Blog

Recentemente è stata scoperta una vulnerabilità zero-day in un componente aggiuntivo molto popolare per WordPress costruttore di siti webmettendo potenzialmente a rischio circa 200.000 persone che lo utilizzano.

I ricercatori di sicurezza informatica di Wordfence e WPScan (entrambe società di sicurezza WordPress) hanno scoperto la vulnerabilità in Royal Elementor Addons and Templates, un kit aggiuntivo per la creazione di siti Web creato da WP Royal.

I creatori del popolare tema Astra WordPress hanno annunciato un aggiornamento del loro plugin Starter Templates. Starter Templates 3.0 presenta un’interfaccia ridisegnata che semplifica la creazione di un sito Web con oltre cento modelli gratuiti di qualità professionale.

Il plug-in Starter Templates aggiornato è compatibile con due popolari costruttori di siti WordPress e con l’editor di blocchi WordPress Gutenberg.

L’interfaccia recentemente riprogettata consente all’utente di progettare l’aspetto di un sito Web prima di importare il modello.

Plug-in modelli iniziali 3.0

La versione 3.0 dei modelli iniziali rende più semplice che mai la creazione di modelli dall’aspetto professionale.

Il nuovo plug-in Starter Templates ha un’interfaccia ridisegnata che semplifica il campionamento di diverse combinazioni di colori del sito Web e l’utilizzo di una selezione di tavolozze di colori predefinite.

È un’interfaccia completamente nuova progettata per fornire un’esperienza utente veloce.

Brainstorm Force me lo ha descritto così:

“Se mi chiedi dell’esperienza del plugin e delle prestazioni nel backend, si tratta fondamentalmente di un’app React a pagina intera.

Ciò migliora l’esperienza dell’utente poiché non vi sono caricamenti di pagina tra ogni passaggio e siamo anche in grado di fornire all’utente un’esperienza utente coinvolgente.

In questa app abbiamo migliorato i risultati di ricerca dei modelli esistenti in modo che ogni utente trovi un modello per la propria ricerca.”

Tipografia consigliata

Ha anche una funzione che fornisce una tipografia di carattere consigliata che aiuta gli utenti a creare più velocemente un sito Web attraente e facile da leggere.

Ho chiesto al team di Brainstorm Force in cosa consiste la tipografia consigliata.

Loro hanno detto:

“I caratteri consigliati sono combinazioni di caratteri classici e contemporanei che abbiamo provato e testato per mantenere la leggibilità di un sito web. Questi caratteri sono ampiamente utilizzati e adatti a qualsiasi settore o nicchia.

Spesso vediamo che le persone seguono il loro istinto o congetture per selezionare una famiglia di caratteri per il loro sito web. Questo li spinge a scegliere tutto ciò che preferiscono, qualcosa che altri hanno utilizzato sul loro sito Web o semplicemente utilizzare un carattere di tendenza.

Ma non tutti i caratteri potrebbero essere adatti a un progetto e non tutti capirebbero come appare la tipografia sui diversi dispositivi.

Crediamo che ogni carattere aggiunga un’atmosfera e un sentimento a un sito web. Ecco perché abbiamo elencato set di caratteri efficaci adatti a qualsiasi tipo di sito Web che si potrebbe creare.

Anche se questa opzione è resa disponibile nella fase iniziale, i proprietari dei siti web hanno comunque la libertà di utilizzare le opzioni del tema per cambiare i caratteri in un secondo momento, se lo desiderano.

Oltre 100 modelli WordPress professionali gratuiti

Il plugin Starter Templates appena aggiornato presenta oltre cento modelli gratuiti. Sono progettati per apparire professionali e attraenti e sono compatibili con Elementor, Beaver Builder e l’editor di blocchi The WordPress Gutenberg.

Ciò significa che gli utenti abituati a modificare siti con tre di questi costruttori di siti possono facilmente utilizzare uno qualsiasi di questi modelli.

Ci sono anche 180 modelli premium tra cui scegliere.

Visualizza il sito web prima di importare il modello

Una nuova importante funzionalità del plugin è la possibilità di personalizzare un modello prima di importarlo per vedere come apparirà con il logo, il carattere e la combinazione di colori scelta.

L’interfaccia semplifica il caricamento di un logo e l’anteprima di come apparirà nel modello.

L’annuncio della Brainstorm Force, pubblicato sul sito web di WP Astra, affermava:

“Con Starter Templates 3.0 abbiamo semplificato la progettazione con una ricerca potente, un miglioramento della creazione di siti Web, della selezione del logo, dei colori del sito Web e della selezione della tipografia.”

Il plugin non rallenterà il tuo sito web

Il plugin Starter Template è un plugin completamente backend che funziona dal lato amministratore di un sito WordPress. Non ha alcun impatto sul caricamento della pagina o sulle prestazioni del sito Web stesso.

Ho chiesto loro quale fosse l’impatto sulle prestazioni del sito ed ecco come hanno risposto:

“Non carica nulla sul frontend del sito web dell’utente. Pertanto, il plug-in Starter Templates non influisce sul caricamento/sulle prestazioni di tali siti Web.

Abbiamo prestato la massima attenzione a tenere il passo con le aspettative in termini di prestazioni e a importare solo i plug-in necessari che siano leggeri. Anche i media e le immagini utilizzati nei modelli sono ottimizzati per le prestazioni.

Starter Templates è un plugin backend al 100%. Inoltre, non carica alcun JS/CSS o alcun markup nel frontend.”

Modelli iniziali Prestazioni front-end

È fantastico che il plug-in backend non abbia alcun impatto sul front-end di un sito Web, la parte con cui interagiscono i visitatori del sito.

La cosa fantastica dei modelli stessi è che anch’essi ereditano le ottimizzazioni della velocità della pagina del tema Astra.

Gli sviluppatori hanno spiegato:

“Il nostro obiettivo principale è sempre stato quello di migliorare la velocità e le prestazioni del sito web. Ecco perché abbiamo creato il tema WordPress più veloce, Astra.

È stato fatto un ulteriore passo avanti con funzionalità specifiche per ottenere il miglior punteggio Core Web Vitals. Pertanto, Astra viene fornito per impostazione predefinita con impostazioni per utilizzare i caratteri Google ospitati autonomamente, miglioramenti rispetto ai loghi SVG, intestazioni mobili e altro ancora.

Sebbene i modelli iniziali possano essere utilizzati con qualsiasi tema WordPress, i modelli vengono creati individualmente utilizzando Astra ed ereditano quelle funzionalità principali.

Inoltre, ogni modello è creato utilizzando plug-in completamente compatibili e leggeri. Ottimizziamo le immagini e testiamo ogni modello per offrire le migliori prestazioni possibili con ciò che ha.

Plug-in per la libreria di modelli iniziali

Il plug-in del modello iniziale aggiornato offre siti predefiniti e pagine iniziali tutti gratuiti al 100%, con la piena funzionalità dell’interfaccia backend. L’unica differenza tra la versione gratuita e quella a pagamento è che la versione premium ha 180 modelli in più. Per il resto, le versioni gratuita e premium del plugin sono le stesse.

L’editor di siti WordPress Gutenberg è un modo potente per creare siti Web ad alte prestazioni. Qualcosa come il plug-in Starter Template può potenzialmente accelerare il processo di creazione di un sito Web.

Poiché è compatibile con Elementor e Beaver Builder puoi anche sfruttare i modelli gratuiti.

Citazioni

Leggi l’annuncio ufficiale della Brainstorm Force

Presentazione dei modelli iniziali 3.0: centinaia di modelli, milioni di possibilità!

Pagina di download dei plug-in dei modelli iniziali

Pagina ufficiale del plugin per modelli WordPress Starter

All-In-One Security, un plugin di sicurezza per WordPress installato su più di 1 milione di siti web, ha rilasciato un aggiornamento di sicurezza dopo essere stato sorpreso tre settimane fa a registrare password in chiaro e a memorizzarle in un database accessibile agli amministratori dei siti web.

Le password venivano registrate quando gli utenti di un sito che utilizzava il plug-in, generalmente abbreviato in AIOS, effettuavano l’accesso, lo sviluppatore di AIOS ha detto giovedì. Lo sviluppatore ha affermato che il logging era il risultato di un bug introdotto a maggio nella versione 5.1.9. La versione 5.2.0 rilasciata giovedì risolve il bug e inoltre “elimina i dati problematici dal database”. Il database era disponibile per le persone con accesso amministrativo al sito web.

Una grave violazione della sicurezza

Un rappresentante di AIOS ha scritto in una e-mail che “per ottenere qualcosa da questo difetto è necessario accedere con i privilegi amministrativi di livello più alto, o equivalenti. cioè può essere sfruttato da un amministratore disonesto che può già fare queste cose perché è un amministratore.”

Tuttavia, i professionisti della sicurezza ammoniscono da tempo gli amministratori di non archiviare mai le password in chiaro, data la relativa facilità con cui gli hacker hanno avuto per decenni di violare i siti Web e di sottrarsi ai dati in essi archiviati. In tale contesto, la scrittura di password in chiaro su qualsiasi tipo di database, indipendentemente da chi vi abbia accesso, rappresenta una grave violazione della sicurezza.

L’unico modo accettabile per archiviare le password per più di due decenni è come un hash crittografico generato utilizzando quello che viene spesso definito come un algoritmo lentoil che significa che per essere violato richiede tempo e risorse di calcolo superiori alla media. Questa precauzione funge da sorta di polizza assicurativa. Se un database viene violato, gli autori delle minacce richiederanno tempo e risorse informatiche per convertire gli hash nel testo in chiaro corrispondente, dando agli utenti il ​​tempo di modificarli. Quando le password sono complesse, ovvero composte da almeno 12 caratteri, generate casualmente e uniche per ciascun sito, è generalmente impossibile per la maggior parte degli autori delle minacce violarle se sottoposte ad hashing con un algoritmo lento.

I processi di accesso da alcuni servizi più grandi spesso utilizzano sistemi che tentano di proteggere i contenuti in chiaro, anche dal sito stesso. Tuttavia, rimane ancora comune che molti siti abbiano brevemente accesso ai contenuti in chiaro prima di passarli all’algoritmo di hashing.

Il bug di registrazione della password emerse almeno tre settimane fa in un forum WordPress, quando un utente ha scoperto il comportamento e si è preoccupato in un post che avrebbe portato l’organizzazione a fallire un’imminente revisione della sicurezza da parte di revisori della conformità di terze parti. Lo stesso giorno, un rappresentante AIOS ha risposto: “Questo è un bug noto nell’ultima versione”. Il rappresentante ha fornito uno script che avrebbe dovuto cancellare i dati registrati. L’utente ha segnalato che lo script non ha funzionato.

L’utente ha anche chiesto perché AIOS non stesse rendendo disponibile una correzione generalmente disponibile in quel momento, scrivendo:

Questo è un ENORME problema. Chiunque, come un appaltatore, ha accesso al nome utente e alle password di tutti gli altri amministratori del sito.

Inoltre, come documentato dal nostro pentesting, gli appaltatori e i progettisti del sito hanno pratiche di password molto scadenti. Le credenziali del nostro contratto sono le stesse che utilizzano su TUTTI GLI ALTRI SITI CLIENTI (e su Gmail e Facebook).

AIOS offre per lo più una valida guida per la password

L’avviso di giovedì affermava: “Era importante risolvere questo problema e ci scusiamo per l’errore”, e continuava ribadendo i consigli standard, tra cui:

• Assicurati che AIOS e tutti gli altri plugin che utilizzi siano aggiornati. Ciò garantisce che qualsiasi vulnerabilità identificata dagli sviluppatori o dalla comunità venga corretta, contribuendo a mantenere il tuo sito sicuro. Puoi vedere quale versione del plugin stai utilizzando nella dashboard. Riceverai una notifica di eventuali aggiornamenti in sospeso nella schermata del plugin sulla dashboard di WordPress. Queste informazioni sono disponibili anche nella sezione degli aggiornamenti della dashboard di WordPress. Un plugin come “Easy Updates Manager” può aiutarti ad automatizzare questo processo

• Cambia regolarmente tutte le password, soprattutto se ritieni che la tua password sia stata compromessa. Ciò impedirà a chiunque abbia le tue informazioni di accesso di causare danni al tuo sito o di accedere ai tuoi dati.

• Abilita sempre l’autenticazione a due fattori sui tuoi account (WordPress e altro). Questo ulteriore livello di protezione funziona verificando il tuo accesso tramite un secondo dispositivo come il tuo telefono cellulare o tablet. È uno dei modi più semplici ed efficaci per tenere i tuoi dati fuori dalle mani degli hacker: con l’autenticazione a due fattori, una password rubata non consente ancora a un utente malintenzionato di accedere a un account. AIOS include un modulo di autenticazione a due fattori per proteggere i tuoi siti WordPress.

Sebbene la maggior parte dei consigli sia valida, la raccomandazione di modificare regolarmente le password è obsoleta. Negli ultimi anni, i professionisti della sicurezza hanno concluso che è possibile modificare la password più danno che bene quando non c’è motivo di sospettare una compromissione dell’account. Il ragionamento: i cambiamenti regolari delle password incoraggiano gli utenti a scegliere password più deboli. Microsoft ha caratterizzato la pratica come “antico e obsoleto.”

Chiunque utilizzi AIOS dovrebbe installare l’aggiornamento non appena possibile e assicurarsi che l’eliminazione del registro funzioni come descritto. Gli utenti finali o gli amministratori che sospettano che la loro password sia stata acquisita da un sito Web che utilizza AIOS dovrebbero modificarla su quel sito e, nel caso in cui utilizzino la stessa password su altri siti, anche su tali altri siti.

Il plugin Yoast WordPress SEO ha rilasciato un aggiornamento ma è diventato presto evidente che qualcosa era andato terribilmente storto per alcuni utenti. Sembra che il problema abbia causato errori irreversibili. Le vittime colpite negativamente dall’aggiornamento Yoast hanno dovuto tornare a una versione precedente di Yoast.

Secondo un utente, l’installazione di WordPress lo ha avvisato di un “errore fatale”, secondo l’e-mail inviatagli.

Yoast ha risolto il problema in modo responsabile e rapido e ha pubblicato le scuse per l’accaduto.

L’aggiornamento del plugin Yoast versione 18.4

Yoast 18.4 aveva lo scopo di introdurre una nuova funzionalità che introduceva timestamp di contenuti e dati strutturati ai fini della protezione del copyright utilizzando la tecnologia blockchain.

La nuova funzionalità era collegata a un servizio chiamato WordProof che fornisce timestamp verificabili che mostrano ai visitatori del sito quando il contenuto è stato creato e aggiornato.

Integrazione di WordProof con Yoast non riuscita

Il servizio WordProof fornisce un certificato blockchain per certificare un timestamp e uno strumento di violazione del copyright.

L’obiettivo dichiarato di WordProof è promuovere la fiducia in un sito Web fornendo prove e trasparenza.

Secondo WordProof:

“Internet ha problemi profondamente radicati che crescono ogni giorno: sfiducia, plagio e notizie false. WordProof vuole creare un nuovo standard per un Internet più affidabile e degno di fiducia, con l’aiuto della tecnologia blockchain”.

Sfortunatamente l’integrazione di questa funzionalità ha causato gravi malfunzionamenti a Yoast per gli utenti.

Al momento della stesura di questo articolo, alcuni clienti Yoast hanno indicato che questo errore interessava le versioni Yoast 18.4 e 18.4.1.

Secondo Yoast, il plugin gratuito Yoast versione 18.4.1 e Yoast SEO Premium 18.2.1 sono entrambe versioni stabili che non contengono più la nuova funzionalità WordProof.

WordProof è un’azienda elencata sul proprio Pagina Chi siamo che i cofondatori marito e moglie di Yoast sono partner.

Sintomi dell’aggiornamento del plugin Bad Yoast SEO

L’aggiornamento del plugin SEO Yoast WordPress, destinato a fallire, ha causato enormi interruzioni ad alcuni clienti.

Problemi tipici segnalati:

• La mappa del sito XML mostra tutti i tipi di contenuto, incluso il contenuto privato che non dovrebbe essere esposto
• La scheda delle impostazioni dell’aspetto di Yoast Search era completamente vuota.
• Messaggio di errore irreversibile
• WordPress invia un messaggio relativo all’errore del plug-in Yoast

Un utente ha riferito che il core di WordPress ha inviato via email un messaggio di avviso relativo al plugin Yoast:

“A partire da WordPress 5.2 è presente una funzionalità integrata che rileva quando un plugin o un tema causa un errore fatale sul tuo sito e ti avvisa con questa email automatizzata.

In questo caso, WordPress ha riscontrato un errore con uno dei tuoi plugin, Yoast SEO.”

L’utente ha condiviso la documentazione degli errori dannosi del plugin Yoast SEO:

Screenshot degli errori di aggiornamento di Yoast

Un altro cliente Yoast ha pubblicato un post sulla pagina di supporto pubblica di Yoast su descrivono i loro problemi:

“dopo l’aggiornamento dal plugin yoast seo 18.3 -> 18.4 nella pagina sullo stato di integrità del sito posso vedere alcuni errori:

…L’API REST ha riscontrato un errore di prestazione

…La richiesta API REST non è riuscita a causa di un errore.”

Un altro utente del plug-in Yoast ha scritto a informare Yoast di un errore simile:

“Errore critico dopo l’aggiornamento di WordPress 5.9.2 e Yoast 18.4.1

…La richiesta API REST non è riuscita a causa di un errore.”

Un problema relativo all’API REST sembrava essere un reclamo abbastanza comune, come ce n’erano altre vittime dell’aggiornamento Yoast lo hanno segnalatopure.

Un altro utente del plugin Yoast ha scritto che Yoast ha rotto il suo sito web:

“Il mio sito ha iniziato improvvisamente a visualizzare pagine vuote, pagine di errore, pagine formattate in modo ristretto su un browser desktop (ovvero, non occupando l’intero schermo del browser come in passato), ecc. All’improvviso non sono riuscito nemmeno a modificare la mia home page…”

Un altro richiesta di aiuto:

“Non riesco a modificare il post o la pagina. Genera errore. Quando ho disattivato il plugin. Allora il problema scompare.

…errore: l’editor ha riscontrato un errore imprevisto.”

Yoast garantisce che l’ultima versione del plugin SEO sia ora stabile

Il plugin ha causato errori fatali a molti utenti che hanno iniziato a pubblicare post sulla pagina di supporto del plugin Yoast su WordPress.org.

Yoast ha rilasciato una dichiarazione di scuse per l’aggiornamento problematico:

“Nonostante i test approfonditi, alcuni utenti, sfortunatamente, hanno riscontrato problemi con Yoast SEO 18.4.

Poiché hanno contattato rapidamente il nostro team di supporto attivo 24 ore su 24, 7 giorni su 7, siamo stati in grado di agire rapidamente e ripristinare questa versione.

….Siamo molto dispiaciuti per gli eventuali inconvenienti che potresti aver riscontrato.”

Yoast ha assicurato ai clienti che le ultime versioni (Yoast SEO 18.4.1 e Yoast SEO Premium 18.2.1) sono stabili e che avrebbero rivisitato l’integrazione di WordProof in un secondo momento.

Errori del plugin Yoast SEO

Yoast non è attualmente compatibile con PHP 8+. Almeno una delle persone che hanno segnalato un errore lo ha notato stavano usando PHP 8.0.

In una domanda di supporto non correlata, qualcuno ha chiesto se Yoast fosse compatibile con l’ultima versione di PHP, versione 8.x.

Il rappresentante dell’assistenza Yoast ha scritto:

“Purtroppo non abbiamo ancora testato completamente il plugin con la versione 8 di PHP. L’intera community di WordPress ci sta ancora lavorando”

Quindi è possibile che per quel particolare utente PHP 8.0 abbia aggravato i problemi.

Yoast consiglia l’aggiornamento alle ultime versioni stabili del proprio plugin. Potrebbe essere prudente verificare che il tuo sito web non esegua PHP 8.+ e, se possibile, allestire prima il sito per testare se funziona correttamente.

Citazione

Leggi la dichiarazione di Yoast sullo sfortunato aggiornamento

Yoast SEO 18.4.1 e Premium 18.2.1 ora disponibili

Migliaia di siti che eseguono il sistema di gestione dei contenuti WordPress sono stati violati da un prolifico attore di minacce che ha sfruttato una vulnerabilità recentemente corretta in un plug-in ampiamente utilizzato.

Il plugin vulnerabile, noto come tagDiv Composer, è un requisito obbligatorio per l’utilizzo di due temi WordPress: Giornale E Newsmag. I temi sono disponibili attraverso i mercati Theme Forest ed Envato e hanno più di 155.000 download.

Classificata come CVE-2023-3169, la vulnerabilità è nota come difetto di cross-site scripting (XSS) che consente agli hacker di inserire codice dannoso nelle pagine web. Scoperto da un ricercatore vietnamita Truoc Phanla vulnerabilità ha un livello di gravità di 7,1 su un massimo di 10. È stata parzialmente corretta nella versione tagDiv Composer 4.1 e completamente patchata nella 4.2.

Secondo a inviare Creato dal ricercatore di sicurezza Denis Sinegubko, gli autori delle minacce stanno sfruttando la vulnerabilità per iniettare script web che reindirizzano i visitatori a vari siti truffa. I reindirizzamenti portano a siti che promuovono un falso supporto tecnico, vincite fraudolente alla lotteria e truffe con notifiche push, le ultime delle quali inducono i visitatori a iscriversi alle notifiche push visualizzando dialoghi captcha falsi.

Sucuri, la società di sicurezza per cui lavora Sinegubko, monitora la campagna malware dal 2017 e l’ha chiamata Balada. Sucuri stima che negli ultimi sei anni Balada abbia compromesso più di 1 milione di siti. Il mese scorso, Sucuri ha rilevato iniezioni di Balada in più di 17.000 siti, quasi il doppio del numero che l’azienda aveva visto il mese prima. Oltre 9.000 delle nuove infezioni sono state il risultato di iniezioni rese possibili sfruttando CVE-2023-3169.

Sinegubko ha scritto:

Abbiamo osservato un rapido ciclo di modifiche agli script inseriti insieme a nuove tecniche e approcci. Abbiamo assistito a iniezioni casuali e tipi di offuscamento, uso simultaneo di più domini e sottodomini, abuso di CloudFlare e molteplici approcci per attaccare gli amministratori di siti WordPress infetti.

Settembre è stato anche un mese molto impegnativo per migliaia di utenti del tema tagDiv Newspaper. La campagna malware Balada Injector ha eseguito una serie di attacchi mirati sia alla vulnerabilità del plugin tagDiv Composer che agli amministratori dei blog di siti già infetti.

Sucuri ha monitorato non meno di sei ondate di iniezioni che sfruttano la vulnerabilità. Sebbene ogni ondata sia distinta, tutte contengono uno script rivelatore inserito all’interno di questi tag:

<style id="tdw-css-placeholder"></style><script>...malicious injection…</script><style></style>

L’iniezione dannosa utilizza codice offuscato per renderne difficile il rilevamento. Si trova nel database utilizzato dai siti WordPress, in particolare nell’opzione “td_live_css_local_storage” della tabella wp_options.

L’autore della minaccia Balada ha sempre tentato di ottenere un controllo persistente sui siti Web che compromette. Il modo più comune per farlo è inserendo script che creano account con privilegi di amministratore. Se gli amministratori reali rilevano e rimuovono gli script di reindirizzamento ma consentono la permanenza degli account amministratore falsi, l’autore della minaccia utilizza il proprio controllo amministrativo per aggiungere un nuovo set di script di reindirizzamento dannosi.

Il ricercatore ha scritto:

Gli hacker di Balada Injector mirano sempre a un controllo persistente sui siti compromessi caricando backdoor, aggiungendo plug-in dannosi e creando amministratori di blog non autorizzati. In questo caso, il [CVE-2023-3169] la vulnerabilità non consente loro di raggiungere facilmente questo obiettivo. Tuttavia, ciò non ha mai impedito a Balada di tentare di impadronirsi completamente dei siti con vulnerabilità XSS archiviate.

Balada è noto da tempo per l’immissione di script dannosi che prendono di mira gli amministratori dei siti che hanno effettuato l’accesso. L’idea è che quando l’amministratore di un blog accede a un sito web, il suo browser contiene cookie che gli consentono di svolgere tutte le attività amministrative senza doversi autenticare su ogni nuova pagina. Pertanto, se il browser carica uno script che tenta di emulare l’attività dell’amministratore, sarà in grado di fare quasi tutto ciò che può essere fatto tramite l’interfaccia di amministrazione di WordPress.

Chiunque amministri un sito che utilizza i temi WordPress Newspaper o Newsmag dovrebbe ispezionare attentamente sia il proprio sito che i registri eventi per individuare eventuali segni di infezione utilizzando i numerosi indicatori di compromissione inclusi nel post di Sucuri. Come accennato, gli autori delle minacce Balada tentano di ottenere un accesso persistente ai siti che compromettono. Oltre a rimuovere eventuali script dannosi aggiunti, è anche importante verificare la presenza di codice backdoor e l’aggiunta di eventuali account amministratore.

Vai aSuperiore

JACKSONVILLE, Florida., 28 novembre 2023 /PRNewswire/ — Yoast, un plug-in pionieristico e leader globale nell’ottimizzazione dei motori di ricerca (SEO) per WordPress, di proprietà di Newfold Digital, ha annunciato oggi miglioramenti basati sull’intelligenza artificiale al suo rinomato plug-in SEO per WordPress. Questi miglioramenti aiutano gli utenti a scrivere titoli e meta descrizioni accattivanti e ottimizzati per il SEO per le pagine web. Utilizzando algoritmi avanzati e tecniche di apprendimento automatico, genera titoli e meta descrizioni creativi e accattivanti, affascinando il pubblico e rispettando gli standard dei motori di ricerca.

Scrivere contenuti ottimali per titoli di siti Web e meta descrizioni può essere impegnativo e richiedere molto tempo, ma non deve esserlo. Ora, Yoast SEO Premium può generare questi elementi cruciali per strategie SEO efficaci con un solo clic.

Yoast, il plugin SEO più grande al mondo, ha sfruttato la propria esperienza SEO interna per sviluppare suggerimenti intelligenti per fornire risultati ottimali agli utenti. Il generatore di titoli e meta descrizioni AI di Yoast elimina il fastidio di creare manualmente titoli e meta descrizioni unici e di alta qualità per ogni pagina. Ciò fa risparmiare tempo agli utenti, attira più traffico sul sito Web e aumenta la percentuale di clic.

Scrivere meta descrizioni accattivanti per le pagine dei prodotti di un negozio online è ancora più importante. Le pagine dei prodotti spesso contengono informazioni generali, che non dovrebbero apparire nelle pagine dei risultati di ricerca. Yoast WooCommerce SEO, il componente aggiuntivo eCommerce del plug-in Yoast SEO Premium, ora aggiunge la potenza dell’intelligenza artificiale alle pagine dei prodotti, consentendo agli utenti di generare il titolo e la meta descrizione perfetti con un solo clic di un pulsante.

Yoast sta portando il suo impegno per l’eccellenza del cliente a un livello superiore attraverso i miglioramenti del suo prodotto Premium esistente. Le funzionalità basate sull’intelligenza artificiale di Yoast sono incluse automaticamente per gli utenti Premium, rendendo lo sblocco della potenza dei componenti SEO generati dall’intelligenza artificiale facile come un aggiornamento del plug-in. Quando molti strumenti SEO implementano modelli di prezzo a consumo per l’utilizzo dell’intelligenza artificiale, Yoast si distingue. L’ultimo aggiornamento offre agli utenti Premium un accesso senza precedenti a questi miglioramenti dell’intelligenza artificiale, senza attivazioni complesse o costi aggiuntivi, addebiti o costi nascosti.

La storia continua

“Il panorama digitale è in continua evoluzione e richiede un’innovazione continua. Yoast si distingue come un esempio nel suo impegno volto a garantire che ogni proprietario di un sito web possa accedere a strumenti SEO d’élite facili da usare”, ha affermato Kimberley ColeDirettore generale Europa presso Newfold Digital, società madre di Yoast. “Approfondindo l’integrazione dell’intelligenza artificiale ed estendendola all’e-commerce, Yoast fornisce ai propri utenti gli strumenti necessari per eccellere in questo dinamico dominio digitale.”

Con questo lancio della sua prima funzionalità integrata con intelligenza artificiale, Yoast, pioniere dell’innovazione, segna l’inizio di una serie di progressi e rafforza la sua posizione come soluzione SEO preferita per oltre 13 milioni di siti WordPress in tutto il mondo. Per un’analisi dettagliata e ulteriori approfondimenti su queste innovazioni, visitare il sito Yoast.com.

A proposito di Yoast
Yoast, fondata nel 2010 e acquisita da Newfold Digital nel 2021, è la società dietro Yoast SEO, il principale plugin SEO per WordPress che è diventato uno strumento indispensabile per i siti Web WordPress che mirano a rafforzare il proprio posizionamento. Yoast SEO aiuta i proprietari di siti web di tutti i livelli a navigare senza sforzo nel terreno tecnico della SEO, consentendo allo stesso tempo agli utenti di produrre contenuti accattivanti con analisi SEO e leggibilità versatili, disponibili in più lingue. Con oltre 13 milioni di download attivi, Yoast SEO non è solo il plugin SEO più scaricato, ma anche una testimonianza dell’impegno di Yoast nel canalizzare più traffico organico dai motori di ricerca e dalle piattaforme social. Oltre alla versione gratuita di Yoast SEO, il prodotto Premium fornisce agli utenti l’accesso ai venerati corsi della SEO Academy di Yoast, un archivio di conoscenze essenziali per padroneggiare la SEO. Servendo una clientela diversificata, dalle strutture locali ai siti riconosciuti a livello globale, la missione di Yoast rimane chiara: rendere la SEO accessibile a tutti.

Oltre al plugin Yoast SEO di punta, l’azienda ha creato una serie di plugin progettati per amplificare ulteriormente il potenziale SEO. Con una convinzione profondamente radicata nella comunità e nella collaborazione, Yoast contribuisce regolarmente a progetti open source ed è noto per la sua partecipazione attiva a eventi significativi nella sfera digitale. Scopri di più su Yoast e la sua suite di prodotti su Yoast.com.

Informazioni su Newfold Digital
Newfold Digital, azienda leader nel settore delle tecnologie web e commerciali, serve quasi 7 milioni di clienti in tutto il mondo. Fondato nel 2021 in seguito alla fusione dei giganti del settore Endurance Web Presence e Web.com Group, il portafoglio di marchi di Newfold Digital comprende nomi come Bluehost, CrazyDomains, HostGator, Network Solutions, Register.com, Web.com, Yoast, YITH e molti altri. L’azienda aiuta clienti di diversa scala a scolpire una presenza digitale che risuoni e fornisca risultati. Grazie alla sua vasta gamma di prodotti e al supporto dedicato, Newfold Digital è diventata sinonimo di eccellenza nel campo delle soluzioni di presenza online. Scopri di più su Newfold Digital su Newfold.com.

Contatto con i media:
PaolaLorenzo
corporatecommunications@newfold.com

Visualizza il contenuto originale per scaricare contenuti multimediali:https://www.prnewswire.com/news-releases/yoast-unleashes-ai-powered-seo-plugin-slashing-time-investments-for-crafting-vital-elements-of-effect-seo-strategies-301998203. html

FONTE Newfold Digital

• Aggiorna il plug-in Backup Migration alla versione 1.3.8 o successiva.
• Diffidare delle comunicazioni non richieste, in particolare di quelle che affermano di aver scoperto punti deboli.
• Mantieni le versioni più recenti del core, dei plugin e dei temi di WordPress.
• Monitora il tuo sito web per attività insolite con un potente plug-in di sicurezza come Wordfence.

Seguendo questi consigli, gli utenti di WordPress possono ridurre significativamente il rischio di cadere vittime di queste e altre vulnerabilità. Ricorda, la sicurezza è un processo continuo, quindi è fondamentale rimanere vigili e aggiornare regolarmente il software per garantire che il tuo sito web rimanga protetto.

14 luglio 2023Sala stampaSicurezza password/WordPress

All-In-One Security (AIOS), un plugin WordPress installato su oltre un milione di siti, ha rilasciato un aggiornamento di sicurezza dopo che un bug introdotto nella versione 5.1.9 del software causava l’aggiunta delle password degli utenti al database in formato testo normale.

“Un amministratore del sito malintenzionato (ovvero un utente che ha già effettuato l’accesso al sito come amministratore) potrebbe quindi averli letti,” UpdraftPlus, i manutentori di AIOS, disse.

“Questo sarebbe un problema se gli amministratori dei siti provassero quelle password su altri servizi in cui i tuoi utenti potrebbero aver utilizzato la stessa password. Se gli accessi a questi altri servizi non sono protetti dall’autenticazione a due fattori, questo potrebbe essere un rischio per il sito web interessato.”

Il problema è emerso quasi tre settimane fa quando un utente del plugin riportato il comportamento, affermando che erano “assolutamente scioccati dal fatto che un plug-in di sicurezza stia commettendo un errore di sicurezza 101 così basilare”.

AIOS ha inoltre osservato che gli aggiornamenti rimuovono i dati registrati esistenti dal database, ma ha sottolineato che per uno sfruttamento efficace è necessario che l’autore della minaccia abbia già compromesso un sito WordPress con altri mezzi e disponga di privilegi amministrativi o abbia ottenuto l’accesso non autorizzato ai backup non crittografati del sito.

“In quanto tale, le opportunità per qualcuno di ottenere privilegi che non aveva già sono limitate”, ha affermato la società. “La versione con patch impedisce la registrazione delle password e cancella tutte le password salvate in precedenza.”

A titolo precauzionale, si consiglia agli utenti di abilitare l’autenticazione a due fattori su WordPress e di modificare le password, in particolare se le stesse combinazioni di credenziali sono state utilizzate su altri siti.

La divulgazione arriva quando Wordfence ha rivelato un difetto critico che ha un impatto su WPEverest Registrazione Utente plugin (CVE-2023-3342, punteggio CVSS: 9,9) che ha oltre 60.000 installazioni attive. La vulnerabilità è stata risolta nella versione 3.0.2.1.

“Questa vulnerabilità consente a un utente malintenzionato autenticato con autorizzazioni minime, come un abbonato, di caricare file arbitrari, inclusi file PHP, e ottenere l’esecuzione di codice remoto sul server di un sito vulnerabile”, ha spiegato il ricercatore di Wordfence István Márton. disse.