Rappresentante del team di revisione dei plugin Mika Epstein annunciate modifiche per i plugin in evidenza e beta ufficialmente riconosciuti venerdì scorso. Secondo la nuova regola, i proprietari dei plugin non potranno più cambiare direttamente la proprietà a qualcun altro o aggiungere/rimuovere l’accesso al commit. Lo scopo è impedire ai malintenzionati di diffondere codice dannoso o upsell premium.
I proprietari dei plugin possono comunque aggiungere e rimuovere manualmente i rappresentanti di supporto per i loro plugin nella directory. Tuttavia, devono inviare un’e-mail al team di revisione del plug-in per modificare la proprietà o impegnare l’accesso.
Epstein ha scritto nell’annuncio:
Questa modifica è stata apportata a causa della natura di alto profilo di tali plug-in e del rischio di abuso se un plug-in viene fornito a qualcuno che si rivela essere dannoso. Ci auguriamo che ciò impedisca problemi come la trasformazione di un plug-in in evidenza in un plug-in di upsell premium.
I dettagli del dietro le quinte sono stati omessi dal post. Presumibilmente, il team di revisione del plugin ricontrollerebbe le modifiche richieste o le bloccherebbe se qualcosa sembrasse storto.
IL categoria in primo piano mostra i primi plugin che gli utenti di WordPress vedono dalla schermata di amministrazione Plugin > Aggiungi nuovo. IL categoria beta appare per primo nelle versioni di sviluppo.
Plugin in primo piano tramite l’amministratore di WordPress.
Le installazioni attive vanno da poche decine a oltre 5 milioni per i due gruppi. Il numero però non conta, come sottolinea Epstein nell’annuncio. “Se un plug-in per 2 utenti viene reso un plug-in in primo piano, avrà questa limitazione.”
Sono disponibili nove plug-in in primo piano e 15 beta. Molti di questi ultimi hanno un numero basso di installazioni e alcuni non vengono aggiornati da oltre mezzo decennio. Probabilmente è necessario fare un po’ di pulizia della casa.
Il numero limitato di plugin in evidenza non corre il rischio di passare di mano. La maggior parte è di proprietà del progetto WordPress stesso o di Automattic.
L’annuncio sembra quasi che non sia cambiato molto. Tuttavia, è benvenuta la garanzia che i malintenzionati abbiano più ostacoli da superare quando acquisiscono plug-in in primo piano e beta.
Il vero pericolo con i cambiamenti di proprietà risiede negli altri oltre 59.000 plugin nella directory. Non hanno tali protezioni aggiuntive.
Quasi un anno fa ho iniziato ricevere segnalazioni sul plug-in della modalità oscura sembrava stesse facendo qualcosa di sospetto. Una volta proposto un plugin in primo piano, è passato dall’essere un semplice strumento per cambiare la combinazione di colori dell’amministratore di WordPress a una copia del progetto editor premium Iceberg.
Questa nuova modifica alle regole non sarebbe entrata in vigore per la modalità oscura se fosse esistita un anno fa. Non è mai arrivato al punto ufficialmente sancito di diventare un plugin in evidenza o beta.
C’è un biglietto di 17 mesi per notificare agli utenti i cambiamenti di proprietàma ci sono limiti a ciò che è possibile fare con un tale sistema. Ad esempio, l’acquisizione di un’azienda non riflette necessariamente i cambiamenti su WordPress.org.
Ci sono stati casi chiari e documentati di sviluppatori e agenzie che hanno acquisito un plugin e lo hanno riutilizzato. La modalità oscura aveva solo poche migliaia di utenti quando i nuovi proprietari la cambiarono. Nel caso di WP User Avatar, molti dei suoi 400.000 utenti hanno dovuto affrontare il problema conseguenze di un passaggio notturno a una soluzione di adesione completa. Non ho dubbi sul fatto che il team di revisione dei plugin rilevi casi di natura più dannosa.
Sarebbe un incubo gestionale per il team di revisione dei plugin richiedere l’approvazione manuale ogni volta che il proprietario di un plugin decide di aggiornare l’elenco dei committer. Tuttavia, modificarlo per i plugin in primo piano e beta è almeno un passo nella giusta direzione.
È stata scoperta una vulnerabilità di sicurezza critica in un popolare plugin di WordPress, Backup Migration, che è attualmente installato su oltre 90.000 siti web. La vulnerabilità, tracciata come CVE-2023-6553 e con un punteggio di gravità di 9,8 su 10, consente agli aggressori di ottenere l’esecuzione di codice in modalità remota e compromettere completamente i siti Web vulnerabili.
Il team di cacciatori di bug, noto come Nex Team, ha rilevato la falla di sicurezza e l’ha segnalata alla società di sicurezza di WordPress Wordfence nell’ambito del loro programma bug bounty. Questa vulnerabilità interessa tutte le versioni del plug-in Backup Migration fino alla versione 1.3.6 inclusa. Ciò che rende questa vulnerabilità particolarmente preoccupante è che può essere sfruttata con attacchi a bassa complessità che non richiedono l’interazione dell’utente.
Sfruttando CVE-2023-6553, gli aggressori non autenticati possono eseguire l’iniezione di codice PHP tramite il file “/includes/backup-heart.php”. Ciò consente loro di assumere il controllo dei siti Web presi di mira ed eseguire comandi arbitrari sul server sottostante. In sostanza, gli autori delle minacce possono includere il proprio codice PHP dannoso, garantendo loro il pieno controllo nel contesto di sicurezza dell’istanza WordPress compromessa.
BackupBliss, il team di sviluppo dietro il plugin, ha risposto rapidamente alla segnalazione di Wordfence e ha rilasciato una patch nel giro di poche ore. Tuttavia, le statistiche di WordPress.org indicano che quasi 50.000 siti Web che utilizzano le versioni vulnerabili di Backup Migration non hanno ancora implementato la patch. Ciò li espone al rischio di potenziali attacchi che sfruttano CVE-2023-6553.
È fondamentale che gli amministratori di WordPress proteggano tempestivamente i propri siti Web per impedire l’accesso non autorizzato e il potenziale sfruttamento da parte di attori malintenzionati. Si consiglia vivamente di agire immediatamente per aggiornare il plug-in di migrazione del backup alla versione 1.3.8 o successiva.
Oltre a questa vulnerabilità, gli amministratori di WordPress dovrebbero prestare attenzione alle campagne di phishing che li prendono di mira in modo specifico. Queste campagne tentano di indurre gli amministratori a installare plugin dannosi utilizzando falsi avvisi di sicurezza di WordPress. Questi avvisi affermano falsamente di risolvere una vulnerabilità fittizia tracciata come CVE-2023-45124.
Garantire la sicurezza e la protezione dei siti Web WordPress richiede una vigilanza costante. In un recente aggiornamento, WordPress ha risolto una vulnerabilità della catena POP (Property Oriented Programming) che poteva comportare l’esecuzione arbitraria di codice PHP. Questa vulnerabilità è particolarmente pericolosa se combinata con determinati plugin nelle installazioni multisito. Pertanto, gli amministratori dovrebbero aggiornare regolarmente i propri plug-in e rimanere consapevoli delle potenziali minacce per mantenere sicuri i propri siti Web.
È stato scoperto che il plug-in di sicurezza WordPress All-In-One Security (AIOS), utilizzato da oltre un milione di siti WordPress, registrava le password in chiaro dai tentativi di accesso degli utenti al database del sito, mettendo a rischio la sicurezza dell’account.
AIOS è una soluzione all-in-one sviluppata da Updraft, che offre firewall per applicazioni web, protezione dei contenuti e strumenti di sicurezza dell’accesso per i siti WordPress, promettendo di fermare i bot e prevenire attacchi di forza bruta.
Circa tre settimane fa, un utente segnalato che il plugin AIOS v5.1.9 non solo registrava i tentativi di accesso degli utenti al aiowps_audit_log tabella del database, utilizzata per tenere traccia di accessi, disconnessioni ed eventi di accesso non riusciti ma anche per registrare la password immessa.
L’utente ha espresso preoccupazione per il fatto che questa attività violi diversi standard di conformità alla sicurezza, tra cui NIST 800-63 3, ISO 27000 e GDPR.
Prima segnalazione del difetto(wordpress.org)
Tuttavia, l’agente dell’assistenza di Updraft ha risposto dicendo che si trattava di un “bug noto” e promettendo vagamente che una correzione sarebbe stata disponibile nella prossima versione.
Dopo aver realizzato la criticità del problema, il supporto ha offerto build di sviluppo della prossima versione agli utenti interessati due settimane fa. Tuttavia, coloro che hanno tentato di installare le build di sviluppo hanno segnalato problemi al sito Web e che i registri delle password non sono stati rimossi.
Correzione ora disponibile
Alla fine, l’11 luglio, il fornitore AIOS ha rilasciato la versione 5.2.0, che include una correzione per impedire il salvataggio delle password in testo normale e cancellare le vecchie voci.
“La versione 5.2.0 di AIOS e gli aggiornamenti più recenti hanno corretto un bug nella versione 5.1.9 che faceva sì che le password degli utenti venissero aggiunte al database WordPress in formato testo normale”, si legge nel comunicato. annuncio di rilascio.
“Sarebbe un problema se [malicious] gli amministratori del sito dovevano provare quelle password su altri servizi in cui i tuoi utenti avrebbero potuto utilizzare la stessa password.”
Se i dettagli di accesso delle persone esposte non sono protetti dall’autenticazione a due fattori su queste altre piattaforme, gli amministratori non autorizzati potrebbero facilmente impossessarsi dei loro account.
A parte lo scenario di amministrazione dannosa, i siti Web che utilizzano AIOS si troverebbero ad affrontare un rischio elevato di violazioni da parte degli hacker, poiché un malintenzionato che accedesse al database del sito potrebbe esfiltrare le password degli utenti in formato testo normale.
Nel momento in cui scrivo, Statistiche di WordPress.org mostrano che circa un quarto degli utenti AIOS ha applicato l’aggiornamento alla 5.2.0, quindi più di 750.000 siti rimangono vulnerabili.
Sfortunatamente, poiché WordPress è un obiettivo comune per gli autori delle minacce, esiste la possibilità che alcuni dei siti che utilizzano AIOS siano già stati compromessi e, considerando che il problema circola online ormai da tre settimane, gli hacker hanno avuto molte opportunità di trarne vantaggio. la risposta lenta del creatore del plugin.
Inoltre, è un peccato che in nessun momento durante il periodo di esposizione Updraft abbia avvertito i propri utenti dell’elevato rischio di esposizione, consigliandoli sulle azioni da intraprendere.
I siti Web che utilizzano AIOS dovrebbero ora aggiornarsi alla versione più recente e chiedere agli utenti di reimpostare le proprie password.
Il subreddit di WordPress si è illuminato questa settimana con segnalazioni di MemberPress blocca gli utenti dall’amministratore del plugin se non rinnovano l’abbonamento. MemberPress è un popolare plugin per l’iscrizione a WordPress. È un plug-in solo commerciale a partire da $ 179 all’anno per un sito e non esiste una versione gratuita.
L’utente Reddit @hamsternose ha aperto la discussione con un resoconto di prima mano di essere stato bloccato:
Quindi l’ho appena scoperto MemberPress ha cambiato il suo modello di abbonamento e ora cesserà di funzionare nel momento in cui la tua licenza scade e dovrai essere reticente per farlo funzionare di nuovo.
Questo è il primo plugin WordPress che ho incontrato che funziona in questo modo e non posso dire di essere un fan. Sono favorevole al mantenimento dei plugin aggiornati, ma non credo che questo dovrebbe essere forzato in quanto praticamente costringe gli utenti a soddisfare qualunque richiesta di prezzo scelga uno sviluppatore.
È questa la strada da seguire per gli sviluppatori di plugin WordPress adesso?
La politica di rinnovo aggiornata di MemberPress è chiaramente delineata nei documenti del plugin su cosa succede quando termina l’abbonamento di un utente. L’azione più controversa è che i clienti non “avranno più accesso a nessuna delle schermate di amministrazione di MemberPress”. La politica afferma:
In sostanza, sarai in grado di continuare a utilizzare MemberPress sul front-end del tuo sito indefinitamente al termine dell’abbonamento. Tuttavia, non sarai in grado di accedere alle schermate o alle funzioni di amministrazione del plug-in. A meno che non rinnovi, non saremo più in grado di supportare eventuali modifiche o aggiunte al tuo sito.
L’interruzione dell’accesso alle schermate di amministrazione del plug-in lascia gli utenti senza la possibilità di gestire le funzioni di iscrizione dei loro siti se gli abbonamenti scadono. Ciò impedisce agli utenti di eseguire operazioni quali emettere rimborsi ai clienti, aggiungere nuovi membri, gestire abbonamenti e attivazioni del sito, tra le altre azioni.
Questo approccio non ortodosso è sorprendente in contrasto con le politiche di rinnovo della maggior parte degli altri plugin commerciali, che di solito interrompono il supporto e gli aggiornamenti per coloro che non rinnovano. Tagliare le funzionalità in questo modo potrebbe essere particolarmente problematico per le agenzie che gestiscono siti web per clienti che utilizzano MemberPress. È qualcosa di fondamentale per le operazioni aziendali e i potenziali clienti dovrebbero essere consapevoli che la politica è nettamente diversa dalla maggior parte degli altri prodotti WordPress commerciali.
“Posso capire la politica ‘niente più aggiornamenti per te’, ma chiudere qualcosa per cui hai pagato (almeno una volta) non va bene,” lo sviluppatore web Mauro Bono disse in risposta allo stato del messaggio proponendo Le aziende WordPress creano un’associazione di categoria per regolamentare pratiche come questa e le violazioni delle notifiche amministrative.
“Penso che alle aziende dovrebbe essere consentito di farlo, ma penso che la comunità parlerà con i piedi e passerà a un prodotto che non fa questo genere di cose”, ha affermato Malcolm Peralty, proprietario del prodotto Trew Knowledge Sr.. “È tutta una questione di equilibrio e penso che questo si allontani troppo da ciò che ritengo sia ‘giusto’.”
La GPL consente alle aziende di vendere software open source. In questo caso gli utenti acquistano anche, forse inconsapevolmente, il codice che spegne le funzioni di amministrazione del plugin non appena non pagano il rinnovo. Alcuni potrebbero considerarla una pratica commerciale discutibile nell’ecosistema WordPress, ma non viola la licenza.
Nel 2017, David Marín Carreño della comunità spagnola di WordPress, ha contattato la Free Software Foundation (FSF) in merito a modelli di business strutturati in modo simile per i plugin. Ha chiesto se è consentito per un autore di plugin distribuire un plugin sotto GPL ma bloccare l’accesso ad alcune funzionalità utilizzando un codice di convalida, che confronta con un server remoto. IL La FSF ha risposto:
La GPL non proibisce blocchi o schemi come questi, purché il destinatario del software possa modificarli o rimuoverli secondo i termini della GPL. Non è la serratura in sé ad essere vietata; significa impedire ad altri di studiare, modificare o rimuovere quel blocco proibito dalla GPL. Sarebbe inoltre una violazione della GPL aggiungere termini di licenza che proibiscano al destinatario del software di rimuovere tali schemi di blocco delle funzionalità.
Nonostante la FSF abbia convalidato il modello di business, molti trovano la pratica sgradevole, come evidente dai commenti sul post di Reddit. In un post intitolato Il modo WordPressJason Coleman, co-fondatore e CEO del plugin Paid Memberships Pro (PMP), uno dei principali concorrenti di MemberPress, sembra affrontare indirettamente la politica di rinnovo di MemberPress, affermando che alcune aziende “applicano a malincuore la licenza GPL al loro codice”. Coleman ha descritto quello che percepisce essere “il modo WordPress:”
Fare le cose alla maniera di WordPress significa rendere tutto il nostro software gratuito e open source, proprio come il software principale di WordPress.
Significa che i plugin che scriviamo per integrarli con altri plugin e terze parti sono ospitati nel repository WordPress.org perché ciò incentivierà entrambe le parti a mantenere il plugin.
Significa che il nostro codice continuerà a funzionare come previsto anche se la tua licenza a pagamento scade.
Significa fornire semplici soluzioni di codice a riga singola per disabilitare i nostri upsell o tariffe gateway aggiuntive.
Significa utilizzare gli standard di codifica di WordPress in modo che il nostro codice sia più leggibile per gli sviluppatori abituati a leggere codice basato su WordPress.
Il fondatore di MemberPress Blair Williams non ha ancora risposto alle nostre richieste di commento. Potrebbe esserci una ragione o una catena di esperienze che lo hanno portato a questa politica di rinnovo, ma la documentazione del plugin non approfondisce questo argomento.
Alla luce delle recenti discussioni su Reddit e Twitter, le promesse di Coleman ai clienti mettono in luce i valori contrastanti e i principi aziendali di MemberPress e PMP. Ciò potrebbe essere interessante per i clienti di MemberPress che cercano un plug-in diverso dopo aver appreso della politica di rinnovo aggiornata.
“Se una decisione si riduce a qualcosa che migliorerà il software e ci farà guadagnare più soldi, scegliamo l’opzione che rende il software migliore”, ha detto Coleman.
“Per noi questo significa abbracciare l’open source e lo stile WordPress, rendere il nostro software disponibile gratuitamente per ottenere il maggior numero di utenti e contributori e costruire un business sulla base del software che stiamo realizzando aggiungendo valore invece di limitare artificialmente il nostro software e venderlo. la cura.”
Un bug critico di esecuzione del controllo remoto (RCE) non autenticato in un plug-in di backup che è stato scaricato più di 90.000 volte espone siti WordPress vulnerabili da prendere in consegna – un altro esempio dell’epidemia di rischi posti da plug-in difettosi per la piattaforma di creazione di siti web.
Un gruppo di ricercatori di vulnerabilità chiamati Nex Team hanno scoperto una vulnerabilità di iniezione di codice PHP in Migrazione di backupun plug-in che gli amministratori dei siti WordPress possono utilizzare per facilitare la creazione di un sito di backup. Il bug viene tracciato come CVE-2023-6553 e valutato 9,8 sulla scala di gravità della vulnerabilità CVSS.
Le funzionalità del plug-in includono la possibilità di pianificare i backup in modo che vengano eseguiti in modo tempestivo e con varie configurazioni, inclusa la definizione esatta di quali file e/o database dovrebbero essere nel backup, dove verrà archiviato il backup, il nome del backup , eccetera.
“Questa vulnerabilità consente agli autori di minacce non autenticati di iniettare codice PHP arbitrario, compromettendo l’intero sito”, ha scritto Alex Thomas, ricercatore senior sulle vulnerabilità delle applicazioni Web presso Defiant. in un post sul blog per Wordfence su CVE-2023-6553. Wordfence ha affermato di aver bloccato 39 attacchi mirati alla vulnerabilità solo nelle 24 ore precedenti la scrittura del post.
I ricercatori del Nex Team hanno sottoposto il bug a un programma bug-bounty creato di recente da Wordfence. Wordfence notificato BackupBlissi creatori del plug-in Backup Migration e alcune ore dopo è stata rilasciata una patch.
L’azienda ha anche assegnato a Nex Team $ 2.751 per aver segnalato il bug al suo programma bounty, che è stato appena lanciato l’8 novembre. Finora, Wordfence ha riferito che c’è stata una risposta positiva al suo programma, con 270 ricercatori di vulnerabilità registrati e quasi 130 segnalazioni di vulnerabilità. nel suo primo mese.
Esposto all’acquisizione completa e non autenticata del sito
Con centinaia di milioni di siti web costruiti sul sistema di gestione dei contenuti WordPress (CMS), la piattaforma e i suoi utenti rappresentano un ampia superficie di attacco per gli autori delle minacce e quindi sono obiettivi frequenti di campagne dannose. Molti di questi arrivano plug-in che installano malware e forniscono un modo semplice per esporre migliaia o addirittura milioni di siti a potenziali attacchi. Anche gli aggressori tendono ad agire rapidamente salta sui difetti che vengono scoperti in WordPress.
Il difetto RCE deriva dal fatto che “un utente malintenzionato è in grado di controllare i valori passati a un include e successivamente sfruttarli per ottenere l’esecuzione remota del codice”, secondo un post sul sito Wordfence. “Ciò consente agli aggressori non autenticati di eseguire facilmente codice sul server.”
Nello specifico, secondo Wordfence, la riga 118 all’interno del file /includes/backup-heart.php utilizzato dal plug-in Backup Migration tenta di includere bypasser.php dalla directory BMI_INCLUDES. La directory BMI_INCLUDES viene definita concatenando BMI_ROOT_DIR con la stringa include alla riga 64; tuttavia, BMI_ROOT_DIR è definito tramite l’intestazione HTTP content-dir alla riga 62, il che crea il difetto.
“Ciò significa che BMI_ROOT_DIR è controllabile dall’utente”, ha scritto Thomas. “Inviando una richiesta appositamente predisposta, gli autori delle minacce possono sfruttare questo problema per includere codice PHP arbitrario e dannoso ed eseguire comandi arbitrari sul server sottostante nel contesto di sicurezza dell’istanza WordPress.”
Patch CVE-2023-6553 in Migrazione backup adesso
Tutte le versioni di Backup Migration fino alla 1.3.7 inclusa tramite il file /includes/backup-heart.php sono vulnerabili al difetto, che è stato corretto nella versione 1.3.8. Secondo Wordfence, chiunque utilizzi il plug-in su un sito WordPress dovrebbe aggiornarlo il prima possibile alla versione con patch.
“Se conosci qualcuno che utilizza questo plug-in sul proprio sito, ti consigliamo di condividere con lui questo avviso per proteggere il suo sito rimane sicuropoiché questa vulnerabilità rappresenta un rischio significativo”, secondo il post di Wordfence.
Una vulnerabilità scoperta nel plugin di migrazione del backup di WordPress sta attualmente mettendo a rischio di attacchi informatici più di 90.000 siti web. Questa falla di sicurezza consente l’esecuzione di codice remoto non autenticato, il che rende più facile per i potenziali aggressori ottenere l’accesso a questi siti web. Secondo un rapporto di GBHackers, la vulnerabilità è stata scoperta da un gruppo di ricercatori del Nex Team durante la partecipazione al programma Wordfence Bug Bounty.
Ciò che rende critica questa vulnerabilità Questa vulnerabilità, denominata CVE-2023-6553, consente agli aggressori l’esecuzione di codice in modalità remota. Alla falla di sicurezza è stato assegnato un punteggio di gravità critica pari a 9,8. Questa vulnerabilità può consentire agli hacker di iniettare codice PHP arbitrario che può essere eseguito da autori di minacce non autenticati sui siti WordPress che utilizzano questo plugin.
Il rapporto afferma che questa vulnerabilità nel plugin Backup Migration di WordPress esiste in tutte le versioni fino alla 1.3.7 inclusa. Questo difetto consentirà agli aggressori di eseguire codice remoto.
La vulnerabilità è presente nel file /includes/backup-heart.php, che consente agli aggressori di ottenere un accesso non autorizzato a dati sensibili ed eseguire codice dannoso sul sito web.
Cos’è l’esecuzione del codice remoto (RCE) Quando un utente malintenzionato sfrutta in modo improprio una vulnerabilità per ottenere il controllo di un computer di destinazione, ottiene il potere di eseguire comandi su quel sistema in remoto. Questo processo è chiamato Esecuzione del codice remoto (RCE).
Tuttavia, WordPress ha rilasciato una nuova versione del plugin (1.3.8) dopo questo incidente. L’ultima versione include una patch che risolve il problema.
Per prevenire lo sfruttamento di questa vulnerabilità, ai siti Web è stato inoltre consigliato di aggiornare il plug-in alla versione più recente il prima possibile.
In un post sul blog di Wordfence su questa falla di sicurezza, Alex Thomas, ricercatore senior sulle vulnerabilità delle applicazioni Web presso Defiant, ha dichiarato: “Questa vulnerabilità consente agli autori di minacce non autenticati di iniettare codice PHP arbitrario, con conseguente compromissione dell’intero sito.” Wordfence ha inoltre affermato di aver bloccato 39 attacchi mirati alla vulnerabilità in 24 ore.
La gestione dei progetti è diventata un argomento piuttosto caldo nel mondo degli affari. Con buona ragione. Con la gestione dei progetti al tuo fianco, il flusso di lavoro della tua azienda può essere reso esponenzialmente più efficiente. Senza gestione del progetto? Sai cosa succede. Caos.
Se alla fine sembra che vorresti evitarlo, allora nel tuo futuro c’è un buon strumento di gestione dei progetti.
Se dipendi da WordPress e ti piacerebbe aggiungere funzionalità di gestione dei progetti alla piattaforma, sei fortunato. Puoi trasformare una distribuzione di WordPress di base in uno strumento di gestione dei progetti a tutti gli effetti con solo pochi plugin semplici da installare. Di seguito sono riportati quattro dei migliori plugin WordPress per la gestione dei progetti; ancora meglio, la maggior parte di questi plugin sono gratuiti o almeno hanno una versione gratuita.
I 4 migliori plugin WordPress per la gestione dei progetti
Responsabile del progetto WordPress
Responsabile del progetto WordPress aiuta a rendere la gestione dei progetti e la collaborazione del team abbastanza semplice, offrendo allo stesso tempo numerose funzionalità avanzate come traguardi, condivisione di file, notifiche, integrazione pusher, cose da fare, assegnazioni di attività, date di scadenza, barre di avanzamento e commenti.
Con WP Project Manager, puoi creare più progetti e visualizzarli tutti da una pratica panoramica (Figura A). Tuttavia, la versione gratuita di questo strumento ti fornisce solo le nozioni di base. Solo quando esegui l’aggiornamento alla versione Premium potrai aggiungere un calendario, strumenti di reporting e indicatori di progresso.
L’azienda dietro WP Project Manager offre anche altri moduli per espandere la piattaforma con attività ricorrenti, schede kanban, diagrammi di Gantt e altro ancora. Ma la cosa migliore di WP Project Manager è che è abbastanza facile da usare da consentire a chiunque di mettersi al passo rapidamente.
Figura A
Immagine: Jack Wallen/TechRepublic. La panoramica del progetto WP Project Manager in azione.
La società dietro WP Project Manager offre tre diversi piani:
Personale ($55/anno) – Tutte le funzionalità della versione gratuita più un anno di aggiornamenti e supporto.
Professional ($ 104/anno) – Tutto nel piano Personale, più cinque domini, diagrammi di Gantt, fatturazione, time tracker e supporto basato su ticket.
Business ($174/anno) – Tutto in Professional, più 10 domini, kanban, integrazione WooCommerce, integrazione Stripe, attività ricorrenti e campi personalizzati.
Panorama del progetto
Panorama del progetto adotta un approccio di visualizzazione completo alla gestione dei progetti in modo che i tuoi team possano ottenere un quadro chiaro dello stato di avanzamento del progetto. Ogni membro del team riceve la propria dashboard per i progetti e le attività assegnati.
Project Panorama si integra così bene in WordPress che sembra di utilizzare una funzionalità nativa di WordPress anziché uno strumento di terze parti. Puoi creare progetti, assegnarli ai clienti, assegnare calcoli automatici di avanzamento e avanzamento fase, allegare file e contenuti multimediali, visualizzare schede kanban, utilizzare il monitoraggio dei ritardi, aggiungere attività secondarie e altro ancora.
Una volta creato il progetto, puoi pubblicarlo in modo che tutti i membri del tuo team possano visualizzarne lo stato di avanzamento (Figura B).
Figura B
Immagine: Jack Wallen/TechRepublic. Avanzamento di un progetto visto dal plugin WordPress Project Panorama.
Project Panorama offre quattro diverse opzioni di piano a pagamento:
Personale ($ 69/anno) – Include funzionalità di base più componenti aggiuntivi gratuiti ufficiali, supporto via email e aggiornamenti dei plug-in.
Agenzia ($99/anno) – Include tutto il piano Personale più cinque siti.
Enterprise ($ 129/anno) – iInclude tutto nel piano Agency più tutti i futuri componenti aggiuntivi a pagamento e siti illimitati.
A vita ($ 299): questo pagamento una tantum include tutto in Enterprise senza il pagamento annuale.
Direttore aziendale
Direttore aziendale è molto più che una semplice gestione del progetto. Con questo strumento unico, aggiungerai risorse umane, CRM, ERP, gestione dei documenti e gestione dei progetti. E sebbene sia la funzionalità di gestione dei progetti su cui vogliamo concentrarci, è innegabile che avere queste funzionalità extra rende Business Manager un vero vincitore per coloro che utilizzano WordPress come hub per portare a termine le proprie attività.
La gestione dei progetti di Business Manager include tutte le funzionalità di cui hai bisogno, come assegnazione di progetti, stati speciali, monitoraggio dei progressi e tempistiche, trascina e rilascia kanban, note e persino allegati di file.
L’unica cosa da tenere a mente con Business Manager è che i progetti vengono visualizzati non all’interno delle pagine WordPress pubblicate ma all’interno della pagina di aggiunta o di pubblicazione (Figura C). Inoltre, per ottenere il massimo da Business Manager, è necessario aggiungere dipendenti dalla funzione Dipendenti del plug-in per assegnare attività agli utenti.
Figura C
Immagine: Jack Wallen/TechRepublic. Il kanban drag and drop si trova nella sezione Attività.
Business Manager è completamente gratuito e non offre opzioni a pagamento.
Kanban per WordPress
Se la tua unica esigenza di gestione del progetto è kanban, c’è un plugin WordPress creato appositamente per te. Quel plugin ha un nome appropriato Kanban per WordPress.
Con questo plugin, puoi definire le tue bacheche con plugin integrati per servire la gestione dei progetti, i calendari editoriali, i candidati a posti di lavoro, la pipeline di vendita e le bacheche kanban di base o personalizzate. Ciò che mi piace di più di Kanban per WordPress è che appare e funziona esattamente come una tipica bacheca Kanban (Figura D).
Figura D
Immagine: Jack Wallen/TechRepublic. Kanban per WordPress è uno strumento di gestione dei progetti molto efficace che puoi aggiungere a WordPress.
Puoi anche personalizzare le tue statue (colonne) e persino impostarle per l’archiviazione automatica.
Anche se le Kanban Board per WordPress potrebbero non avere tutti gli accessori che troverai in altre opzioni kanban, se stai cercando un’aggiunta kanban molto semplice al tuo sito WordPress, non puoi sbagliare con questo componente aggiuntivo gratuito.
C’è anche un Versione Pro di Kanban per WordPress che ti offre un maggiore controllo sul flusso di lavoro e aggiunge commenti alle attività, gestione avanzata degli utenti, dettagli e allegati delle attività, notifiche, colori delle attività e più bacheche. La versione Pro costa $ 149 all’anno o $ 499 per l’accesso illimitato.
Come aggiungere più plugin di gestione dei progetti a WordPress
Se stai cercando di aggiungere la gestione dei progetti ai tuoi siti WordPress, uno qualsiasi di questi plugin sarebbe un’ottima opzione. Che tu stia cercando un kanban di base o qualcosa che serva da punto di accesso unico per la gestione di progetti, clienti, clienti e personale, qui troverai qualcosa per soddisfare le tue esigenze.
monday.com Work OS è il software di gestione dei progetti che aiuta te e il tuo team a pianificare, eseguire e monitorare progetti e flussi di lavoro in un unico spazio collaborativo. Gestisci qualsiasi cosa, dai progetti semplici a quelli complessi, in modo più efficiente con l’aiuto di schede visive, oltre 200 modelli già pronti, automazioni intelligenti senza codice e integrazioni facili. Inoltre, le dashboard personalizzate semplificano il reporting, così puoi valutare i tuoi progressi e prendere decisioni basate sui dati.
Le grandi idee non sono semplici da realizzare. Quindi siamo qui per aiutarti ad affrontare qualsiasi progetto, non importa quanto complesso. Siamo Quickbase.
Quickbase aiuta i clienti a vedere, connettere e controllare progetti complessi che rimodellano il nostro mondo. Che si tratti di costruire un grattacielo o di coordinare il lancio di vaccini, la piattaforma software senza codice consente agli utenti aziendali di adattare soluzioni personalizzate al loro modo di lavorare, utilizzando le informazioni provenienti dai sistemi di cui già dispongono.
L’eccellente software di gestione del flusso di lavoro di Wrike ti consente di visualizzare facilmente le priorità, potenziare la collaborazione e mantenere il controllo dei tuoi progetti. Bonus: puoi spostarti senza problemi tra le app, senza accedere o uscire. Wrike ha più di 400+ integrazioni con piattaforme popolari come Google, Dropbox, Microsoft Office e molte altre. Le funzionalità di automazione e intelligenza artificiale eliminano le lunghe attività amministrative in modo da poter svolgere il miglior lavoro della tua vita.
Smartsheet è una piattaforma di esecuzione del lavoro online che consente alle organizzazioni di tutte le dimensioni di pianificare, gestire, automatizzare e creare report sul lavoro. Oltre 80.000 marchi si affidano a Smartsheet per la gestione di progetti e lavori.
Resource Guru è il modo veloce e flessibile per pianificare i team e mantenere i progetti in linea. Ottieni piena visibilità su chi è disponibile e chi è oberato di lavoro, in modo che persone e progetti abbiano successo in armonia. Assegna lavoro, bilancia i carichi di lavoro e modifica le pianificazioni in pochi secondi. Mantieni aggiornato il tuo team con dashboard personali ed e-mail di pianificazione giornaliera. Analizza tassi di utilizzo, clienti e progetti per previsioni e budget più accurati. Scelto da aziende tra cui NASA e L’Oreal. Provalo gratuitamente per 30 giorni!
Bug di esecuzione del codice in modalità remota riscontrato nel popolare plug-in di backup di WordPress
Un plug-in di migrazione del backup senza patch potrebbe portare all’iniezione di codice PHP sui siti WordPress.
I cacciatori di bug hanno scoperto un difetto in un popolare plug-in di WordPress che potrebbe portare gli autori delle minacce a eseguire attacchi di iniezione di codice su siti Web vulnerabili.
Il plug-in in questione, Backup Migration, fa più o meno quello che promette ed è installato su più di 90.000 siti WordPress.
Il bug è stato segnalato agli specialisti della sicurezza di WordPress WordFence, come parte di un programma di bug bounty annunciato di recente. L’Holiday Bug Extravaganza è stato lanciato a novembre e il bug della migrazione di backup è stato segnalato il 5 dicembre.
Il 6 dicembre WordFence ha rilasciato una regola firewall per proteggere i propri clienti e lo stesso giorno ha contattato anche gli sviluppatori del plug-in vulnerabile BackupBliss. Nel giro di poche ore BackupBliss ha rilasciato la propria patch.
“Abbiamo contattato il team di BackupBliss, creatore del plug-in Backup Migration, lo stesso giorno in cui abbiamo rilasciato la nostra regola firewall”, ha detto un portavoce di WordFence in un post sul blog. “Dopo aver fornito tutti i dettagli, il team ha rilasciato una patch poche ore dopo. Complimenti al team di BackupBliss per la risposta e la patch incredibilmente rapide.”
Il bug interessa tutte le versioni di Backup Migration precedenti alla 1.3.7 inclusa. La versione più aggiornata del plug-in e quella che risolve il bug è la 1.3.8.
Il nocciolo del problema risiede nel file /includes/backup-heart.php del plug-in. Un utente malintenzionato può controllare quali valori vengono passati al plug-in in un include tramite questo file e quindi utilizzarlo per avviare l’esecuzione di codice remoto su un server WordPress.
Senza patch, i server rimangono vulnerabili e WordFence invita gli utenti a patchare i propri siti il prima possibile.
I plugin di WordPress sono essenziali per aggiungere funzionalità e caratteristiche al tuo sito web, ma possono anche introdurre rischi per la sicurezza se non vengono aggiornati o mantenuti correttamente. In questo post del blog, ti mostrerò come sfruttare una vulnerabilità di escalation dei privilegi nel plugin TheCartPress, che consente a un utente malintenzionato non autenticato di creare un account amministratore su qualsiasi sito WordPress che utilizza questo plugin.
TheCartPress è un plug-in WordPress che ti consente di creare un negozio online con varie funzionalità come gestione del prodotto, carrello della spesa, checkout, gateway di pagamento e altro ancora. Ha oltre 10.000 installazioni attive ed è compatibile con le versioni di WordPress fino alla 5.7.
Il parametro tcp_role è la chiave di questa vulnerabilità, poiché consente all’aggressore di specificare qualsiasi ruolo desideri per il nuovo utente, incluso l’amministratore. Il plugin non controlla né convalida questo parametro prima di creare l’utente, quindi bypassa di fatto il sistema di autenticazione di WordPress.
Per trovare siti vulnerabili che utilizzano il plug-in TheCartPress, puoi utilizzare un dork di Google come:
Il team di Wordfence Threat Intelligence ha avvertito oggi che i siti WordPress sono attivamente presi di mira da exploit che prendono di mira una vulnerabilità zero-day nel plugin premium WPGateway.
WPGateway è un plugin per WordPress che consente agli amministratori di semplificare varie attività, tra cui la configurazione e il backup dei siti e la gestione di temi e plugin da una dashboard centrale.
Questa falla critica nella sicurezza relativa all’escalation dei privilegi (CVE-2022-3180) consente agli aggressori non autenticati di aggiungere un utente non autorizzato con privilegi di amministratore per assumere completamente il controllo dei siti che eseguono il vulnerabile plug-in WordPress.
“L’8 settembre 2022, il team di Wordfence Threat Intelligence è venuto a conoscenza di una vulnerabilità zero-day sfruttata attivamente per aggiungere un utente amministratore dannoso ai siti che eseguono il plug-in WPGateway”, ha affermato Ram Gall, analista senior delle minacce di Wordfence. disse Oggi.
“Il firewall Wordfence ha bloccato con successo oltre 4,6 milioni di attacchi contro questa vulnerabilità contro più di 280.000 siti negli ultimi 30 giorni.”
Sebbene Wordfence abbia rivelato lo sfruttamento attivo di questo bug di sicurezza in natura, non ha rilasciato ulteriori informazioni su questi attacchi e dettagli sulla vulnerabilità.
Omettendo queste informazioni, Wordfence afferma di voler prevenire ulteriori sfruttamenti. Ciò consentirà probabilmente anche a più clienti WPGateway di applicare patch alle proprie installazioni prima che altri aggressori sviluppino i propri exploit e si uniscano agli attacchi.
Come scoprire se il tuo sito è stato violato
Se vuoi verificare se il tuo sito web è stato compromesso in questa campagna in corso, devi verificare la presenza di un nuovo utente con permessi di amministratore con il rangex nome utente.
Inoltre, le richieste a //wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1 nei log verrà mostrato che il tuo sito è stato preso di mira dall’attacco ma non è stato necessariamente compromesso.
“Se hai installato il plugin WPGateway, ti invitiamo a rimuoverlo immediatamente fino a quando non sarà resa disponibile una patch e a verificare la presenza di utenti amministratori malintenzionati nella dashboard di WordPress”, ha avvertito Gall.
“Se conosci un amico o un collega che utilizza questo plugin sul proprio sito, consigliamo vivamente di inoltrargli questo avviso per aiutarlo a mantenere i propri siti protetti, poiché si tratta di una grave vulnerabilità che viene attivamente sfruttata in natura.”
