Blog

15 plugin di social media per WordPress

Sfruttare i social media per promuovere il tuo sito WordPress richiede solo pochi semplici plugin.

Ecco un elenco di plugin di social media per WordPress. Sono disponibili plug-in per visualizzare icone da centinaia di social network, pianificare e automatizzare la pubblicazione, monitorare il coinvolgimento e altro ancora. Alcuni di questi plugin sono autonomi, mentre altri sono forniti in bundle con set più grandi di Strumenti WordPress. Quasi tutti i plugin sono gratuiti, anche se la maggior parte ha anche piani premium.

Plugin di social media per WordPress

Shareaholic fornisce un set completo di strumenti di marketing per interagire con il tuo pubblico, farti trovare nella ricerca e sui social e far crescere il tuo seguito con l’accesso a oltre 40 pulsanti Segui. Aggiungi pulsanti di condivisione ovunque nel tuo layout. Aggiungi pulsanti di condivisione intelligenti alle tue immagini. Condividi e consiglia contenuti, analizza le prestazioni in un’unica dashboard e genera entrate con annunci nativi, link di affiliazione e altro ancora. Prezzo: Basic è gratuito. I piani premium partono da $ 8 al mese.

Shareaholic

Rianima i vecchi post ti consente di pianificare contenuti vecchi e nuovi da condividere sui social media. Pubblica automaticamente sui social media non appena fai clic sul pulsante di pubblicazione o non appena il contenuto viene pubblicato automaticamente. Scegli l’età massima e minima dei post idonei alla condivisione. Crea hashtag comuni per le condivisioni dei post e altro ancora. Prezzo: gratuito. I piani premium partono da $ 75 all’anno.

NextScript SNAP pubblica automaticamente post nuovi o esistenti dal tuo blog ai tuoi account di social media, come Facebook, Twitter, LinkedIn, InstagramPinterest, YouTube e altro ancora. I filtri ti consentono di pubblicare solo categorie, tag e tipi di post specificati. I post sono interamente in white label. Prezzo: gratuito per un account per social network. Pro costa $ 49,95 all’anno.

Monarca ti consente di scegliere tra oltre 20 reti di condivisione social da visualizzare. Aggiungi e organizza un numero qualsiasi di reti disponibili per creare una raccolta personalizzata di opzioni di condivisione per i tuoi visitatori. Utilizza sei trigger pop-up e fly-in automatici per interazioni utente uniche. Prezzo: $ 89 all’anno.

Monarca

Feed di foto social di Smash Balloon ti consente di visualizzare i post di Instagram dai tuoi account Instagram, nello stesso feed singolo o in più feed. Personalizza larghezza, altezza, numero di foto, numero di colonne, dimensione dell’immagine, colore di sfondo, spaziatura dell’immagine e altro. Visualizza miniature e foto di medie o grandi dimensioni dal tuo feed Instagram. Include un pulsante “Segui su Instagram” nella parte inferiore del feed. Prezzo: gratuito. La versione Pro costa $ 49 all’anno.

Clicca per twittare ti consente di creare facilmente contenuti twittabili. Utilizza virgolette e messaggi personalizzati all’interno del corpo di un post del blog per evidenziare i tuoi contenuti per i lettori e semplificarne la condivisione su Twitter. Prezzo: gratuito.

Jetpack è un toolkit per progettare, proteggere e far crescere il tuo sito su WordPress. Jetpack include una varietà di funzionalità per promuovere un sito, tra cui icone di social media, widget per visualizzare reti, strumenti di distribuzione di social network e altro ancora. Pianifica le promozioni dei tuoi contenuti sui siti di social media. Aggiungi ulteriori condivisioni social per i post pubblicati in precedenza e pianificale per i giorni e gli orari che funzionano meglio per il tuo pubblico. Prezzo: Basic è gratuito. Il premio parte da $ 19,95 al mese.

Jetpack

Icone sociali semplici è un modo facile da usare e personalizzabile per visualizzare icone che collegano i visitatori ai tuoi vari profili social. Scegli a quali profili collegarti, personalizza il colore e le dimensioni delle tue icone e allineale a sinistra, al centro o a destra, tutto dal modulo del widget. Prezzo: gratuito.

MashShare fornisce funzionalità di condivisione social simili al layout su Mashable. MashShare ti consente di visualizzare un ampio contatore di condivisione totale accanto a tre grandi pulsanti di condivisione prominenti per Twitter, Facebook e l’opzione di posizionare un pulsante di iscrizione prominente per il tuo feed di notizie e la tua mailing list. Prezzo: gratuito. I componenti aggiuntivi partono da € 39.

Blog2Social ti consente di promuovere in modo incrociato, pianificare e condividere automaticamente i post del tuo blog su social network come Facebook, Twitter, Google My Business, LinkedIn, Instagram, Pinterest, Reddit, Medium e Telegram. Blog2Social crea automaticamente post sui social media per i tuoi contenuti e pubblica automaticamente nei momenti migliori per ciascuna rete. Risparmia il tempo e il fastidio di condividere e promuovere manualmente. Prezzo: gratuito. La versione Pro costa 99€ all’anno.

Guerra sociale è un plugin per aggiungere pulsanti di condivisione social al tuo sito e promuovere i tuoi contenuti social. Abbina i pulsanti al marchio del tuo sito web, con oltre 5.000 potenziali combinazioni di stile. Personalizza i tweet che vengono popolati quando un visitatore fa clic sul pulsante Twitter. Caricamento Specifico per Pinterest immagini e descrizioni. Visualizza i conteggi delle condivisioni social in modo ben visibile. Aggiungi un widget personalizzato per visualizzare i tuoi post più popolari. Progettati pensando alle prestazioni, questi pulsanti non rallenteranno il tuo sito. Prezzo: i piani partono da $ 29 all’anno.

Plugin di guerra

Icona mobile dei social media consente alle icone di apparire automaticamente. Utilizza widget di social media, codici brevi o codice PHP per visualizzare le icone dei social media ovunque. Il plugin include oltre 20 temi di icone, animazione di icone, supporto per widget e altro ancora. Le icone voleranno dall’alto a sinistra verso il basso a destra e rimarranno lì anche se l’utente scorre la pagina, quindi fluttua. Con il componente aggiuntivo potente, scegli dove iniziare l’animazione del volo dell’icona e dove terminare e rimanere. Prezzo: gratuito. Il componente aggiuntivo costa $ 24,49.

Nessun contenuto fornisce un calendario editoriale e assistente ai contenuti per aiutarti a pianificare, creare e promuovere il tuo blog. Pubblica automaticamente sui social network, tra cui Twitter, Facebook, LinkedIn, Instagram, Tumblr, Google My Business e Pinterest. Nelio Content include anche il supporto per Instagram tramite Buffer. Concentrati sui contenuti che funzionano meglio con l’analisi integrata. Prezzo: gratuito. Il premio è di $ 99 all’anno.

WordPress nel buffer pubblicherà automaticamente i contenuti sul tuo account Buffer, programmando la pubblicazione sui profili dei social media tra cui Facebook, Twitter e LinkedIn. Utilizza la pianificazione predefinita di Buffer o imposta la tua pianificazione con giorni e orari che funzionano meglio per il tuo pubblico. Prezzo: gratuito. I piani premium partono da $ 39 all’anno.

Aggiungi a qualsiasi pulsante di condivisione è un plugin per condividere post e pagine su reti, tra cui Facebook, Twitter, Pinterest, WhatsApp, LinkedIn e oltre 100 siti e app di condivisione e social media. È dotato di contatori di condivisione, pulsanti di condivisione mobili, pulsanti Segui per i social network più diffusi, icone vettoriali, integrazione di analisi e icone e posizionamento personalizzati. Prezzo: gratuito.

Aggiungi a qualsiasi

23/12/2023
Truffa falsa relativa agli avvisi di sicurezza di WordPress

Di REBECCA RUTHERFORD
Per il Los Alamos Daily Post

Se sei un blogger, è probabile che tu abbia utilizzato WordPress come piattaforma. È una delle più grandi piattaforme di blogger in circolazione. Se e quando aprirò il mio blog su gatti, cocktail e sicurezza informatica, probabilmente finirò anche per usarlo.

Detto questo, WordPress notoriamente non è eccezionale dal punto di vista della sicurezza. Software, plugin e temi obsoleti sono uno dei maggiori contributori a questo problema.

Per l’utente occasionale, mantenere tutto aggiornato in WordPress può essere difficile, ma senza questi aggiornamenti possono esserci seri problemi di sicurezza.

E ora i truffatori stanno sfruttando i timori degli utenti in termini di sicurezza in un’e-mail di phishing a tema WordPress. Questa campagna è stata catturata e segnalata da PatchStackEsperti di sicurezza WordPress.

Secondo quanto riferito, agli amministratori di WordPress vengono inviati via email falsi avvisi di sicurezza di WordPress per una falsa vulnerabilità tracciata come “CVE-2023-45124” nel tentativo di infettare i siti con un plugin dannoso.

Le e-mail falsificano WordPress, avvisando gli amministratori che sul sito dell’amministratore è stato rilevato un nuovo difetto critico di esecuzione del codice remoto (RCE) nella piattaforma, chiedendo loro di scaricare e installare un plug-in che risolverà il problema di sicurezza.

PatchStack di origine

Cos’è un RCE? Gli attacchi RCE (Remote Code Execution) consentiranno a un utente malintenzionato di eseguire in remoto codice dannoso su un computer. L’impatto di una vulnerabilità RCE può variare dall’esecuzione di malware all’acquisizione da parte di un utente malintenzionato del controllo totale su una macchina compromessa.

Se gli utenti fanno clic sul pulsante “Scarica plug-in” dell’e-mail, la vittima viene indirizzata a una pagina di destinazione falsa su “en-gb-wordpress”[.]org” che assomiglia esattamente al sito legittimo “wordpress.com”.

PatchStack di origine

Se giudichi app e plug-in in base alle recensioni degli utenti e al numero di download, ciò potrebbe sembrare legittimo, ma il numero di download e le recensioni sono falsi.

Dopo l’installazione, il plugin dannoso crea un utente amministratore nascosto e invia le informazioni della vittima al server C2 (comando e controllo) dell’aggressore. Cos’è un C2? Gli autori delle minacce utilizzano C2 per inviare comandi al proprio malware e per installare programmi dannosi, script dannosi e altro ancora.

Il plugin scarica quindi un payload backdoor codificato base64. Questa backdoor consente agli aggressori di controllare il computer della vittima. Il plugin dannoso si nasconde quindi dall’elenco dei plugin installati, richiedendo una ricerca manuale nella directory principale per essere disinstallato.

Secondo Patchstack, l’obiettivo finale di ciò non è chiaro, ma ipotizzano che potrebbe essere utilizzato per inserire annunci pubblicitari su siti compromessi, reindirizzare i visitatori, rubare informazioni sensibili o persino ricattare i proprietari minacciando di far trapelare i contenuti del database del loro sito web.

Se sei un amministratore di WordPress, fai attenzione a questa truffa e non fare clic su quel collegamento!

Nota dell’editore: Rebecca Rutherford lavora nel campo della tecnologia dell’informazione presso il Los Alamos National Laboratory.

23/12/2023
Come sfruttare una vulnerabilità del plugin WordPress: un caso di studio di TheCartPress | di Security Lit Limited | Codice
fotografato da Justin Morgan SU Unsplash

I plugin di WordPress sono essenziali per aggiungere funzionalità e caratteristiche al tuo sito web, ma possono anche introdurre rischi per la sicurezza se non vengono aggiornati o mantenuti correttamente. In questo post del blog, ti mostrerò come sfruttare una vulnerabilità di escalation dei privilegi nel plugin TheCartPress, che consente a un utente malintenzionato non autenticato di creare un account amministratore su qualsiasi sito WordPress che utilizza questo plugin.

TheCartPress è un plug-in WordPress che ti consente di creare un negozio online con varie funzionalità come gestione del prodotto, carrello della spesa, checkout, gateway di pagamento e altro ancora. Ha oltre 10.000 installazioni attive ed è compatibile con le versioni di WordPress fino alla 5.7.

Tuttavia, il plugin TheCartPress presenta una grave falla di sicurezza che è stata scoperta da Spacehen, un ricercatore di sicurezza che ha pubblicato un codice exploit il 4 ottobre 2021 1. La vulnerabilità è un’escalation di privilegi non autenticata che consente a un utente malintenzionato di creare un account amministratore sul sito di destinazione inviando una richiesta appositamente predisposta al file admin-ajax.php con il parametro di azione impostato su tcp_register_and_login_ajax.

Il codice exploit funziona inviando i seguenti dati al file admin-ajax.php:
```
data = {
"tcp_new_user_name" : "admin_02",
"tcp_new_user_pass" : "admin1234",
"tcp_repeat_user_pass" : "admin1234",
"tcp_new_user_email" : "test@test.com",
"tcp_role" : "administrator"
}
```
Il parametro tcp_role è la chiave di questa vulnerabilità, poiché consente all’aggressore di specificare qualsiasi ruolo desideri per il nuovo utente, incluso l’amministratore. Il plugin non controlla né convalida questo parametro prima di creare l’utente, quindi bypassa di fatto il sistema di autenticazione di WordPress.

Per trovare siti vulnerabili che utilizzano il plug-in TheCartPress, puoi utilizzare un dork di Google come:

inurl:/wp-content/plugins/thecartpress/
23/12/2023
GoDaddy lancia le nuove estensioni WooCommerce

Quello che due mesi fa era solo un piano annunciato, ora è diventato realtà registrar del dominio E web hosting la società GoDaddy ha attivato l’espansione del pacchetto di plug-in per il suo WordPress gestito Clienti dell’e-commerce.

La nuova offerta prevede l’accesso gratuito a una libreria di oltre 75 premium WooCommerce estensioni provenienti da GoDaddy acquisizione dello sviluppatore WooCommerce SkyVerge otto mesi fa.

Con la società che ora offre la possibilità di includere carte regalo digitali ai propri clienti, includerà Google Analytics Pro e abbonamenti, nonché nuovi miglioramenti alla revisione dei prodotti e opzioni di spedizione.

Di più con WooCommerce

Vai papà si vanta che i nuovi plugin daranno web designer e agli sviluppatori maggiore flessibilità e capacità di creare piattaforme WooCommerce complete e personalizzate per i propri clienti.

Parlando del nuovo sviluppo, James Eadie, Senior Director Brand Marketing di GoDaddy, ha dichiarato: “Aiutando gli imprenditori del Regno Unito ad andare online e a far crescere la propria attività, sappiamo che è importante che i progettisti e gli sviluppatori di siti web dispongano degli strumenti giusti per creare siti online di grande impatto. negozi per i loro clienti.

“Sono lieto di fornire ai nostri clienti ancora più funzionalità senza costi aggiuntivi con WooCommerce, la soluzione di e-commerce open source più popolare al mondo, insieme alla forza e alla versatilità di WordPress che alimenta oltre un terzo dei siti Web online oggi.”

Le estensioni ora attive quasi il doppio del valore dei plugin WooCommerce di GoDaddy disponibili gratuitamente per i clienti di e-commerce WordPress gestito di GoDaddy.

Ora, gli utenti GoDaddy hanno la possibilità di accettare pagamenti da più processori e hanno accesso alle integrazioni di accesso social, Google Analytics Pro e Abbonamenti, nonché nuove offerte di buoni regalo digitali o stampabili.

Altrove questa settimana, costruttore di siti web israeliani Lo ha annunciato anche Wix una nuova aggiunta alla sua offerta attuale che includerà allo stesso modo carte regalo e programmi fedeltà.

GoDaddy sta inoltre introducendo una nuova esperienza fluida e un flusso di costruzione del sito per i clienti di e-commerce WordPress gestito che desiderano creare negozi online per i propri clienti.

Il piano include una nuova dashboard di supporto integrata, backup giornalieri con ripristino con un clic e scansioni e riparazioni giornaliere di malware, incluso il controllo delle attività di sicurezza, malware scansione e notifiche di sicurezza con repressione garantita su qualsiasi malware trovato sul sito di un cliente, secondo il costruttore del sito web.

22/12/2023
Questo plugin WordPress per Elementor lascia i siti Web vulnerabili agli hacker

Se il tuo sito web è basato sul generatore di pagine WordPress Elementor, ricontrolla se stai utilizzando questo popolare plugin. Perché se lo sei, gli hacker possono facilmente prendere il controllo completo del tuo sito web grazie a una falla di sicurezza appena scoperta.

I ricercatori di sicurezza di Patchstack hanno rilasciato un file nuovo rapporto su un problema di sicurezza informatica relativo al plugin WordPress Essential Addons per Elementor. Il plug-in fornisce agli utenti un assortimento di blocchi e modelli WordPress predefiniti da utilizzare durante la creazione o l’aggiornamento del proprio sito Web.

“Questo plugin soffre di una vulnerabilità legata all’escalation dei privilegi non autenticati e consente a qualsiasi utente non autenticato di aumentare i propri privilegi a quelli di qualsiasi utente sul sito WordPress”, scrive Patchstack nel suo rapporto.

GUARDA ANCHE:

Questo keynote di Google AI avrebbe potuto essere un Gmail

Fondamentalmente, gli autori malintenzionati possono trarne vantaggio per reimpostare la password di qualsiasi utente, compreso l’account dell’amministratore. Se la password di quest’ultimo account viene reimpostata, un hacker potrebbe sostanzialmente avere accesso all’intero sito Web – backend e tutto il resto – e prendere il controllo del sito dal legittimo proprietario. Se un sito Web preso di mira memorizza le informazioni dell’utente, questo malintenzionato avrà accesso e controllo anche su quelle.

“Questa vulnerabilità si verifica perché questa funzione di reimpostazione della password non convalida una chiave di reimpostazione della password e modifica invece direttamente la password di un determinato utente”, spiega Patchstack.

Aggiorna il plugin il prima possibile

Da allora la vulnerabilità del plugin è stata risolta e i componenti aggiuntivi essenziali per gli utenti di Elementor sono stati invitati ad aggiornarsi alla versione 5.7.2. Tutte le versioni precedenti del plugin, a partire dalla versione 5.4.0, sono interessate da questa vulnerabilità. Quindi, assicurati di aggiornare il plugin!

Più di 43 per cento di tutti i siti web su Internet utilizzano WordPress. Elementor è un popolare costruttore di siti Web per siti basati su WordPress. Più di 12 milioni I siti WordPress utilizzano Elementor. Secondo la Directory dei plugin di WordPress, più di 1 milione i siti Web attivi hanno installati i componenti aggiuntivi essenziali per Elementor.

22/12/2023
Componenti aggiuntivi essenziali per le patch Elementor Vulnerabilità critica dell’escalation dei privilegi – WP Tavern

Componenti aggiuntivi essenziali per Elementorun plugin con più di un milione di installazioni attive, ha corretto una vulnerabilità di escalation dei privilegi non autenticati nella versione 5.7.2. La vulnerabilità è stata scoperta l’8 maggio 2023 e segnalata dal ricercatore di Patchstack Rafie Muhammad. Gli è stato assegnato un punteggio CVSS 3.1 di 9,8 (gravità critica) e non è ancora noto che sia stato sfruttato.

Muhammad ha delineato la vulnerabilità in a consulenza sulla sicurezza pubblicato oggi:

Questo plugin soffre di una vulnerabilità legata all’escalation dei privilegi non autenticati e consente a qualsiasi utente non autenticato di aumentare i propri privilegi a quelli di qualsiasi utente sul sito WordPress.

È possibile reimpostare la password di qualsiasi utente purché si conosca il suo nome utente, potendo così reimpostare la password dell’amministratore e accedere al proprio account. Questa vulnerabilità si verifica perché questa funzione di reimpostazione della password non convalida una chiave di reimpostazione della password e modifica invece direttamente la password di un determinato utente.

Gli autori del plugin hanno pubblicato la patch oggi, 11 maggio, con la seguente nota nel registro delle modifiche:

5.7.2 – 05/11/2023
Migliorato: modulo di accesso/registrazione EA per il miglioramento della sicurezza
Alcune correzioni di bug e miglioramenti minori

La vulnerabilità colpisce i siti che utilizzano le versioni da 5.4.0 a 5.7.1 di Essential Addons for Elementor. Si consiglia agli utenti di aggiornare immediatamente all’ultima versione 5.7.2 ora che è disponibile Patchstack pubblicato la prova del concetto per sfruttarlo.

22/12/2023
PostX – Blocchi post Gutenberg per la griglia dei post

Stupito dalla qualità, dalla potenza e dal rispetto della privacy, è un plugin meraviglioso e dopo averlo testato per diverse ore lo consiglio vivamente come il plugin più potente, robusto e compatibile con Gutenberg della sua categoria. È anche molto ben documentato sul loro sito, insieme a una serie di esempi e istruzioni. C’è anche una tabella di marcia molto promettente.

Il miglior blocco di griglia di post che abbia mai visto, ho esaminato molte raccolte di blocchi e opzioni di griglia di post e questo è il migliore che ho visto finora. (Abbastanza buono da aver acquistato la versione pro, in effetti.) Ho un piccolo commento: la parola è “Avanzato”, non “Advacned”. Se correggi questo errore di battitura, sembrerai molto più professionale. Puoi regolare praticamente tutto, inclusi i layout per 4 dimensioni dello schermo, gli elementi da includere (intestazione e sottointestazione della sezione (con livello di intestazione), titolo (con livello di intestazione), meta post , visualizzazione delle categorie, immagine in primo piano, estratto, effetto al passaggio del mouse), sfondi, bordi, riempimento… Funziona con qualsiasi tipo di post. La versione premium contiene query avanzate, più opzioni di progettazione e molti altri progetti predefiniti.

Adoro questo plugin, lo uso con il tema Kadence e adoro tutto ciò che posso fare con questo plugin. È molto flessibile. Ho acquistato la versione Pro anche perché è ancora più flessibile. Ho semplicemente posto una domanda nella chat di supporto e ho ricevuto subito la mia risposta con uno screenshot realizzato da Hemang per mostrarmi dove si trovava l’impostazione di cui avevo bisogno. Molta personalizzazione.

Ottimo plugin per aggiungere pepe al tuo blog. E risolvono i bug in pochissimo tempo!

Incredibili progetti di blocchi post, l’ho scoperto quasi per caso perché il blocco corrente utilizzato non funziona più correttamente con WordPress 5.5, e questo è sorprendente. Disegni bellissimi e molto utilizzabili. Alcuni problemi minori (come lievi incoerenze nelle dimensioni predefinite dei caratteri e nelle dimensioni dei bordi tra alcuni stili di intestazione nei blocchi) ma questo plug-in potrebbe essere tutto ciò di cui hai bisogno per un sito blog. L’ho usato con il tema CoBlog corrispondente degli stessi sviluppatori.

Strabiliante Post Styler…!, È più di quanto mi aspettassi da qualsiasi plugin per il layout del blog. Non è necessario installare un plug-in per la creazione di pagine esterno. Grazie sviluppatore wpxpo e WordPress.

Plugin flessibile, ottimo supporto, sto utilizzando questo plugin per offrire a un cliente maggiore flessibilità su come configurare una prima pagina di più query di database. È super intuitivo e offre un’enorme flessibilità. Quando ho riscontrato un bug in una delle impostazioni del pannello di controllo, lo sviluppatore ha risposto rapidamente e ha rilasciato un aggiornamento il prima possibile. Lavoro eccellente!

Mi è piaciuto molto questo plugin. Ha reso il mio sito web fantastico. Grazie 🙂

Un ottimo plugin per un blog o un sito di notizie, con il suo aiuto puoi creare non solo la pagina principale, ma anche visualizzare post simili o recenti per tag o categorie, aggiungere eccezioni. Ha molti stili già pronti che puoi perfezionare tu stesso, poiché esiste un blocco per il codice personalizzato.

Un plugin completo per visualizzare magnificamente i post🤩, grazie Q per questo fantastico plugin con opzioni folli gratuite. Credo che la versione pro sia in arrivo…? Mi è davvero piaciuto usare il tuo plugin per ottenere diversi bellissimi layout.

Probabilmente il blocco Post Grid & Slider più completo. Compreso il supporto dei CPT. Congratulazioni per aver pubblicato questo plugin, è il plugin più completo per aggiungere griglie di post, elenchi e cursori che ho trovato finora. Mi piace particolarmente il fatto che tu abbia incluso l’impaginazione, l’offset e i filtri. La quantità di dettagli che inserisci in alcuni dettagli, come la parte post meta, è quasi folle!

Plug-in davvero buono! , sono rimasto sorpreso dalla versatilità di questo plugin. È fantastico. L’altra cosa più importante è che ho contattato gli sviluppatori e loro hanno risolto sia i miei dubbi che alcuni problemi minori. Grazie!!!!!

22/12/2023
1 milione di siti WordPress colpiti dalla vulnerabilità del plugin sfruttata – SecurityWeek

1 milione di siti WordPress colpiti dalla vulnerabilità del plugin sfruttata Settimana della sicurezza

22/12/2023
Bypassare la vulnerabilità nell’autenticazione dei plugin WordPress
La vulnerabilità di bypass dell’autenticazione è un difetto di sicurezza che consente a un autore di minacce di aggirare o aggirare il processo di autenticazione di un’applicazione o di un sistema. Il 29 maggio 2023, un team di esperti di sicurezza informatica ha scoperto una vulnerabilità in Abandoned Cart Lite. Questo era per WooCommerce sviluppato da Tyche Software. Questo bug rilevato era una vulnerabilità di bypass dell’autenticazione, ID CVE: CVE-2023-2986, trovata nel plug-in Ultimate Member di WordPress. Il plug-in Ultimate Member è un plug-in gratuito per il profilo utente che consente agli utenti di creare risorse efficienti e siti Web di appartenenza

Ciò garantisce l’accesso non autorizzato a dati o funzionalità sensibili. Questa vulnerabilità della sicurezza può verificarsi a causa di backdoor nei meccanismi di autenticazione, come una gestione impropria della sessione e una scarsa sicurezza della password. Ciò accade anche a causa di una convalida errata dell’input. Presenta un rischio significativo per l’integrità e la sicurezza del sistema. Ciò accade poiché consente a individui non autorizzati di impersonare utenti legittimi e potenzialmente eseguire attività dannose. Robuste misure di sicurezza e protocolli di autenticazione adeguati sono fondamentali per mitigare questa vulnerabilità.

Analisi Tecnica della Vulnerabilità

In base alle sue impostazioni, Abandoned Cart Lite per WooCommerce invia una notifica all’indirizzo email dei potenziali clienti che hanno lasciato il carrello. Hanno abbandonato il carrello senza effettuare alcun acquisto o hanno semplicemente abbandonato il carrello.

Il messaggio di notifica incorpora un collegamento che consente all’utente di completare l’acquisto in sospeso. Dopo aver esaminato il codice, gli esperti hanno scoperto che il codice contiene un valore crittografato per identificare il carrello abbandonato.

Il collegamento di notifica funziona solo quando il valore di crittografia è corretto e valido, il che richiede la presenza di una chiave di crittografia per creare i valori. Ma dopo aver esaminato il codice, gli esperti hanno scoperto che la chiave di crittografia era codificata nei plugin, il che indica direttamente che il file attori della minaccia può anche accedere alla chiave di crittografia e creare un valore valido che può essere inserito nel collegamento dell’identificatore del carrello abbandonato di altri clienti perché ogni identificatore del carrello ha un valore crescente in modo sequenziale a partire da uno.

Tuttavia, un utente malintenzionato si limita ad accedere solo agli account del carrello abbandonato, il che significa che un utente malintenzionato può accedere solo all’account degli utenti che non hanno completato l’acquisto e hanno abbandonato il sito a metà, perché, con il valore di crittografia manipolato, possono accedi solo come utenti con carrelli abbandonati. Tenendo conto di ciò, un autore di minacce può accedere agli account a livello utente ma potenzialmente può sfruttare questa vulnerabilità di bypass dell’autenticazione per accedere all’account amministrativo o a un altro account utente di livello superiore.

In che modo i plugin di WordPress sono soggetti alla vulnerabilità del bypass dell’autenticazione?

I plugin di WordPress possono essere soggetti a vulnerabilità di bypass dell’autenticazione per una serie di motivi. Alcuni di essi sono riportati di seguito:
- Credenziali deboli o prevedibili: Se un plugin WordPress utilizza credenziali deboli o facilmente indovinabili per l’autenticazione, gli aggressori possono sfruttare questa debolezza. Gli aggressori tentano di aggirare il processo di autenticazione.
- Meccanismi di autenticazione non sicuri: Alcuni plugin potrebbero implementare meccanismi di autenticazione non sicuri o difettosi, come una gestione impropria della sessione o una crittografia debole delle credenziali dell’utente. Queste vulnerabilità possono essere sfruttate per aggirare il meccanismo di autenticazione.
- Mancanza di convalida dell’input: Una convalida insufficiente dell’input nei plugin WordPress può portare al bypass dell’autenticazione. Gli aggressori possono manipolare campi o parametri di input per aggirare i controlli di autenticazione e ottenere un accesso non autorizzato.
- Bug del software o difetti di progettazione: I plugin con bug del software o difetti di progettazione possono introdurre vulnerabilità che consentono di aggirare l’autenticazione. Questi difetti possono derivare da una gestione inadeguata dell’input dell’utente, da un controllo degli accessi improprio o dall’archiviazione non sicura dei dati relativi all’autenticazione.
- Mancata applicazione dei controlli di autenticazione: in alcuni casi, i plugin potrebbero non riuscire ad applicare i controlli di autenticazione su funzioni o risorse critiche. Ciò consente inavvertitamente l’accesso non autorizzato senza un’adeguata autenticazione.
- Versioni di plugin obsolete o vulnerabili: Se i plugin di WordPress non vengono aggiornati o mantenuti regolarmente, potrebbero contenere vulnerabilità note. Questi possono essere sfruttati per bypassare l’autenticazione. Gli aggressori possono sfruttare queste vulnerabilità per aggirare i meccanismi di autenticazione.
Per mitigare l’autenticazione aggirare le vulnerabilità nei plugin WordPress, è fondamentale seguire le migliori pratiche. Pratiche come l’utilizzo di credenziali forti e uniche, il mantenimento dei plugin aggiornati e l’esecuzione di controlli di sicurezza regolari svolgono un ruolo fondamentale. Questo viene fatto per utilizzare pratiche di codifica sicure per garantire meccanismi di autenticazione robusti.

Conclusione

È da notare che gli sviluppatori hanno sviluppato la funzionalità all’indietro, che era compatibile con la versione 5.15.0. Ciò significa che i carrelli vecchi o precedentemente abbandonati possono ancora essere sfruttati anche se il plugin viene aggiornato all’ultima versione. Inoltre, il rafforzamento della sicurezza è stato lanciato in una versione avanzata, la 5.15.1. Ciò garantisce che i siti Web siano infallibili attraverso i vecchi collegamenti di notifica del carrello abbandonato. Pertanto, è necessario garantire che tutti i siti siano aggiornati alla versione.

La vulnerabilità del bypass dell’autenticazione può essere rilevata mediante una revisione sicura del codice e Kratikal sta lavorando ininterrottamente per garantire l’assenza di backdoor. Kratikal, un’organizzazione controllata dal CERT-In, crede nella fornitura di soluzioni versatili di sicurezza informatica per le aziende che affrontano la complessità nel rafforzare la propria posizione di sicurezza delle informazioni.

Come azienda, abbiamo ottenuto numerosi premi. Abbiamo incorporato una gamma di professionisti esperti e qualificati della sicurezza informatica che forniscono servizi e soluzioni di prima classe. Il nostro team interno di pen-test ha protetto migliaia di siti Web, applicazioni, cloud, reti, ecc. dei clienti. Il nostro motto è rendere sicure le risorse digitali.

La posta Bypassare la vulnerabilità nell’autenticazione dei plugin WordPress è apparso per primo Blog critici.

*** Questo è un blog diffuso da Security Bloggers Network Blog critici scritto da Riddika Grover. Leggi il post originale su: https://kratikal.com/blog/bypass-vulnerability-in-wordpress-plugins-authentication/
21/12/2023
I migliori plugin WordPress premium e gratuiti per la SEO nel 2022

L’ottimizzazione per i motori di ricerca (SEO) è molto complicata e ogni proprietario di sito web o blogger desidera che il proprio sito sia uno dei primi risultati per termini di ricerca pertinenti. Ma con così tanti altri siti Web simili pubblicati contenuto sugli stessi argomenti, questo diventa davvero difficile. Dovrai far salire di livello il tuo gioco SEO per assicurarti di essere tra i migliori risultati su qualsiasi motore di ricerca.

Se il tuo sito web è su WordPress, ce ne sono così tanti fantastici plugin che può aiutarti non solo con suggerimenti SEO di base ma anche con consigli approfonditi. Possono aiutarti a migliorare la sicurezza, la velocità di caricamento della pagina, l’esperienza utente e molto altro. Tutte queste piccole cose aiutano anche ad aumentare il tuo punteggio SEO complessivo. Sì, tuttavia, la parte più impegnativa della scrittura del contenuto dipende da te, ma almeno avrai un partner fidato nella parte di ottimizzazione. Devi produrre contenuti accattivanti che i tuoi lettori apprezzeranno e il plug-in che scegli ti dirà quali parole chiave devi aggiungere, dove e così via.

Gli algoritmi SEO potrebbero cambiare rapidamente e tutto ciò a cui devi pensare quando ottimizzi i tuoi contenuti è molto. Ecco perché il plugin WordPress giusto ti dirà se, ad esempio, i file delle tue immagini sono troppo grandi e rallentano il caricamento della tua pagina. Essere al passo con tutte le migliori pratiche SEO può cambiare le regole del gioco e metterti in cima ai risultati di ricerca. Lascia che ti presentiamo alcuni dei migliori plugin SEO WordPress per il 2022 che diventeranno il tuo partner indispensabile.

Plugin WordPress gratuiti per la SEO nel 2022

Esistono molti plugin gratuiti per WordPress e l’argomento SEO non fa eccezione. Puoi trovarne un paio tra i migliori qui sotto.

Kit del sito di Google

Come puoi suggerire, questo plugin è sviluppato da Google. Questo è già un segno che è uno dei migliori perché fondamentalmente aiuta a posizionarsi nel motore di ricerca più utilizzato. Kit del sito ti consentirà di analizzare i dati di varie soluzioni Google nel tuo WordPress. I prodotti Google che puoi integrare nella tua dashboard sono Google Search Console, Google Analytics, Google AdSense, Google Optimize e altri.

Ti aiuterà a ridurre molti plugin di cui hai bisogno in modo da poter vedere tutti questi dati nel tuo WordPress. Ti farà anche risparmiare tantissimo tempo e ottimizzerà il tuo flusso di lavoro. Oltre a ciò, ti fornirà preziose informazioni su cosa dovresti migliorare in termini di SEO, prestazioni del sito web, metriche dei clienti e altro ancora.

Classifica matematica

Classifica matematica è un plugin che ti offrirà tantissime funzionalità molto utili per il tuo punteggio SEO. È molto facile da usare e non sono necessarie conoscenze tecniche per configurarlo e utilizzarlo. Con il suo aiuto, puoi definire i titoli delle intestazioni delle descrizioni dei metadati, manipolare gli snippet nei risultati di ricerca e altro ancora. Offre anche un’integrazione con Google Search Console. I creatori hanno detto che avrebbero introdotto una versione premium con ancora più funzionalità in seguito.

È sicuramente un plugin in grado di coprire tutte le tue esigenze SEO. Ha un’opzione per monitorare gli errori 404 e un modulo di reindirizzamento che indirizzerà quelle pagine 404 a un’altra pagina utile sul tuo sito. È incluso anche il supporto per i Rich Snippet.

Controllo collegamenti interrotti

I collegamenti interrotti non sono positivi per il tuo punteggio SEO, ed ecco perché Controllo collegamenti interrotti può aiutarti a identificarli. È un plug-in WordPress gratuito che eseguirà la scansione dei tuoi contenuti alla ricerca di collegamenti che non funzionano. Se produci regolarmente molti contenuti, ad un certo punto, sarà difficile tenere traccia e controllare periodicamente i tuoi pezzi più vecchi e i backlink che hai utilizzato lì.

I collegamenti che non funzionano sono dannosi per la SEO e per l’impressione che lasci sui tuoi visitatori. Di solito usi questi collegamenti per indirizzare le persone a contenuti gratuiti. Se non funzionano, forse un lettore non sarà in grado di comprendere completamente la tua idea. Con Broken Link Checker, riceverai una notifica se un collegamento smette di funzionare.

Plugin WordPress freemium e premium per la SEO nel 2022

Molti degli strumenti che vedrai di seguito offrono una versione gratuita da provare con funzionalità limitate e versioni premium molto utili e ricche di ottime opzioni.

Ottimo SEO

Questo è probabilmente il miglior collegamento SEO su WordPress. Ottimo SEO è un plugin freemium che ti aiuterà con ogni aspetto della SEO. Ti consente di creare contenuti migliori e consiglia di migliorarli ancora in termini di SEO e leggibilità. E la nostra versione gratuita ti offrirà quasi tutto ciò di cui avrai bisogno.

Naturalmente, la versione premium ti darà accesso a molto di più. Avrai accesso alla mappa del sito XML di Google per una migliore indicizzazione, aggiungi e modifica parole chiave focus per ogni contenuto, modifica snippet per risultati di ricerca, imposta URL canonici, ecc. Gestire meta descrizioni e nomi di pagina non è mai stato così facile.

Semrush

Ogni esperto di marketing digitale lo sa Semrush ottimo. È lo strumento perfetto per i professionisti SEO e il plugin WordPress lo rende ancora più facile da usare. Questo plugin ti offrirà tantissimo: migliorare il SEO, l’ottimizzazione dei contenuti, i social media, l’ottimizzazione delle acquisizioni a pagamento e così via. La versione premium ti consentirà di analizzare le parole chiave e saprai quali includere nei tuoi contenuti.

Potrai analizzare le strategie dei tuoi concorrenti controllando le loro parole chiave e la strategia di backlinking. In questo modo, puoi costruire un’ottima strategia di marketing che migliorerà il tuo posizionamento SEO, i social media e le acquisizioni a pagamento perché tutto funzionerà perfettamente insieme.

MonsterInsights

MonsterInsights ti aiuterà a monitorare le prestazioni del tuo sito web e a comprendere meglio i tuoi utenti oltre a migliorare le tue prestazioni SEO. Analizzare le prestazioni del tuo sito web è così importante perché, in base a ciò, puoi elaborare una strategia su come migliorarlo ulteriormente. MonsterInsights ti consentirà di connetterti a Google Analytics e vedere tutte le informazioni preziose direttamente sulla dashboard di WordPress. Sarai in grado di visualizzare approfondimenti come i contenuti più visitati, le parole chiave principali, i siti di riferimento, i collegamenti in uscita e molto altro.

Riassumendo

Conoscere tutti i piccoli segreti della SEO è quasi impossibile. Le cose cambiano velocemente e gli algoritmi vengono aggiornati, rendendo difficile tenerne traccia. Ma il giusto plugin WordPress può aiutarti molto dandoti i giusti consigli e aiutandoti a migliorare il tuo punteggio SEO. Includere parole chiave, gestire immagini, backlink e molto altro ancora è facile con il partner giusto. Dai un’occhiata ai plugin che abbiamo suggerito e troverai sicuramente quello giusto per te.

21/12/2023