unirci o aiutarci a dare un senso all’esperienza umana. Spero in una soluzione per tutti il ​​prima possibile.”

La quarta stagione dello show di Drew Barrymore tornerà il 18 settembre.

La decisione di Barrymore è stata accolta con critiche dalla Writers Guild of America che ha annunciato tramite i propri social media che avrebbero picchettato lo spettacolo, in quanto è uno “spettacolo coperto e colpito dalla WGA che sta pianificando di tornare senza i suoi scrittori”.

IL @DrewBarrymoreTV Lo spettacolo è uno spettacolo coperto e colpito dalla WGA che ha intenzione di tornare senza i suoi scrittori. La Gilda ha organizzato, e continuerà a farlo, spettacoli in produzione durante lo sciopero. Qualsiasi scritto su “The Drew Barrymore Show” viola le regole dello sciopero della WGA.

— Writers Guild of America, Est (@WGAEast) 10 settembre 2023

Lunedì, un uomo di nome Dominic Turiczek ha affermato che lui e un amico sono stati espulsi dallo spettacolo (dopo aver vinto i biglietti per guardare una registrazione) per aver indossato spille della WGA, senza rendersi conto che lo spettacolo di Barrymore era coinvolto nella disputa con lo sciopero degli scrittori in corso.

Imparentato: Il ritorno di “SNL” di Pete Davidson è stato annullato durante lo sciopero degli scrittori

Una volta dentro, Turiczek afferma di essere stato “cacciato fuori” e “aggredito verbalmente” dal personale, spingendolo ad afferrare una maglietta e ad unirsi lui stesso allo sciopero.

*Per chiarire*

Sapevamo del #WGA sciopero, ma non perché stavano picchettando allo spettacolo di Drew. Fino all’interno non eravamo a conoscenza che il suo spettacolo avesse scrittori WGA, quindi abbiamo attraversato i picchetti ricominciando. Abbiamo vinto i biglietti all’ultimo minuto e chiaramente non abbiamo fatto abbastanza ricerche.

— Dominic Turiczek (@dom_turiczek) 11 settembre 2023

Un portavoce di “The Drew Barrymore Show” ha confermato il licenziamento dei due spettatori Varietà in una dichiarazione.

“A causa delle crescenti preoccupazioni per la sicurezza oggi, ci rammarichiamo che a due membri del pubblico non sia stato permesso di partecipare o non gli sia stato consentito l’accesso”, ha detto al quotidiano un portavoce dello spettacolo. “Drew era completamente all’oscuro dell’incidente e stiamo cercando di contattare il pubblico interessato per offrire loro nuovi biglietti.”

Gli hacker sfruttano una vulnerabilità nel plugin WordPress ampiamente utilizzato di WooCommerce Payments per ottenere i privilegi di qualsiasi utente, incluso l’amministratore, su siti vulnerabili.

Pagamenti WooCommerce è un popolare WordPress plugin che consente ai siti Web di accettare carte di credito come metodo di pagamento nei negozi WooCommerce. Secondo statistiche ufficialiil plugin ha oltre 600.000 installazioni attive.

A proposito, abbiamo scritto che questo plugin è stato riconosciuto come uno dei più vulnerabilie ha anche riferito che il Il negozio Woocommerce è stato attaccato da web skimmer. Lascia che ti ricordi anche molto fresco attacchi al Elementor Pro collegare.

Nel marzo di quest’anno, gli sviluppatori rilasciata una versione aggiornata del plugin (5.6.2)che ha eliminato la vulnerabilità critica CVE-2023-28121. La vulnerabilità ha interessato WooCommerce Payment versione 4.8.0 e successive ed è stata corretta nelle versioni 4.8.2, 4.9.1, 5.0.4, 5.1.3, 5.2.2, 5.3.1, 5.4.1, 5.5.2 e 5.6. 2.

Poiché la vulnerabilità consente a chiunque di impersonare un amministratore del sito e assumere il pieno controllo di WordPress, la società dietro lo sviluppo del CMS, Automaticoaggiornamenti forzati a centinaia di migliaia di siti che eseguono il popolare sistema di pagamento.

Quindi i creatori di WooCommerce hanno dichiarato di non avere dati sugli attacchi a questa vulnerabilità, ma gli specialisti della sicurezza informatica hanno avvertito che, a causa della natura critica dell’errore, gli hacker sarebbero sicuramente interessati.

Ora i ricercatori di Sicurezza RCE hanno analizzato la questione e pubblicato a relazione tecnica su CVE-2023-28121 sul loro blog, spiegando esattamente come sfruttare la vulnerabilità.

Gli aggressori possono semplicemente aggiungere X-WCPAY-PLATFORM-CHECKOUT-USER all’intestazione della richiesta e impostarlo sull’ID utente dell’account che desiderano mascherare, dicono gli esperti. Data questa intestazione, WooCommerce Payments tratterà la richiesta come se provenisse dall’ID specificato, inclusi tutti i privilegi per quell’utente.

Alla sua analisi, RCE Security ha allegato un exploit PoC che sfrutta una vulnerabilità per creare un nuovo utente amministratore sui siti vulnerabili e consente di assumere il pieno controllo della risorsa.

Di conseguenza, la società di sicurezza WordPress Wordfence ha avvertito questa settimana che gli aggressori stanno già sfruttando la vulnerabilità come parte di una massiccia campagna che prende di mira più di 157.000 siti.

Secondo gli esperti gli aggressori utilizzano l’exploit per installare il file Consolle WP plugin su siti vulnerabili o creare account amministratore. Sui sistemi in cui era installata la WP Console, gli aggressori hanno utilizzato un plugin per eseguire codice PHP che installava un uploader di file sul server e che poteva successivamente essere utilizzato come backdoor anche dopo che la vulnerabilità fosse stata risolta.

Per scansionare i siti WordPress vulnerabili, gli aggressori tentano di accedere al file /wp-content/plugins/woocommerce-payments/readme.txt e, se esiste, procedono a sfruttare la vulnerabilità.

Nel loro rapporto i ricercatori hanno condiviso sette indirizzi IP da cui vengono effettuati gli attacchi, sottolineando in particolare l’indirizzo IP 194.169.175.93, che ha scansionato 213.212 siti.

I proprietari dei siti sono incoraggiati ad aggiornare WooCommerce Payment il prima possibile se non lo hanno già fatto e a controllare le proprie risorse per individuare file PHP insoliti e account amministratore sospetti, rimuovendo quelli che possono essere trovati.