Blog

I plugin di WordPress sono utili. Ma possono anche rallentare un sito, invitare gli hacker e persino causare una sanzione a Google.

Queste sono le mie cinque principali considerazioni quando scelgo un plugin per WordPress.

5 Considerazioni sui plugin WordPress

1. Il plugin è controllato da WordPress.
2. È popolare.
3. Il registro delle modifiche indica che il plugin non è stato abbandonato.
4. La partecipazione e il feedback del supporto indicano un plugin sano.
5. Non si sovrappone a un plug-in attualmente installato.

1. Il plugin è controllato da WordPress

Alcuni plugin a pagamento non hanno una versione gratuita. Ma molti dei plugin più rispettati hanno una versione premium a pagamento e una versione gratuita controllata e inclusa nella versione ufficiale. Plug-in WordPress deposito.

Il fatto che una versione gratuita sia stata verificata da WordPress garantisce (per me) che esiste una sorta di controllo di qualità.

Se viene scoperto un problema serio con un plugin gratuito, WordPress rimuoverà il download dal suo repository.

La codifica che risulta in una vulnerabilità o in uno stato di abbandono è un potenziale problema. Ci sono molti altri motivi per cui un plugin può essere rimosso, come delineato nel file Linee guida per i plugin WordPress.

Non è un sistema perfetto e non garantisce al 100% che il plugin sia sicuro da installare. Ma generalmente è più sicuro che scaricare un plugin che non è disponibile tramite il repository ufficiale di WordPress.

I plugin premium possono essere sottoposti a test privati. Sono generalmente sicuri da acquistare e scaricare. Tuttavia, potrebbe essere utile ricercare le pratiche di test e verifica prima dell’acquisto.

2. Il plugin è popolare

Non sono del tutto convinto della saggezza delle folle. Tuttavia, provo un senso di sicurezza nel sapere che un plugin WordPress è popolare e garantito da molti utenti.

La popolarità di per sé non garantisce che un plugin sia privo di problemi. In effetti, alcuni dei plugin più popolari sono stati causa di problemi quasi catastrofici o di infarcito di pagine web con codice inutile.

Tuttavia, la popolarità può (insieme ad altri fattori) contribuire a garantire che il plugin sia probabilmente sicuro e funzioni abbastanza bene.

3. Il registro delle modifiche indica aggiornamenti regolari

Alcuni plugin potrebbero essere abbandonati. La pagina WordPress di ogni plugin indica quando è stato aggiornato l’ultima volta il plugin.

Un plugin potrebbe non essere aggiornato perché la funzione che svolge è relativamente semplice. Ma in generale questo è un segno che il plugin è stato abbandonato.

Nella maggior parte dei casi i plugin abbandonati dovrebbero essere evitati.

WordPress è in continua evoluzione. L’installazione di un plugin che non è stato aggiornato potrebbe causare conflitti con la versione corrente di WordPress o con la versione di PHP su cui viene eseguito il tuo sito web.

4. Il feedback del supporto indica un plugin integro

Ogni pagina dei plugin nel repository dei plugin di WordPress ha una pagina di supporto. La pagina di supporto può fornire prova di un plug-in che presenta problemi in corso.

I problemi tipici potrebbero essere che il codice sia in conflitto con altri plugin. A volte il modello WordPress potrebbe richiedere modifiche affinché il plug-in funzioni.

La pagina di supporto rivelerà eventuali problemi che potresti incontrare prima di scoprirli nel modo più duro.

Il plugin non si sovrappone a un plugin installato

Un problema comune che riscontro è quando due o più plugin progettati per fare cose simili si sovrappongono. Ciò accade generalmente con i dati strutturati e i plugin di ottimizzazione della velocità.

Il solito risultato è che hai più plugin del necessario.

È importante utilizzare il minor numero di plugin necessario. Sovraccaricare il tuo sito con plugin può rallentare il server.

Anche un plugin progettato per velocizzare il tuo sito potrebbe rallentarlo se ne utilizzi troppi contemporaneamente.

Prima di installare un plugin, pensa attentamente a come questo plugin risolverà i tuoi problemi. Se non li risolve tutti, l’installazione di un secondo o terzo plugin causerà una duplicazione delle funzioni?

Come scegliere un plugin per WordPress

Queste cinque considerazioni non sono un elenco completo. Potresti voler prendere in considerazione altri fattori, tra cui le recensioni degli utenti, la reputazione dell’azienda dietro il plugin, se il plugin è troppo ingegnerizzato e rallenta il sito, e così via.

Scaricare i plugin può sembrare un gioco di conchiglie, in cui un pisello viene messo sotto una tazza e poi mescolato.

Stai facendo un’ipotesi plausibile o stai semplicemente indovinando?

Spero che quelli che considero fattori importanti per giudicare se un plugin WordPress è affidabile ti aiuteranno a eliminare alcune congetture dalla scelta di un plugin WordPress affidabile per il tuo sito.

---

Crediti immagine: Paolo Bobita

Gli hacker sfruttano una vulnerabilità di escalation dei privilegi zero-day nel plug-in WordPress “Ultimate Member” per compromettere i siti Web aggirando le misure di sicurezza e registrando account amministratori non autorizzati.

Ultimate Member è un plug-in per profili utente e membri che facilita le iscrizioni e la creazione di comunità sui siti WordPress e attualmente ha oltre 200.000 installazioni attive.

Il difetto sfruttato, tracciato come CVE-2023-3460 e con un punteggio CVSS v3.1 di 9,8 (“critico”), ha un impatto su tutte le versioni del plug-in Ultimate Member, inclusa la sua ultima versione, v2.6.6.

Sebbene gli sviluppatori abbiano inizialmente tentato di correggere il difetto nelle versioni 2.6.3, 2.6.4, 2.6.5 e 2.6.6, ci sono ancora modi per sfruttare il difetto. Gli sviluppatori hanno affermato che stanno continuando a lavorare per risolvere il problema rimanente e sperano di rilasciare presto un nuovo aggiornamento.

“Stiamo lavorando alle correzioni relative a questa vulnerabilità dalla versione 2.6.3 quando riceviamo un rapporto da uno dei nostri clienti,” pubblicato uno degli sviluppatori di Ultimate Member.

“Le versioni 2.6.4, 2.6.5, 2.6.6 chiudono parzialmente questa vulnerabilità, ma stiamo ancora lavorando insieme al team WPScan per ottenere il miglior risultato. Riceviamo anche il loro rapporto con tutti i dettagli necessari.”

“Tutte le versioni precedenti sono vulnerabili, quindi consigliamo vivamente di aggiornare i tuoi siti Web alla versione 2.6.6 e di mantenere gli aggiornamenti in futuro per ottenere i recenti miglioramenti della sicurezza e delle funzionalità.”

Attacchi che sfruttano CVE-2023-3460

Gli attacchi che sfruttano questo zero-day sono stati scoperti dagli specialisti della sicurezza dei siti web su Wordfenceche avvertono che gli autori delle minacce lo sfruttano utilizzando i moduli di registrazione del plugin per impostare metavalori utente arbitrari sui propri account.

Più specificamente, gli aggressori impostano il metavalore utente “wp_capabilities” per definire il proprio ruolo utente come amministratori, garantendo loro l’accesso completo al sito vulnerabile.

Il plugin ha una lista bloccata per le chiavi che gli utenti non dovrebbero essere in grado di aggiornare; tuttavia, aggirare questa misura di protezione è banale, afferma Wordfence.

I siti WordPress compromessi utilizzando CVE-2023-3460 in questi attacchi mostreranno i seguenti indicatori:

• Apparizione di nuovi account amministratore sul sito web
• Utilizzo dei nomi utente wpenginer, wpadmins, wpengine_backup, se_brutal, segs_brutal
• Record di registro che mostrano che IP noti per essere dannosi hanno avuto accesso alla pagina di registrazione di Ultimate Member
• Record di registro che mostrano l’accesso da 146.70.189.245, 103.187.5.128, 103.30.11.160, 103.30.11.146 e 172.70.147.176
• Comparsa di un account utente con un indirizzo email associato a “exelica.com”
• Installazione di nuovi plugin e temi WordPress sul sito

Poiché il difetto critico rimane senza patch ed è così facile da sfruttare, WordFence consiglia di disinstallare immediatamente il plug-in Ultimate Member.

Wordfence spiega che nemmeno la regola firewall sviluppata appositamente per proteggere i propri clienti da questa minaccia copre tutti i potenziali scenari di sfruttamento, quindi rimuovere il plugin finché il fornitore non risolve il problema è l’unica azione prudente.

Se si scopre che un sito è stato compromesso, in base agli IoC condivisi sopra, rimuovere il plug-in non sarà sufficiente per porre rimedio al rischio.

In questi casi, i proprietari dei siti web devono eseguire scansioni complete del malware per sradicare eventuali residui della compromissione, come gli account amministratore non autorizzati e le eventuali backdoor da loro create.

WPScan segnala una campagna di hacking sfruttando attivamente una vulnerabilità senza patch nel plugin Ultimate Memberche consente agli aggressori non autenticati di creare nuovi account utente con privilegi amministrativi e assumere il controllo del sito. Alla vulnerabilità è stato assegnato un punteggio CVSSv3.1 (Common Vulnerability Scoring System) pari a 9,8 (Critico).

Quello di Automattic WP.cloud E Pressable.com le piattaforme di hosting hanno ripreso la tendenza dei siti compromessi in cui spuntavano nuovi amministratori non autorizzati. Dopo ulteriori indagini hanno trovato una discussione sui forum di supporto di WordPress.org su un potenziale Vulnerabilità di escalation dei privilegi nel plugin, così come le indicazioni che era già in essere attivamente sfruttato.

Membro Ultimoche è attivo su più di 200.000 siti WordPress, ha patchato il plugin, ma WPScan segnala che non era sufficiente.

“In risposta alla segnalazione di vulnerabilità, i creatori del plugin hanno prontamente rilasciato una nuova versione, la 2.6.4, con l’intenzione di risolvere il problema”, ha affermato Marc Montpas, ricercatore di sicurezza di WPScan. “Tuttavia, esaminando questo aggiornamento, abbiamo trovato numerosi metodi per aggirare la patch proposta, il che implica che il problema è ancora completamente sfruttabile.

“In aggiunta all’urgenza della situazione, uno sguardo ai nostri sistemi di monitoraggio ha anche confermato che gli attacchi che sfruttavano questa vulnerabilità stavano effettivamente accadendo in natura”.

WPScan ha identificato più di una dozzina di indirizzi IP da cui hanno origine gli exploit, nomi utente comuni per account dannosi e altri indicatori di compromissione, come plug-in, temi e codice dannosi. Controlla il consulenza sulla sicurezza se ritieni di essere stato compromesso.

La versione 2.6.6 è l’ultima versione del plugin Ultimate Member ma si ritiene che sia ancora vulnerabile. WPScan consiglia agli utenti di disattivare il plug-in fino a quando non sarà stato adeguatamente aggiornato.

WordPress è un versatile sistema di gestione dei contenuti con quasi 60.000 plugin disponibili. Se sei interessato a vendere video, PDF, foto, software o altri prodotti digitali, ci sono molti strumenti plug-in che ti possono aiutare.

Ecco un elenco di plugin WordPress per vendere download digitali. Esistono strumenti per creare semplici pulsanti di download e pagine di pagamento semplificate. Esistono anche piattaforme di abbonamento avanzate per creare mercati di risorse digitali, automatizzare la distribuzione dei contenuti e offrire varie opzioni di pagamento.

Download digitali facili

Download digitali facili è una soluzione completa per la vendita di prodotti digitali su WordPress. Consenti ai clienti di acquistare più download contemporaneamente utilizzando il sistema del carrello. Crea facilmente codici sconto per incentivare le vendite. Accettare pagamenti con carta di credito utilizzando Stripe, Apple Pay, Google Pay e PayPal. Utilizza le estensioni per offrire pagamenti ricorrenti o gateway aggiuntivi. Prezzo: i piani partono da $ 99 all’anno.

—

Gestore dei download di WordPress

Gestore dei download di WordPress tiene traccia e controlla i download di file dal tuo sito WordPress. È uno strumento di e-commerce completo per la vendita di prodotti digitali. Assegna un prezzo a un articolo digitale o utilizza prezzi basati sulla licenza per un prodotto, ad esempio “semplice”, “esteso” o “illimitato”. Funzionalità premium includono l’attivazione con un solo clic, la gestione degli sconti in base al ruolo dell’utente, i prezzi con pagamento in base al consumo, la generazione di fatture, il pagamento e il download degli ospiti e il mercato dei prodotti digitali con invio di prodotti front-end e gestione dei pagamenti. Prezzo: Basic è gratuito. I piani premium partono da $ 59 per un anno di supporto.

—

Scarica Monitor

Scarica Monitor fornisce un’interfaccia all’interno del tuo sito WordPress per caricare e gestire file scaricabili, inserire collegamenti per il download nei post e registrare e vendere download. Definire collegamenti alternativi per più versioni di download. Categorizza, tagga e aggiungi altri meta ai tuoi download. Personalizza gli endpoint per collegamenti di download puliti. Offri download riservati ai soli membri, richiedendo agli utenti di accedere. Prezzo: Basic è gratuito. Consulta il sito per i prezzi delle estensioni.

—

WooCommerce Checkout per beni digitali

WooCommerce Checkout per beni digitali rimuove i campi non necessari dalla pagina di pagamento, rendendo il processo semplice e agevole per i clienti. (Ad esempio, una pagina di pagamento probabilmente non necessita degli indirizzi di spedizione del cliente per i beni digitali.) Vendi vari tipi di download, come PDF, ebook, foto, musica, video e file audio. Prezzo: Basic è gratuito. I piani premium partono da $ 29 per un anno di supporto.

—

Abbonamenti a pagamento Pro

Abbonamenti a pagamento Pro è un plug-in di gestione dei membri per siti di contenuti premium, associazioni di club, abbonamenti, newsletter e altro. Download sicuri, eventi, corsi, video, forum o qualsiasi tipo di post personalizzato. Consenti ai membri di acquistare contenuti individuali, accesso una tantum o una singola categoria. Facilitare i membri a fornire in streaming una serie di contenuti secondo un programma preimpostato. Prezzo: Basic è gratuito. I piani premium partono da $ 297 all’anno.

—

Pagamento rapido WP

Pagamento rapido WP fornisce uno shortcode per generare un pulsante di pagamento PayPal personalizzabile, che consente a un cliente di pagare immediatamente un articolo tramite un popup utilizzando l’API di pagamento rapido di PayPal. WP Express Checkout funziona con la vendita di servizi, prodotti fisici e beni digitali. Consenti ai clienti di scaricare automaticamente un file una volta completato l’acquisto. Prezzo: gratuito.

—

Download di strisce verdi

Download di strisce verdi consente ai commercianti di vendere file e accettare le principali carte di credito. Il plug-in genera un collegamento di download crittografato, valido per un determinato periodo di tempo e per un determinato prezzo (incluso quello gratuito) stabilito dal commerciante. Invia notifiche e-mail personalizzate dopo i pagamenti andati a buon fine. Incorpora facilmente un pulsante di pagamento o di download in siti di terze parti. Prezzo: $ 19 con sei mesi di supporto.

—

Download digitale con ARForms

Download digitale con ARForms fornisce funzionalità di download digitale in ARForms sottomissioni. I clienti possono scaricare in modo sicuro i prodotti digitali dopo l’acquisto tramite un componente aggiuntivo di pagamento. Il download digitale offre più acquisti di prodotti e cronologia dei download ricercabili. Prezzo: il plug-in per i download digitali costa $ 18. Il plug-in ARForms costa $ 39.

—

Carrello PayPal semplice per WordPress

Carrello PayPal semplice per WordPress aggiunge un pulsante “Aggiungi al carrello” su qualsiasi post o pagina per vendere beni digitali. Crea un’immagine, una descrizione e un prezzo del prodotto. Quindi genera un pulsante del carrello attivo che consenta ai tuoi clienti di effettuare il checkout utilizzando PayPal. Personalizza lo shortcode con il tuo URL e le informazioni sul prodotto. Dopo l’acquisto, il cliente riceverà un’e-mail con un collegamento per scaricare il contenuto. Prezzo: gratuito.

—

Iscriviti per scaricare

Iscriviti per scaricare invoglia i visitatori a iscriversi (ad esempio, newsletter via email, corsi) fornendo loro omaggi da scaricare dopo la registrazione avvenuta con successo. Crea moduli di abbonamento illimitati e accedi a 20 modelli predefiniti. Connettiti direttamente a popolari piattaforme di terze parti come Mailchimp e Constant Contact. Tieni traccia dello stato del download, dell’esportazione degli abbonati e altro ancora. Prezzo: $ 15.

—

MemberPress

MemberPress è un plugin per creare abbonamenti online. Imposta prezzi, periodi di abbonamento e di prova, nonché approvazioni e disponibilità. Genera automaticamente una pagina di registrazione per consentire agli utenti di registrare il proprio account e acquistare l’abbonamento. Le funzionalità includono il dripping dei contenuti e la scadenza dell’accesso ai contenuti. Prezzo: i piani partono da $ 179 all’anno.

—

Selz WordPress e-commerce

Selz WordPress e-commerce trasforma WordPress in un sito di e-commerce per vendere prodotti digitali, servizi e articoli fisici. Vendi download digitali, ebook, software, video e altro ancora. Incorpora pulsanti “Acquista ora” personalizzabili, widget di prodotti o un intero negozio. Amministra le vendite tramite la dashboard Selz, che può anche gestire inventario, promozioni e relazioni con i clienti. Prezzo: gratuito. Gli account Selz partono da $ 26 al mese.

Introduzione:

Nel dinamico mondo del web design, Elementor è emerso come un punto di svolta per gli utenti di WordPress. La sua intuitiva interfaccia drag-and-drop consente agli utenti di creare siti Web straordinari senza la necessità di I migliori componenti aggiuntivi di Elementor per WordPress abilità di codifica. Per portare la tua esperienza con Elementor a un livello superiore, esploriamo i migliori componenti aggiuntivi di Elementor che aggiungono versatilità e funzionalità a questo popolare generatore di pagine WordPress.

1. PowerPack per Elementor: un potente arsenale di widget

PowerPack per Elementor si distingue come un componente aggiuntivo completo che arricchisce le tue capacità di progettazione. Con una vasta libreria di widget ed estensioni creative, offre di tutto, dalle gallerie di immagini avanzate ai caroselli interattivi. La versatilità di PowerPack ti garantisce di avere lo strumento giusto per qualsiasi sfida di progettazione, rendendolo un must per gli appassionati di Elementor.

2. Componenti aggiuntivi essenziali per Elementor: sbloccare un mondo di possibilità

Fedele al suo nome, Essential Addons for Elementor è davvero essenziale per coloro che cercano una vasta gamma di elementi per migliorare il proprio sito web. Dalle griglie di post dinamiche ai cursori di testimonianze accattivanti, questo componente aggiuntivo fornisce una solida raccolta di widget. La funzione “AnyWhere Elementor” ti consente di inserire modelli Elementor ovunque sul tuo sito, fornendo una flessibilità senza pari nel design.

3. Crocoblock: creazione di siti Web interattivi con JetElements

Il componente aggiuntivo JetElements di Crocoblock è sinonimo di creatività. Ricco di una moltitudine di elementi, tra cui tabelle dei prezzi, timer per il conto alla rovescia e widget di mappe avanzati, JetElements porta le tue capacità di progettazione a nuovi livelli. La natura dinamica e personalizzabile di questi elementi garantisce che il tuo sito web non solo abbia un aspetto straordinario ma funzioni anche senza problemi.

4. Componenti aggiuntivi felici: iniettare gioia in Elementor

Happy Addons è all’altezza del suo nome iniettando gioia nella tua esperienza con Elementor. Con un set unico di funzionalità come trasformazioni CSS e stili preimpostati, consente agli utenti di sperimentare il design senza sforzo. La funzionalità “Copia-Incolla tra domini” semplifica il processo di progettazione, consentendo il trasferimento continuo di stili tra diversi siti web.

5. Contenuti dinamici per Elementor: personalizzazione delle esperienze utente

Nell’era dei contenuti personalizzati, Dynamic Content per Elementor emerge come un componente aggiuntivo cruciale. Ti consente di modificare dinamicamente il contenuto in base ai ruoli utente, alle date e persino alle condizioni. Sia che tu voglia visualizzare un messaggio su misura per gli utenti che hanno effettuato l’accesso o personalizzare i contenuti per stagioni specifiche, questo componente aggiuntivo ti dà il potere di creare esperienze utente personalizzate.

6. Extra Elementor: elevare le possibilità di progettazione

Elementor Extras è progettato per aggiungere ulteriore tocco al tuo toolkit Elementor. La funzione “Parallasse” crea un’esperienza di scorrimento accattivante, mentre i widget “Timeline” e “Confronto immagini” offrono modi unici per presentare le informazioni. Questo componente aggiuntivo è una miniera di tesori per coloro che desiderano aggiungere elementi distintivi che affascinano i visitatori e distinguono i propri siti Web.

Conclusione: scegliere i componenti aggiuntivi di Elementor giusti per il tuo sito web

Mentre celebriamo l’impatto di Elementor sul web design WordPress, i componenti aggiuntivi sopra menzionati fungono da preziosi compagni in questo viaggio creativo. La chiave sta nel comprendere le tue specifiche esigenze di progettazione e selezionare componenti aggiuntivi in ​​linea con la tua visione. Se desideri widget aggiuntivi, opzioni di contenuto dinamico o funzionalità di stile migliorate, questi componenti aggiuntivi ti consentono di trasformare i tuoi sogni di progettazione in realtà. Abbraccia la versatilità dei componenti aggiuntivi di Elementor e lascia che la tua creatività risplenda attraverso ogni pixel del tuo sito Web WordPress. Buona progettazione!

Come questo:

Come Caricamento…

Imparentato

La vulnerabilità del plug-in WordPress di Ultimate Member, con oltre 200.000 installazioni attive, viene sfruttata attivamente su siti WordPress senza patch. Si dice che la vulnerabilità richieda uno sforzo banale per aggirare i filtri di sicurezza.

Vulnerabilità del plugin membro Ultimate

Il plugin Ultimate Member WordPress consente agli editori di creare comunità online sui loro siti web.

Il plugin funziona creando un processo semplice per le iscrizioni degli utenti e la creazione di profili utente. È un plugin popolare soprattutto per i siti ad abbonamento.

La versione gratuita del plugin ha un ampio set di funzionalità tra cui:

I profili utente front-end, la registrazione, l’accesso e gli editori possono anche creare directory dei membri.

Il plugin conteneva anche un difetto critico che consentiva al visitatore del sito di creare profili membro con privilegi essenzialmente a livello di amministratore.

Database di sicurezza WPScan descrive la gravità della vulnerabilità:

“Il plugin non impedisce ai visitatori di creare account utente con capacità arbitrarie, consentendo di fatto agli aggressori di creare account amministratore a piacimento.

Questo viene attivamente sfruttato in natura”.

Aggiornamento della sicurezza non riuscito

La vulnerabilità è stata scoperta alla fine di giugno 2023 e gli editori di Ultimate Member hanno risposto rapidamente con una patch per chiudere la vulnerabilità.

La patch per la vulnerabilità è stata rilasciata nella versione 2.6.5, pubblicata il 28 giugno.

L’ufficiale registro delle modifiche per il plugin dichiarato:

“Risolto: una vulnerabilità di escalation dei privilegi utilizzata tramite i moduli di messaggistica unificata.

Conosciuta in molti casi, questa vulnerabilità ha consentito a estranei di creare utenti WordPress a livello di amministratore.

Ti preghiamo di aggiornare immediatamente e di controllare tutti gli utenti con livello di amministratore sul tuo sito web.”

Tuttavia, la correzione non ha risolto completamente la vulnerabilità e gli hacker hanno continuato a sfruttarla sui siti Web.

I ricercatori di sicurezza di Wordfence hanno analizzato il plugin e il 29 giugno hanno stabilito che la patch in realtà non funzionava, descrivendo le loro scoperte in un post sul blog:

“Dopo ulteriori indagini, abbiamo scoperto che questa vulnerabilità viene sfruttata attivamente e non è stata adeguatamente patchata nell’ultima versione disponibile, che è la 2.6.6 al momento della stesura di questo articolo.”

Il problema era così grave che Wordfence ha descritto lo sforzo necessario per hackerare il plugin come banale.

Wordfence spiegato:

“Mentre il plugin ha un elenco preimpostato di chiavi vietate, che un utente non dovrebbe essere in grado di aggiornare, ci sono modi banali per bypassare i filtri messi in atto come l’utilizzo di vari casi, barre e codifica dei caratteri in un valore di meta chiave fornito nelle versioni vulnerabili del plugin.

Ciò consente agli aggressori di impostare il metavalore utente wp_capabilities, che controlla il ruolo dell’utente sul sito, su “amministratore”.

Ciò garantisce all’aggressore l’accesso completo al sito vulnerabile quando sfruttato con successo.”

Il livello utente di Amministratore è il livello di accesso più alto di un sito WordPress.

Ciò che rende questo exploit particolarmente preoccupante è che si tratta di una classe chiamata “Unuthenticated Privilege Escalation”, il che significa che un hacker non ha bisogno di alcun livello di accesso al sito web per hackerare il plugin.

Il membro finale si scusa

Il team di Ultimate Member ha pubblicato delle scuse pubbliche ai propri utenti in cui hanno fornito un resoconto completo di tutto ciò che è accaduto e di come hanno risposto.

Va notato che la maggior parte delle aziende rilascia una patch e resta in silenzio. Quindi è encomiabile e responsabile che Ultimate Member sia sincero con i propri clienti riguardo agli incidenti di sicurezza.

Ultimo membro ha scritto:

“In primo luogo, vogliamo chiedere scusa per queste vulnerabilità nel codice del nostro plugin e in qualsiasi sito web che è stato colpito e per la preoccupazione che ciò potrebbe aver causato nel venire a conoscenza delle vulnerabilità.

Non appena siamo stati informati che erano state scoperte vulnerabilità di sicurezza nel plugin, abbiamo immediatamente iniziato ad aggiornare il codice per correggere le vulnerabilità.

Abbiamo rilasciato diversi aggiornamenti dopo la divulgazione mentre lavoravamo sulle vulnerabilità e vogliamo ringraziare di cuore il team di WPScan per aver fornito assistenza e guida in merito dopo che ci hanno contattato per divulgare le vulnerabilità.”

Utenti del plugin invitati ad aggiornare immediatamente

I ricercatori sulla sicurezza di WPScan esortano tutti gli utenti del plugin ad aggiornare immediatamente i propri siti alla versione 2.6.7.

Un annuncio speciale da parte di WPScan:

Campagna di hacking che sfrutta attivamente il plugin Ultimate Member

“Una nuova versione, la 2.6.7, è stata rilasciata questo fine settimana e risolve il problema.

Se utilizzi Ultimate Member, aggiorna a questa versione il prima possibile.

Si tratta di un problema molto serio: gli aggressori non autenticati potrebbero sfruttare questa vulnerabilità per creare nuovi account utente con privilegi amministrativi, dando loro il potere di assumere il controllo completo dei siti interessati”.

Questa vulnerabilità è valutata 9,8 su una scala da 1 a 10, dove dieci rappresenta il livello più grave.

Si consiglia vivamente agli utenti del plug-in di aggiornarsi immediatamente.

Immagine in primo piano di Shutterstock/pedrorsfernandes

Sicurezza tutto in uno (AIOS), un plugin attivo su più di un milione di siti WordPress, registrava password in chiaro dai tentativi di accesso al database e ha risolto il problema di sicurezza nella versione 5.2.0.

In un post intitolato “Password in chiaro scritte in aiowps_audit_log” pubblicato sul forum di supporto del plugin due settimane e cinque giorni fa, @c0ntr07 ha segnalato il problema:

Lo ero assolutamente scioccato che un plugin di sicurezza sta commettendo un errore di sicurezza 101 di base (per non parlare della non conformità con NIST 800-63-3, ISO27000, CIS, HIPAA, GDPR, ….)

Come posso interrompere la registrazione delle password in chiaro?

Come è possibile risolvere questo problema in modo da non fallire l’imminente revisione e audit della sicurezza da parte dei nostri revisori della conformità di terze parti?

Un rappresentante dell’assistenza AIOS ha confermato che si trattava di un bug noto nell’ultima versione e ha offerto una copia di sviluppo di un file zip con una correzione. Ci sono volute più di due settimane per la pubblicazione della patch.

Nella versione 5.2.0, rilasciata il 10 luglio 2023, AIOS ha incluso i seguenti aggiornamenti di sicurezza nel registro delle modifiche del plugin:

• SICUREZZA: rimuovere i dati di autenticazione dallo stacktrace prima di salvarli nel database
• SICUREZZA: imposta restrizioni più severe su ciò che gli amministratori del sito secondario possono fare in un multisito.

Si consiglia agli utenti di aggiornare immediatamente alla versione 5.2.0+ per proteggere i propri siti. Al momento della pubblicazione, quasi nessun utente ha effettuato l’aggiornamento alla versione 5.2.0+, lasciando centinaia di migliaia di utenti che utilizzano la versione 5.1.9 ancora vulnerabili.

“Finora lo sviluppatore non ha nemmeno detto agli utenti di cambiare tutte le password”, ha affermato Oliver Sild, CEO di Patchstack disse in risposta al problema su Twitter. “A causa delle dimensioni, vedremo al 100% gli hacker raccogliere le credenziali dai registri dei siti compromessi che eseguono (o hanno eseguito) questo plugin.

“Abbiamo anche inviato un avviso di vulnerabilità a tutti gli utenti Patchstack. Speriamo che il team di Updraft faccia lo stesso e dica agli utenti dei plugin di sicurezza di pulire quei registri il prima possibile e di chiedere a tutti gli utenti del sito di cambiare le password ogni volta che utilizzano le stesse combinazioni.”

Offrire supporto durante l’esperienza di acquisto dei tuoi acquirenti è un buon modo per garantire il loro ritorno. Se hai un sito WordPress, ci sono una varietà di plugin di assistenza clienti che possono aiutarti.

Ecco un elenco di plugin per l’assistenza clienti su WordPress. Sono disponibili plug-in per documentazione di supporto, domande frequenti, sistemi di ticketing dell’help desk e chat dal vivo in tempo reale. Molti di questi plugin sono gratuiti, sebbene la maggior parte offra piani premium per servizi aggiuntivi.

Plugin per l’assistenza clienti

Chat dal vivo aggiunge supporto 24 ore su 24, 7 giorni su 7 al tuo sito WordPress in modo rapido e semplice. Tieni più sessioni di chat contemporaneamente, invia risposte predefinite alle domande più frequenti, tagga le tue chat e invia file ai clienti tramite il widget di chat. Utilizza inviti chat proattivi per inviare automaticamente messaggi personalizzati quando un utente soddisfa i criteri predefiniti. Prezzo: i piani partono da $ 16 al mese.

Base di conoscenza per documentazione e domande frequenti è un plugin intuitivo per pubblicare articoli di aiuto per i tuoi clienti. Organizza i tuoi documenti per team, prodotto e servizio. Utilizza fino a cinque livelli di documentazione gerarchica e un sommario. Utilizza la procedura guidata di configurazione con 26 temi e barre laterali predefinite. Accedi a 500 icone personalizzate o carica le tue. Prezzo: Basic è gratuito. I componenti aggiuntivi premium partono da $ 46 per il primo anno e $ 23 per il rinnovo.

Help Desk JS è un sistema di biglietteria completo con un piano gratuito e componenti aggiuntivi premium. JS Help Desk offre molteplici opzioni: ticket aperti, ticket chiusi, ticket con risposta, ticket scaduti e tutti i ticket. Cerca e ordina facilmente i biglietti per priorità, data e titolo. Gli utenti o i visitatori possono creare biglietti illimitati. JS Help Desk offre una varietà di layout e modelli di posta elettronica personalizzabili. Prezzo: Basic è gratuito. I componenti aggiuntivi premium partono da $ 69 all’anno.

SupportoCandy fornisce un sistema completo di ticketing dell’help desk per il tuo sito WordPress. Crea un numero qualsiasi di agenti, che possono accedere ai ticket dalla stessa pagina degli utenti e dividere il carico di lavoro sulle risposte. Gli utenti non devono creare un account per avviare un ticket. I file possono essere allegati a un ticket con campi personalizzati per i tipi di allegato. Prezzo: Basic è gratuito. I componenti aggiuntivi premium partono da $ 49 all’anno.

bbPremere è un software per forum dei creatori di WordPress. Questo forum di discussione di base si adatta a una comunità in crescita. bbPress si concentra su semplicità, flessibilità, profonda integrazione con WordPress, standard web e velocità. Prezzo: gratuito.

Supporto della Knowledge Base è un sistema di help desk con una knowledge base integrata che consente ai clienti di trovare risposte durante il processo di invio del ticket, riducendo il numero di domande. Gestisci e personalizza facilmente i moduli di invio. I clienti non hanno bisogno di un account per creare o gestire ticket di supporto. Aggiungi e assegna agenti a vari dipartimenti e monitora lo stato degli agenti (online o offline). Prezzo: Basic è gratuito. Le estensioni premium partono da $ 74 all’anno.

Supporto fantastico è un plugin per help desk e ticketing di supporto. Gli utenti inviano ticket dal front-end e gli agenti rispondono dal back-end WordPress. Notifiche personalizzabili via e-mail delle azioni dell’utente. Fornisci supporto per tutti i prodotti che desideri e sincronizza gli elenchi di prodotti con le piattaforme di e-commerce più diffuse. Più agenti possono lavorare sullo stesso ticket e i ticket sono trasferibili tra agenti. Tagga, filtra e monitora i biglietti. Importa biglietti da Zendesk, Help Scout e Ticksy. Prezzo: Basic è gratuito. I pacchetti premium partono da $ 149 all’anno.

Pannello ricco offre tre servizi in un’unica piattaforma: helpdesk e ticketing omnicanale, self-service di e-commerce integrato, live chat e messaggistica. Accedi ai profili cliente completi con l’integrazione di WooCommerce. Crea flussi di lavoro self-service guidati per automatizzare scenari di supporto comuni. Utilizza la moderna live chat per collaborare con il tuo team di supporto e ridurre i tempi di risoluzione. Tieni traccia delle prestazioni degli agenti con feedback del clientetempi di risposta e conversioni. Misura quali agenti influenzano le vendite e creano relazioni con i clienti a lungo termine. Filtra i report per tag, canale (chat dal vivo, email, social) e agenti. Prezzo: i piani partono da $ 99 al mese.

Olàrk è un applicazione di chat dal vivo coinvolgere e assistere i clienti nelle loro decisioni di acquisto. Saluta i clienti automaticamente, invia messaggi personalizzati in base al comportamento dei visitatori, indirizza le chat al reparto giusto, mostra e nascondi la tua chat e altro ancora. Ottieni report dettagliati sulla chat dal vivo per monitorare il volume, la soddisfazione del cliente e l’attività degli agenti. Olark fornisce accesso completo al tuo archivio completo di trascrizioni, insieme a un’interfaccia intuitiva per la ricerca, l’ordinamento e il filtraggio. Prezzo: I piani partono da $ 29 al mese.

Tawk.Per chattare dal vivo è uno strumento gratuito per monitorare e chattare con i visitatori del tuo sito WordPress. Tawk.To offre app iOS, Android, Windows e macOS gratuite oppure accedi tramite qualsiasi browser moderno. Ottieni informazioni preziose monitorando i visitatori in tempo reale. Prezzo: gratuito.

weDocs è uno strumento per creare documentazione di bell’aspetto sui tuoi prodotti o sulla tua azienda. Ospita documenti, organizzali con tag e recupera documenti anche da siti esterni. Prezzo: gratuito.

Aiuta lo Scout fornisce un semplice plugin per aggiungere un file Modulo di Contatto al tuo sito, che invia richieste alla piattaforma di assistenza clienti Help Scout. Puoi anche aggiungere un Help Scout Beacon per fornire assistenza clienti tramite chat dal vivo. Help Scout si integra con WooCommerce, WP eCommerce e Easy Digital Downloads. Incorpora una conversazione in qualsiasi post o pagina con uno shortcode. Prezzo: gratuito. Il prezzo della versione Pro parte da $ 49,99.

Supporto Zendesk ti consente di integrare un help desk Zendesk nel tuo sito. Aggiungi il widget Web di supporto Zendesk a qualsiasi pagina Web in modo che gli utenti possano effettuare ricerche nella tua knowledge base, chattare con un agente o inviare un ticket. Offri ai tuoi visitatori la possibilità di inviare rapidamente una domanda o un problema con un modulo di contatto a due campi. Ottieni l’accesso completo dalla dashboard a visualizzazioni, ticket e commenti. Prezzo: i piani partono da $ 49 al mese.

Jetpack, un plug-in di WordPress per aumentare la sicurezza e la velocità dei siti Web, ha rilasciato un aggiornamento critico a seguito di un controllo di routine che ha rilevato una vulnerabilità di sicurezza nella sua API.

Jetpack ha emesso un avviso questa settimana, sottolineando: “Questa vulnerabilità potrebbe essere utilizzata dagli autori di un sito per manipolare qualsiasi file nell’installazione di WordPress”.

IL Plug-in WordPress è stato scaricato più di 5 milioni di volte e secondo Aggiornamento di sicurezza di Jetpackha incluso il difetto critico dell’API da quando la sua versione 2.0 è stata rilasciata nel 2012.

La versione più aggiornata è Jetpack 12.1.1.

Jetpack ha aggiunto che non ci sono prove che ciò avvenga Bug dell’API è stato sfruttato in massa, ma sta distribuendo le patch a milioni di siti Web interessati, sotto forma di 102 nuove versioni.

“Per aiutarti in questo processo, abbiamo lavorato a stretto contatto con il team di sicurezza di WordPress.org per rilasciare versioni patchate di ogni versione di Jetpack a partire dalla 2.0”, afferma l’aggiornamento. “La maggior parte dei siti web sono stati o saranno presto aggiornati automaticamente a una versione protetta.”