Almeno 1 milione di siti Web eseguiti su WordPress sono stati infettati da una campagna che utilizza numerose vulnerabilità dei plug-in e dei temi di WordPress per iniettare codice dannoso nei siti, incluso un elevato numero di zero-day.

Secondo una ricerca di Sucuri, la campagna, che l’azienda ha soprannominato “Balada Injector”, non è solo prolifica ma anche matusalemme nella sua longevità, colpendo i siti vittima con malware almeno dal 2017. Una volta iniettato nel sito, il codice dannoso reindirizza i visitatori del sito web a una serie di siti truffa, tra cui supporto tecnico falso, vincite fraudolente alla lotteria e notifiche push che richiedono Captcha soluzioni.

Dietro le quinte, tuttavia, gli script inseriti cercano vari file che potrebbero contenere informazioni sensibili o potenzialmente utili, come file di registro degli accessi, registri degli errori, file con informazioni di debug, strumenti di amministrazione del database, credenziali di amministratore e altro ancora. Essi anche caricare backdoor nei siti per l’accesso persistente e, in alcuni casi, per l’acquisizione del sito.

Sebbene la statistica di 1 milione corrisponda al numero di siti infettati collettivamente negli ultimi cinque anni, solo di recente i ricercatori hanno riunito tutta l’attività in un’unica operazione. Andando avanti, la campagna non mostra segni di rallentamento.

“Solo nel 2022, il nostro scanner di siti Web esterni SiteCheck ha rilevato questo malware oltre 141.000 volte, con oltre il 67% dei siti Web con risorse bloccate che caricavano script da domini Balada Injector noti,” I ricercatori di Sucuri hanno notato in un post sul blog.

Un focus sulle vulnerabilità dei plug-in e dei temi WordPress

La campagna Balada Injector ha alcuni tratti distintivi immediatamente riconoscibili che hanno permesso ai ricercatori di Sucuri di riunire tutta l’attività osservata sotto un unico ombrello di attribuzione. Questi includono il caricamento e l’abbandono di più backdoor nell’ambiente compromesso; utilizzando un elenco a rotazione di nomi di dominio in cui sono ospitati script dannosi su sottodomini casuali; e i reindirizzamenti spam.

Ma forse la cosa più importante è che gli operatori di Balada Injector fanno un ottimo uso della sicurezza vulnerabilità nei plug-in e nei temi di WordPress. Questi tipi di componenti aggiuntivi modulari al principale sistema di gestione dei contenuti (CMS) WordPress consentono agli amministratori del sito di aggiungere vari tipi di funzionalità, come funzionalità di sondaggio, supporto per bacheche o integrazione click-to-call per abiti di e-commerce.

“Tutti i tipi di vulnerabilità nei temi e nei plugin di WordPress possono consentire a un utente malintenzionato di inserire codice o ottenere un accesso non autorizzato al sito Web, cosa che alla fine può essere portata al livello in cui sono possibili iniezioni di codice”, secondo l’analisi di Sucuri. “Per tutto questo tempo, Balada Injector ha aggiunto rapidamente le nuove vulnerabilità rivelate (e talvolta gli zero-day non divulgati), occasionalmente avviando massicce ondate di infezioni entro poche ore dalla divulgazione delle vulnerabilità.”

In effetti, questa strategia incentrata sui bug determina la cadenza degli attacchi: Sucuri ha monitorato nuove ondate di attività che si verificano ogni due settimane, con pause intermedie che sono “probabilmente utilizzate per raccogliere e testare le vulnerabilità zero-day e appena segnalate. “

Inoltre, anche le vulnerabilità più vecchie fanno parte del mix, alcune delle quali rimangono in uso nella campagna per mesi e anni dopo essere state corrette.

Mirare all’ecosistema WordPress

Il panorama WordPress è un obiettivo popolare per i criminali informatici di ogni genere, aiutato anche dal fatto che l’ecosistema dei plug-in è notoriamente pieno di bug.

“A seconda di come lo si misura, nel 2023, WordPress alimenta ancora il 60% dei siti web disponibili oggi su Internet”, afferma Casey Ellis, fondatore e CTO della piattaforma bug bounty Bugcrowd. “L’enorme volume di codice utilizzato, il grado di personalizzazione spesso presente sui siti WordPress e in generale la complessità, la popolarità e la mancanza di misure e pratiche di sicurezza coerenti dell’ecosistema dei plug-in WordPress, contribuiscono alla sua attrattiva per i criminali informatici come un ricco terreno di caccia per insetti sfruttabili.”

iThemes, un’azienda che tiene traccia settimanalmente dei difetti dell’ecosistema dei plug-in, ha fatto i conti 37 vulnerabilità dei plug-in recentemente divulgate e corrette (e una vulnerabilità del tema) per la settimana del 15 marzo, che ha interessato più di 6 milioni di siti WordPress. Sono state inoltre contate 27 vulnerabilità dei plug-in (e tre vulnerabilità dei temi) per le quali non è ancora disponibile alcuna patch. E questi numeri significativi non sono insoliti.

In tutto, iThemes identificato sono state divulgate in totale 1.425 vulnerabilità di plug-in e temi di WordPress nel 2022 – e in una determinata settimana, da 20 a 50 singoli plug-in e temi hanno riscontrato almeno una vulnerabilità, con una media mensile di 121 singoli plug-in e temi in cui è emersa almeno una vulnerabilità.

Il rapporto di iThemes ha inoltre rilevato che i plug-in e i temi vulnerabili di WordPress sono il motivo principale per cui i siti WordPress vengono hackerati.

“WordPress ha sicuramente bisogno di essere aggiornato regolarmente, soprattutto se hai un sito web che ha molti plug-in e codice di terze parti, e questo è uno dei tanti esempi in cui la sicurezza finisce per essere un po’ troppo difficile per l’utente medio che sta anche cercando di gestire un’attività”, osserva Ellis.

Protezione dall’insicurezza dei plug-in WordPress

Per proteggersi da Balada Injector e altre minacce WordPress, le organizzazioni dovrebbero innanzitutto assicurarsi che tutto il software del proprio sito Web sia aggiornato, rimuovere plug-in e temi inutilizzati e utilizzare un firewall per applicazioni Web.

Mike Parkin, ingegnere tecnico senior presso Vulcan Cyber, spiega che il possibilità di aggiungere facilmente plug-in a WordPress dai negozi di download ufficiali (proprio come l’ecosistema delle app mobili) aumenta il problema di sicurezza, quindi è necessario anche istruire il team Web sui pericoli derivanti dall’installazione di moduli non controllati.

“La miriade di plug-in disponibili, i molteplici posti in cui ottenerli e la facilità di implementazione: hai una ricetta per una facile distribuzione di plug-in dannosi”, afferma.

Anche le grandi organizzazioni non sono immuni dai problemi di sicurezza di WordPress. “Ci sono casi, anche nelle grandi aziende, in cui un sito web viene sviluppato e gestito da un individuo o da un piccolo team”, afferma. “Spesso, queste persone non sono particolarmente attente alla sicurezza e sono più interessate a mantenere il proprio sito aggiornato e aggiornato che a farlo in modo sicuro. Le patch vengono perse. Gli avvisi di sicurezza vengono persi. Nuovi e interessanti plug-in vengono installati senza assicurarsi sono sicuri o, a volte, addirittura funzionano.”

Il plug-in WordPress per pagine mobili accelerate, con oltre 100.000 installazioni, ha corretto una vulnerabilità di media gravità che potrebbe consentire a un utente malintenzionato di iniettare script dannosi che verranno eseguiti dai visitatori del sito Web.

Scripting cross-site tramite shortcode

Il cross-site scripting (XSS) è uno dei tipi di vulnerabilità più frequenti. Nel contesto dei plugin WordPress, le vulnerabilità XSS si verificano quando un plugin ha un modo per inserire dati che non sono sufficientemente protetti da un processo che convalida o disinfetta gli input dell’utente.

La sanificazione è un modo per bloccare tipi di input indesiderati. Ad esempio, se un plug-in consente a un utente di aggiungere testo tramite un campo di input, dovrebbe anche ripulire qualsiasi altra cosa inserita in quel modulo che non gli appartiene, come uno script o un file zip.

Uno shortcode è una funzionalità di WordPress che consente agli utenti di inserire un tag simile a questo [example] all’interno di post e pagine. Gli shortcode incorporano funzionalità o contenuti forniti da un plug-in. Ciò consente agli utenti di configurare un plug-in tramite un pannello di amministrazione, quindi copiare e incollare uno shortcode in un post o in una pagina in cui desiderano che venga visualizzata la funzionalità del plug-in.

Una vulnerabilità “cross-site scripting tramite shortcode” è una falla di sicurezza che consente a un utente malintenzionato di inserire script dannosi in un sito Web sfruttando la funzione shortcode del plug-in.

Secondo un rapporto recentemente pubblicato dalla società di sicurezza Patchstack WordPress:

“Ciò potrebbe consentire a un attore malintenzionato di iniettare script dannosi, come reindirizzamenti, pubblicità e altri payload HTML nel tuo sito Web che verranno eseguiti quando gli ospiti visitano il tuo sito.

Questa vulnerabilità è stata risolta nella versione 1.0.89.”

Wordfence descrive la vulnerabilità:

“Il plug-in Accelerated Mobile Pages per WordPress è vulnerabile allo Stored Cross-Site Scripting tramite gli shortcode del plug-in in tutte le versioni fino alla 1.0.88.1 inclusa a causa dell’insufficiente pulizia dell’input e dell’escape dell’output sugli attributi forniti dall’utente.”

Wordfence chiarisce inoltre che si tratta di una vulnerabilità autenticata, il che per questo specifico exploit significa che un hacker ha bisogno di almeno un livello di autorizzazione di contributore per poter sfruttare la vulnerabilità.

Questo exploit è classificato da Patchstack come una vulnerabilità di livello di gravità medio, con un punteggio di 6,5 su una scala da 1 a 10 (dove dieci è il più grave).

Si consiglia agli utenti di controllare le proprie installazioni in modo che siano aggiornate almeno alla versione 1.0.89.

Leggi il rapporto Patchstack qui:
Il plugin WordPress Accelerated Mobile Pages <= 1.0.88.1 è vulnerabile al Cross Site Scripting (XSS)

Leggi l’annuncio di Wordfence qui:
Pagine mobili accelerate <= 1.0.88.1 – Scripting cross-site archiviato (collaboratore+) autenticato tramite shortcode

Immagine in primo piano di Shutterstock/pedrorsfernandes

Uno degli annunci di Matt Mullenweg al Stato della Parola 2022 è stata l’aggiunta di nuove tassonomie per le directory dei temi e dei plugin che aiuteranno gli utenti a determinare più rapidamente lo scopo delle estensioni che stanno prendendo in considerazione.

Con quasi 60.000 plugin gratuiti disponibili e più di 10.000 temi gratuiti, non è sempre immediatamente evidente quali estensioni siano ufficialmente supportate dalla community e quali abbiano aggiornamenti e supporto commerciali disponibili.

Le nuove designazioni “Community” e “Commerciale” sono state create per demistificare il processo di selezione e consentire agli utenti di trovare plugin e temi adatti alle loro esigenze. Li avevamo in diretta su WordPress.org la scorsa settimana e gli autori di plugin e temi sono stati invitati ad aderire alla categorizzazione. Le categorie sono visibili nella barra laterale delle inserzioni.

Nell’esempio seguente, Akismet, il plug-in anti-spam commerciale di Automattic fornito in bundle con WordPress, ha applicata la nuova categoria Commerciale, indicando che è gratuito ma offre ulteriori aggiornamenti o supporto commerciale a pagamento.

Le categorie non sembrano ancora essere applicate così ampiamente ai temi, ma un esempio è che tutti i temi predefiniti rientrano nella designazione “Tema comunitario”, a indicare che sono sviluppati e supportati da una comunità invece di far parte di uno spot pubblicitario. cercare di sforzarsi.

Al momento ci sono solo due categorie, ma il meta-contributore Samuel (Otto) Wood ha affermato che questo sforzo è “l’inizio di una categorizzazione più ampia di plugin e temi”. Ha delineato come gli autori di plugin e temi possono optare per la nuova funzionalità di categorizzazione:

Per attivare un plug-in o un tema, inviare un’e-mail plugins@wordpress.orgO temi@wordpress.orge chiedi semplicemente di aderirvi. Questo è un processo manuale per ora. In futuro aggiungeremo un metodo per consentire a plugin e temi di farlo da soli.

Una volta aggiunto il plugin o il tema, otterrai una nuova funzionalità (nella scheda avanzata per i plugin o in fondo alla pagina dell’elenco per i temi). In entrambi i casi, si tratta di una semplice voce URL.

Per le estensioni commerciali l’URL è un collegamento di supporto. Gli URL delle estensioni della community verranno etichettati come link di contributo.

Diversi partecipanti ai commenti dell’annuncio hanno suggerito che anche i plugin e i temi con tag commerciali dovrebbero avere la possibilità di includere un collegamento “contribuisci” poiché sono software open source. La risposta di Wood sembra indicare che l’URL riguarda più dove indirizzare il supporto.

“Questa è una questione di categorizzazione”, ha detto. “I plugin della comunità sono quelli supportati principalmente da una comunità di utenti. I plugin commerciali sono quelli supportati principalmente da un’entità commerciale a scopo di lucro.”

Una volta che queste categorizzazioni saranno adottate più ampiamente, sarà interessante vedere se le directory dei temi e dei plugin aggiungeranno la possibilità di filtrare i risultati della ricerca utilizzando questi tag. Ciò consentirebbe agli utenti di restringere i risultati per essere in linea con le loro aspettative di supporto.

Wallarm, la società di sicurezza API e app end-to-end, ha annunciato il rilascio del rapporto Wallarm API ThreatStats del terzo trimestre del 2023. Il rapporto trimestrale descrive in dettaglio l’aumento delle minacce incentrate sulle API e scopre vulnerabilità critiche, come iniezioni e fughe di dati API, che hanno recentemente avuto un impatto su aziende leader, tra cui Netflix, VMware e SAP.

Il nuovo rapporto introduce una raccolta rinnovata delle “10 principali minacce alla sicurezza delle API”, un elenco basato su dati in tempo reale che copre le 239 vulnerabilità scoperte durante il trimestre. Iniezioni, che comportano l’inserimento di dati o codice dannosi in un file API che porta ad accessi non autorizzati e violazioni dei dati, al primo posto nella lista, attaccando vettori come SQL e XML. Nella lista figurano anche attacchi cross-site, controllo degli accessi interrotto e scarsa gestione di sessioni e password.

Il nuovo rapporto Wallarm espone i rischi per la sicurezza delle API per aziende tra cui Netflix e WordPress

Delle 239 vulnerabilità, il 33% (79 su 239) era associato all’autenticazione, all’autorizzazione e al controllo degli accessi (AAA), pilastri fondamentali della sicurezza delle API. L’autenticazione aperta (OAuth), il single-sign-on (SSO) e il JSON Web Token (JWT), misure di salvaguardia per la sicurezza delle API, sono stati compromessi in organizzazioni tecnologiche affidabili come Sentry e WordPress. Sentry ha riscontrato un’errata convalida delle credenziali sulle richieste di token OAuth, esponendo potenzialmente i progetti degli sviluppatori ad accessi non autorizzati, mentre l’SSO di WordPress era soggetto a un’autenticazione interrotta dal plug-in, lasciando i dati di milioni di utenti vulnerabili al furto.

Il problema crescente di Perdite di dati APIman mano che gli stack tecnologici aziendali diventano più complicati, è stato anche un punto focale del rapporto di questo trimestre. Sebbene relativamente nuove, le fughe di dati API si sono classificate al quarto posto nell’elenco delle minacce alla sicurezza a causa del loro potenziale di divulgazione incontrollata di dati sensibili, spesso attraverso metodi negligenti. La prova di questi rischi si trova nelle recenti gravi violazioni dei dati subite da Netflix, VMware e SAP, con Netflix che ha esposto le chiavi segrete JWT nei messaggi di errore e VMware che ha rivelato vulnerabilità di informazioni sensibili.

“Abbiamo visto negli ultimi mesi che anche i principali attori come Netflix e VMware non sono esenti da significative esposizioni di dati. Che siano causate da malintenzionati o da disattenzione interna, questo rapporto è un campanello d’allarme per i leader aziendali e i professionisti della sicurezza informatica affinché includano una protezione contro minacce alle API e altre perdite nei programmi di sicurezza dei prodotti. I framework di sicurezza consolidati, come OWASP API Security Top-10, rappresentano un modo per iniziare, ma presentano limitazioni nell’affrontare le complesse API di oggi esigenze di sicurezza. Questo elenco di minacce basato su dati in tempo reale integra ed estende il quadro OWASP identificando minacce e vulnerabilità non indirizzate, migliorando la posizione di sicurezza complessiva”, ha affermato Ivan Novikov, CEO di Wallarm.

La lotta alle minacce alla sicurezza delle API evidenziate inizia con una strategia di sicurezza proattiva. Il rapporto fornisce approfondimenti e raccomandazioni chiave da parte di esperti per navigare in questo complesso panorama informatico, inclusa la definizione delle priorità ai principi AAA con aggiornamenti regolari per mitigare i potenziali rischi e l’integrazione di misure di protezione dalle perdite API come un sistema di rilevamento automatico per impedire agli autori delle minacce di utilizzare chiavi API trapelate.

JACKSONVILLE, Florida., 28 novembre 2023 /PRNewswire/ — Yoast, un plug-in pionieristico e leader globale nell’ottimizzazione dei motori di ricerca (SEO) per WordPress, di proprietà di Newfold Digital, ha annunciato oggi miglioramenti basati sull’intelligenza artificiale al suo rinomato plug-in SEO per WordPress. Questi miglioramenti aiutano gli utenti a scrivere titoli e meta descrizioni accattivanti e ottimizzati per il SEO per le pagine web. Utilizzando algoritmi avanzati e tecniche di apprendimento automatico, genera titoli e meta descrizioni creativi e accattivanti, affascinando il pubblico e rispettando gli standard dei motori di ricerca.

Scrivere contenuti ottimali per titoli di siti Web e meta descrizioni può essere impegnativo e richiedere molto tempo, ma non deve esserlo. Ora, Yoast SEO Premium può generare questi elementi cruciali per strategie SEO efficaci con un solo clic.

Yoast, il plugin SEO più grande al mondo, ha sfruttato la propria esperienza SEO interna per sviluppare suggerimenti intelligenti per fornire risultati ottimali agli utenti. Il generatore di titoli e meta descrizioni AI di Yoast elimina il fastidio di creare manualmente titoli e meta descrizioni unici e di alta qualità per ogni pagina. Ciò fa risparmiare tempo agli utenti, attira più traffico sul sito Web e aumenta la percentuale di clic.

Scrivere meta descrizioni accattivanti per le pagine dei prodotti di un negozio online è ancora più importante. Le pagine dei prodotti spesso contengono informazioni generali, che non dovrebbero apparire nelle pagine dei risultati di ricerca. Yoast WooCommerce SEO, il componente aggiuntivo eCommerce del plug-in Yoast SEO Premium, ora aggiunge la potenza dell’intelligenza artificiale alle pagine dei prodotti, consentendo agli utenti di generare il titolo e la meta descrizione perfetti con un solo clic di un pulsante.

Yoast sta portando il suo impegno per l’eccellenza del cliente a un livello superiore attraverso i miglioramenti del suo prodotto Premium esistente. Le funzionalità basate sull’intelligenza artificiale di Yoast sono incluse automaticamente per gli utenti Premium, rendendo lo sblocco della potenza dei componenti SEO generati dall’intelligenza artificiale facile come un aggiornamento del plug-in. Quando molti strumenti SEO implementano modelli di prezzo a consumo per l’utilizzo dell’intelligenza artificiale, Yoast si distingue. L’ultimo aggiornamento offre agli utenti Premium un accesso senza precedenti a questi miglioramenti dell’intelligenza artificiale, senza attivazioni complesse o costi aggiuntivi, addebiti o costi nascosti.

“Il panorama digitale è in continua evoluzione e richiede un’innovazione continua. Yoast si distingue come un esempio nel suo impegno volto a garantire che ogni proprietario di un sito web possa accedere a strumenti SEO d’élite facili da usare”, ha affermato Kimberley ColeDirettore generale Europa presso Newfold Digital, società madre di Yoast. “Approfondindo l’integrazione dell’intelligenza artificiale ed estendendola all’e-commerce, Yoast fornisce ai propri utenti gli strumenti necessari per eccellere in questo dinamico dominio digitale.”

Con questo lancio della sua prima funzionalità integrata con intelligenza artificiale, Yoast, pioniere dell’innovazione, segna l’inizio di una serie di progressi e rafforza la sua posizione come soluzione SEO preferita per oltre 13 milioni di siti WordPress in tutto il mondo. Per un’analisi dettagliata e ulteriori approfondimenti su queste innovazioni, visitare il sito Yoast.com.

A proposito di Yoast
Yoast, fondata nel 2010 e acquisita da Newfold Digital nel 2021, è la società dietro Yoast SEO, il principale plugin SEO per WordPress che è diventato uno strumento indispensabile per i siti Web WordPress che mirano a rafforzare il proprio posizionamento. Yoast SEO aiuta i proprietari di siti web di tutti i livelli a navigare senza sforzo nel terreno tecnico della SEO, consentendo allo stesso tempo agli utenti di produrre contenuti accattivanti con analisi SEO e leggibilità versatili, disponibili in più lingue. Con oltre 13 milioni di download attivi, Yoast SEO non è solo il plugin SEO più scaricato, ma anche una testimonianza dell’impegno di Yoast nel canalizzare più traffico organico dai motori di ricerca e dalle piattaforme social. Oltre alla versione gratuita di Yoast SEO, il prodotto Premium fornisce agli utenti l’accesso ai venerati corsi della SEO Academy di Yoast, un archivio di conoscenze essenziali per padroneggiare la SEO. Servendo una clientela diversificata, dalle strutture locali ai siti riconosciuti a livello globale, la missione di Yoast rimane chiara: rendere la SEO accessibile a tutti.

Oltre al plugin Yoast SEO di punta, l’azienda ha creato una serie di plugin progettati per amplificare ulteriormente il potenziale SEO. Con una convinzione profondamente radicata nella comunità e nella collaborazione, Yoast contribuisce regolarmente a progetti open source ed è noto per la sua partecipazione attiva a eventi significativi nella sfera digitale. Scopri di più su Yoast e la sua suite di prodotti su Yoast.com.

Informazioni su Newfold Digital
Newfold Digital, azienda leader nel settore delle tecnologie web e commerciali, serve quasi 7 milioni di clienti in tutto il mondo. Fondato nel 2021 in seguito alla fusione dei giganti del settore Endurance Web Presence e Web.com Group, il portafoglio di marchi di Newfold Digital comprende nomi come Bluehost, CrazyDomains, HostGator, Network Solutions, Register.com, Web.com, Yoast, YITH e molti altri. L’azienda aiuta clienti di diversa scala a scolpire una presenza digitale che risuoni e fornisca risultati. Grazie alla sua vasta gamma di prodotti e al supporto dedicato, Newfold Digital è diventata sinonimo di eccellenza nel campo delle soluzioni di presenza online. Scopri di più su Newfold Digital su Newfold.com.

Contatto con i media:
PaolaLorenzo
[email protected]

FONTE Newfold Digital

Gli hacker stanno attivamente prendendo di mira un difetto critico in YITH WooCommerce Gift Cards Premium, un plugin WordPress utilizzato su oltre 50.000 siti web.

YITH WooCommerce Gift Cards Premium è un plugin che consente agli operatori di siti web di vendere carte regalo nei loro negozi online.

Sfruttare la vulnerabilità, tracciato come CVE-2022-45359 (CVSS v3: 9.8), consente agli aggressori non autenticati di caricare file su siti vulnerabili, comprese le web shell che forniscono pieno accesso al sito.

CVE-2022-45359 è stato reso pubblico il 22 novembre 2022, influenzando tutte le versioni del plugin fino alla 3.19.0. L’aggiornamento di sicurezza che ha risolto il problema era la versione 3.20.0, mentre il fornitore ha già rilasciato la 3.21.0, che è l’obiettivo di aggiornamento consigliato.

Sfortunatamente, molti siti utilizzano ancora la versione precedente e vulnerabile e gli hacker hanno già ideato un exploit funzionante per attaccarli.

Secondo gli esperti di sicurezza di WordPress di Wordfence, lo sforzo di sfruttamento è ben avviato, con gli hacker che sfruttano la vulnerabilità per caricare backdoor sui siti, ottenere l’esecuzione di codice in modalità remota ed eseguire attacchi di acquisizione.

Sfruttato attivamente negli attacchi

Wordfence ha decodificato un exploit utilizzato dagli hacker negli attacchi, scoprendo che il problema risiede nella funzione “import_actions_from_settings_panel” del plugin che viene eseguita sull’hook “admin_init”.

Inoltre, questa funzione non esegue CSRF o controlli di capacità nelle versioni vulnerabili.

Questi due problemi consentono agli aggressori non autenticati di inviare richieste POST a “/wp-admin/admin-post.php” utilizzando i parametri appropriati per caricare un eseguibile PHP dannoso sul sito.

Le richieste dannose vengono visualizzate nei log come richieste POST impreviste da indirizzi IP sconosciuti, il che dovrebbe essere un segnale per gli amministratori del sito che sono sotto attacco.

I file caricati individuati da Wordfence sono i seguenti:

• kon.php/1tes.php – questo file carica in memoria una copia del file manager “marijuana shell” da una posizione remota (shell[.]Principe[.]com)
• b.php – semplice file di caricamento
• admin.php – backdoor protetta da password

Gli analisti riferiscono che la maggior parte degli attacchi si è verificata a novembre prima che gli amministratori potessero correggere la falla, ma un secondo picco è stato osservato il 14 dicembre 2022.

L’indirizzo IP 103.138.108.15 è stato una fonte significativa di attacchi, lanciando 19.604 tentativi di sfruttamento contro 10.936 siti web. Il secondo indirizzo IP più grande è 188.66.0.135, che ha condotto 1.220 attacchi contro 928 siti WordPress.

I tentativi di sfruttamento sono ancora in corso, quindi agli utenti del plugin YITH WooCommerce Gift Cards Premium si consiglia di eseguire l’aggiornamento alla versione 3.21 il prima possibile.

Il punto è questo: non insegnano veramente il SEO a scuola, vero? Puoi leggere di SEO fino a diventare blu in faccia, ma il vero apprendimento? Ciò accade quando sei effettivamente in trincea, a ottimizzare i siti web, a capire quali clic e quali flop.

Probabilmente hai sentito continuamente cose come “fai questo per il SEO” e “fai quello per il SEO”, giusto? Ed eccoti lì, a provarlo, ma ti chiedi: “Sta davvero facendo qualcosa? Perché lo sto facendo?” Credimi, non sei l’unico a pensarlo.

Il modo migliore per padroneggiare la SEO? Avvia il tuo sito web. Costruiscilo da zero, prova a coltivarlo in modo organico. Questo è il vero affare.

Indovina un po? Ci sono stato, l’ho fatto. Ho sviluppato un sacco di siti: un sito EDM, un sito di candele e persino un sito di streetwear. In effetti, mi classifico al primo posto se non tra i primi cinque per molte parole chiave legate alla fotografia.

Detto questo, volevo condividere 7 semplici consigli SEO per fotografi che puoi implementare oggi stesso sul tuo sito web di fotografia.

7 consigli SEO per i fotografi

Ecco i sette consigli SEO per i fotografi.

1. Utilizza HTTPS

Va bene, innanzitutto i suggerimenti SEO per i fotografi: assicurati che il tuo sito web utilizzi HTTPS. Allora, cos’è HTTPS? Si tratta dell’Hypertext Transfer Protocol Secure, che sostanzialmente significa che è una versione più sicura del vecchio HTTP, grazie alla crittografia e all’autenticazione SSL/TLS.

Ora lasciamo perdere le cose geek. La cosa fondamentale è che HTTPS rende il tuo sito più sicuro e indovina un po’? I motori di ricerca lo adorano. Se sono contenti, è più probabile che il tuo sito si posizioni bene per te parole chiave della fotografia. Ti chiedi se il tuo sito ha già HTTPS? Facile. Basta fare un salto a un Sito web di controllo SSLinserisci il tuo URL e verifica se hai un certificato SSL. Ecco uno screenshot dal mio sito quando l’ho controllato. Come puoi vedere, sono a posto.

Se il tuo sito ne ha bisogno, dovrai chattare con il tuo provider di web hosting. La maggior parte dei siti Web di fotografia utilizza host popolari come SiteGround, Bluehost o GoDaddy. Se hai bisogno di ottenere un certificato SSL, ecco alcuni link utili in base a chi ospita il tuo sito:

Se non utilizzi uno di questi provider di hosting, vai su un motore di ricerca e inserisci il tuo provider di hosting web più le “istruzioni SSL” e troverai un articolo su come aggiungerlo.

2. Verificare la presenza di CDN

Il prossimo consiglio SEO per i fotografi? Controlla se disponi di un CDN, che sta per Content Delivery Network. Ecco perché è un grosso problema: una CDN può aumentare seriamente la velocità della pagina del tuo sito web di fotografia, e questo è oro per la SEO. Pensa ai CDN come a un gruppo di server che lavorano insieme. Sono ottimi per la SEO perché:

• Distribuisci contenuti ai tuoi visitatori in modo super veloce
• Accelera le prestazioni del tuo sito web
• Proteggiti dalle minacce informatiche

Sei curioso di sapere se il tuo sito utilizza un CDN? C’è un modo semplice per scoprirlo. Basta usare a Strumento di controllo CDN. Quando l’ho fatto per il mio sito, puoi vedere che sto utilizzando il CDN di Cloudflare:

E parlando di Cloudflare, sono come il punto di riferimento per ottenere un CDN. Tutto quello che devi fare è accedere al sito web di Cloudflare, registrarti, aggiungere il tuo dominio e quindi reindirizzare il tuo nome di dominio ai loro server dei nomi. Hanno un tutorial questo lo rende super semplice ed è anche gratuito.

3. Ottimizzazione dei nomi dei file immagine e del testo alternativo

Il suggerimento numero tre per i fotografi che desiderano migliorare la SEO consiste nell’ottimizzare i nomi dei file immagine e il testo alternativo. Come fotografi, i nostri siti web sono solitamente pieni zeppi di immagini. Questa è in realtà una grande opportunità per potenziare il nostro gioco SEO includendo la nostra parola chiave target sia nei nomi dei file immagine che nel testo alternativo. Il nome del file immagine? Questo è il nome che dai all’immagine quando la salvi:

Il testo alternativo, o testo alternativo, è una breve descrizione dell’immagine sul tuo sito. È fondamentale sia per l’accessibilità che per la SEO perché i motori di ricerca non possono “vedere” le immagini. Il testo alternativo spiega cosa c’è nell’immagine.

Quindi, quando dai un nome ai tuoi file e scrivi il testo alternativo, prova a inserire la parola chiave target. Diciamo che stai mirando a diventare “fotografo ritrattista a Miami” e hai delle foto in cui scatti foto di clienti. Invece di nominare un’immagine in modo generico come “immagine1.jpg” o “DSC1002.jpg”, scegli qualcosa come “ritratto-foto-a-miami.jpg”. E per il testo alternativo, invece del semplice “foto”, usa qualcosa di più descrittivo come “Fotografo ritrattista con un cliente nella città di Miami in una giornata di sole”. Questo approccio rende i tuoi contenuti molto più adatti ai motori di ricerca, aiutandoti a posizionarti meglio per le parole chiave che stai prendendo di mira.

4. Utilizzo di titoli ricchi di parole chiave

Quarto consiglio SEO per i fotografi: procurati titoli ricchi di parole chiave! I titoli delle pagine, noti anche come meta titoli, sono elementi HTML che definiscono il titolo di una pagina web. Sono le parti su cui fai clic nei risultati dei motori di ricerca: i titoli cliccabili:

Sono scritti così in HTML:

Ecco su cosa devi concentrarti con i tag del titolo:

• Assicurati che la tua parola chiave target sia presente.
• Evita di duplicare i tag del titolo nel tuo sito web di fotografia.
• Tieni d’occhio la lunghezza per evitare il troncamento.

Cos’è il troncamento? È quando il titolo è troppo lungo e i motori di ricerca lo tagliano con i puntini di sospensione (…), il che può influire negativamente sulla percentuale di clic. Ciò significa potenzialmente meno traffico, meno entrate e meno cose buone:

Se disponi di un sito Web con codice personalizzato, puoi modificare direttamente l’HTML. Ma se sei come la maggior parte delle persone e usi un CMS come WordPress o Squarespace, è un po’ diverso. Su Squarespace, hanno impostazioni per modificare il meta titolo per ogni pagina. Su WordPress avrai bisogno di un plugin SEO gratuito per modificare gli elementi HTML. Io uso ClassificaMath me stessa.

5. Utilizzare la struttura dell’intestazione corretta

Quinto nella lista per il SEO dei fotografi: assicurati che le tue intestazioni siano strutturate correttamente.

La struttura dell’intestazione riguarda i tag dell’intestazione della tua pagina, come H1, H2, H3 e così via. Questi sono tag HTML che definiscono i titoli e i sottotitoli dei tuoi contenuti. Sono come segnali stradali, guidano sia i tuoi visitatori che i bot dei motori di ricerca attraverso la tua pagina, rendendo i tuoi contenuti più facili da seguire e facendo sapere ai bot di cosa tratta la tua pagina.

Ecco come appaiono in HTML e poi come appaiono sulla pagina:

Questa è l’intestazione H1

Questa è l’intestazione H2

Questa è l’intestazione H3

Ecco un suggerimento chiave: ogni pagina dovrebbe avere un solo tag H1 ed è un’ottima idea includervi la parola chiave target.

Ad esempio, se stai cercando “fotografo di headshot di New York”, quella dovrebbe essere la tua intestazione H1. Questa non è l’unica cosa che ti porterà al primo posto, ma avere la parola chiave target nel tuo H1 aiuta sicuramente.

Ora, che dire degli H2 e degli H3? Ecco dove il tuo parole chiave secondarie entrare in gioco. Queste sono le parole chiave che supportano e si riferiscono alla tua parola chiave principale. Supponiamo che la tua parola chiave principale sia “fotografo headshot di New York”. Le tue parole chiave secondarie potrebbero essere “fotografo headshot di moda a New York”, “fotografo headshot di New York”, “fotografo headshot di New York” e “fotografo headshot di New York per attori”. Ogni fotografo avrà parole chiave secondarie diverse che si adattano meglio. Capire quale parole chiave della fotografia sono ideali per te avrai bisogno di consulenza per personalizzare la tua strategia per le parole chiave in modo che corrisponda ai tuoi obiettivi di business.

6. Sito web reattivo per dispositivi mobili

Sesto consiglio SEO per i fotografi: assicurati che il tuo sito web sia ottimizzato per i dispositivi mobili.

È un grosso problema avere un sito web ottimizzato per i dispositivi mobili. Ecco perché: quasi il 60% di tutto il traffico web globale proviene da dispositivi mobili. Inoltre, i motori di ricerca come Google utilizzano l’indicizzazione mobile-first. Ciò significa che guardano il tuo sito web come se stessero utilizzando un browser mobile e utilizzano quella versione per l’indicizzazione e il posizionamento.

In termini semplici, il tuo sito deve avere un bell’aspetto sui dispositivi mobili, forse anche di più che sul desktop. Se non è all’altezza sui dispositivi mobili, potrebbe danneggiare il tuo posizionamento e la tua capacità di attirare traffico.

Vuoi sapere come verificare se il tuo sito è ottimizzato per i dispositivi mobili? Utilizza Google Chrome Strumenti di sviluppo. Apri Chrome, vai al tuo sito, fai clic con il pulsante destro del mouse e premi Ispeziona. Quindi fare clic sull’icona Attiva/disattiva barra degli strumenti dispositivo e selezionare un dispositivo mobile da simulare. Ciò ti consente di vedere come appare il tuo sito sui dispositivi mobili.

Ad esempio, ho controllato come appare uno dei miei articoli su un iPhone 12 Pro. Se le cose sembrano instabili sui dispositivi mobili, come la spaziatura interna, i margini, le immagini o il testo, potrebbe essere necessario modificarle o chiedere aiuto a uno sviluppatore.

7. SEO locale

Settimo e ultimo consiglio SEO per i fotografi: sfrutta il potere della SEO locale.

Per i fotografi che servono clienti locali, la SEO locale è fondamentale. In realtà, è vitale per qualsiasi attività che i clienti in genere visitano a livello locale, come ristoranti, appaltatori, saloni, negozi e negozi. La SEO locale è una nicchia specializzata all’interno del più ampio panorama SEO, focalizzata sui risultati di ricerca in un’area specifica. Vedrai spesso risultati locali quando aggiungi “vicino a me” alla tua ricerca o quando cerchi servizi che generalmente necessitano di fornitori locali. Questo è uno screenshot del “pacchetto mappe locali” in cui puoi comparire con la corretta SEO locale:

Ecco i fattori chiave per ottimizzare la SEO locale:

Ottimizzazione di Google My Business

Questo strumento gratuito di Google consente alla tua attività di apparire in Local Map Pack e Google Maps. Se sei un fotografo locale senza a Google My Business profilo, è il momento di crearne uno. Compila tutti i dettagli come servizi, immagini, informazioni di contatto e collegamento al sito web.

Citazioni locali

Si tratta di elencare la tua attività nelle directory online più popolari e nei siti di citazioni con nome, indirizzo e numero di telefono coerenti. Per i fotografi, essere su Yelp è un buon inizio. Proprio come con Google My Business, assicurati che il tuo profilo Yelp sia completo e coerente.

Ottenere recensioni online

Il terzo grande aspetto della SEO locale è la raccolta di recensioni sul tuo profilo Google My Business e su altri elenchi di directory locali, come Yelp. Una buona pratica è chiedere ai clienti una recensione subito dopo un servizio fotografico di successo, quando la loro soddisfazione è alta e l’esperienza è fresca nella loro mente.

Con questo si conclude la mia guida SEO per fotografi. Spero che tu abbia trovato alcuni spunti preziosi qui. Se ti rendi conto che ti stai perdendo una di queste ottimizzazioni, ora è il momento ideale per iniziare a implementarle!

Hai domande? Lascia un commento o mandami un’e-mail.

John Mueller di Google ha risposto a un thread su Reddit sulla ricerca e la correzione dei collegamenti interrotti in entrata, offrendo una visione sfumata del fatto che vale la pena trovare e correggere alcuni collegamenti interrotti e altri no.

Domanda Reddit sui collegamenti interrotti in entrata

Qualcuno ha chiesto su Reddit se c’è un modo per trovare collegamenti interrotti gratuitamente.

Questa è la domanda:

“È possibile individuare i collegamenti interrotti in modo simile all’identificazione dei nomi di dominio scaduti?”

La persona che ha posto la domanda ha chiarito se si trattava di una domanda relativa a un collegamento interrotto in entrata da un sito esterno.

John Mueller spiega come trovare gli errori 404 da correggere

John Mueller ha risposto:

“Se vuoi vedere quali collegamenti al tuo sito web sono interrotti e “rilevanti”, puoi guardare le analisi della tua pagina 404 e controllare i referrer lì, filtrando il tuo dominio.

Questo fa apparire quelli che effettivamente ricevono traffico, che probabilmente è un buon proxy.

Se hai accesso ai log del tuo server, potresti ottenerli un po’ più in dettaglio e vedere quali robot dei motori di ricerca eseguono la scansione.

Si tratta di un po’ di lavoro tecnico, ma non sono necessari strumenti esterni e probabilmente una stima migliore di ciò che è utile correggere/reindirizzare.”

Nella sua risposta, John Mueller risponde alla domanda su come trovare le risposte 404 causate da collegamenti in entrata interrotti e identificare cosa è “utile da correggere” o da “reindirizzare”.

Mueller consiglia quando non “aggiustare” 404 pagine

John Mueller ha poi offerto consigli su quando non ha senso non correggere una pagina 404.

Mueller ha spiegato:

“Tieni presente che non è necessario correggere 404 pagine, che le cose scompaiano è normale e va bene.

Il “valore” SEO derivante dal ripristino di un 404 è probabilmente inferiore al lavoro che ci metti.”

Alcuni 404 dovrebbero essere riparati e altri non necessitano di riparazione

John Mueller ha affermato che ci sono situazioni in cui un errore 404 generato da un collegamento in entrata è facile da correggere e ha suggerito modi per trovare tali errori e risolverli.

Mueller ha anche detto che ci sono alcuni casi in cui è fondamentalmente una perdita di tempo.

Ciò che non è stato menzionato era quale fosse la differenza tra i due e questo potrebbe aver causato un po’ di confusione.

Collegamenti interrotti in entrata a pagine Web esistenti

Ci sono momenti in cui altri siti si collegano al tuo sito ma utilizzano l’URL sbagliato. Il traffico proveniente dal collegamento interrotto sul sito esterno genererà un codice di risposta 404 sul tuo sito.

Questi tipi di collegamenti sono facili da trovare e utili da correggere.

Esistono altre situazioni in cui un sito esterno si collega alla pagina Web corretta ma l’URL della pagina Web è cambiato e manca il reindirizzamento 301.

Anche questi tipi di collegamenti interrotti in entrata sono facili da trovare e utili da correggere. In caso di dubbi, leggi la nostra guida su quando reindirizzare gli URL.

In entrambi i casi i collegamenti interrotti in entrata alle pagine Web esistenti genereranno una risposta 404 e questa verrà visualizzata nei log del server, in Google Search Console e nei plugin come il plugin WordPress di reindirizzamento.

Se il sito è su WordPress e utilizza il plugin Redirection, identificare il problema è facile perché il plugin Redirection offre un report di tutte le 404 risposte con tutte le informazioni necessarie per diagnosticare e risolvere il problema.

Nel caso in cui il plugin Redirection non venga utilizzato, è anche possibile codificare manualmente una regola .htaccess per gestire il reindirizzamento.

Infine, è possibile contattare l’altro sito Web che sta generando il collegamento interrotto e chiedere loro di risolverlo. C’è sempre una piccola possibilità che l’altro sito decida di rimuovere del tutto il collegamento. Quindi potrebbe essere più semplice e veloce ripararlo dalla tua parte.

Qualunque sia l’approccio adottato per correggere il collegamento interrotto in entrata esterno, trovare e risolvere questi problemi è relativamente semplice.

Collegamenti interrotti in entrata alle pagine rimosse

Ci sono altre situazioni in cui una vecchia pagina web è stata rimossa per un motivo legittimo, come un evento passato o un servizio non più offerto.

In tal caso ha senso mostrare solo un codice di risposta 404 perché questo è uno dei motivi per cui dovrebbe essere mostrata una risposta 404. Non è una brutta cosa mostrare una risposta 404.

Alcune persone potrebbero voler ottenere valore dal collegamento in entrata e creare una nuova pagina Web per sostituire la pagina mancante.

Ma ciò potrebbe non essere utile perché il collegamento riguarda qualcosa di irrilevante e di inutile perché il motivo della pagina non esiste più.

Anche se crei un nuovo motivo, è possibile che parte del valore del collegamento possa fluire verso la pagina, ma è inutile perché l’argomento di quel collegamento in entrata è totalmente irrilevante per qualsiasi cosa tranne il motivo scaduto.

Reindirizzare la pagina mancante alla home page è una strategia che alcune persone utilizzano per trarre vantaggio dal collegamento a una pagina che non esiste più. Ma Google tratta questi collegamenti come Soft 404, senza alcun vantaggio.

Questi sono i casi a cui probabilmente si riferiva John Mueller quando disse:

“…non è necessario correggere 404 pagine, far sparire le cose è normale e va bene.

Il “valore” SEO derivante dal ripristino di un 404 è probabilmente inferiore al lavoro che ci metti.”

Mueller ha ragione, ci sono alcune pagine che dovrebbero essere eliminate e completamente rimosse da un sito Web e la risposta corretta del server per quelle pagine dovrebbe essere una risposta di errore 404.

Il plugin premium per WordPress “Gravity Forms”, attualmente utilizzato da oltre 930.000 siti web, è vulnerabile all’iniezione di oggetti PHP non autenticati.

Gravity Forms è un proprietario di siti Web per la creazione di moduli personalizzati utilizzo per creare pagamenti, registrazioni, caricamenti di file o qualsiasi altra forma richiesta per le interazioni o le transazioni tra i visitatori e il sito.

Sul suo sito web, Gravity Forms afferma di essere utilizzato da un’ampia varietà di grandi aziende, tra cui Airbnb, ESPN, Nike, NASA, PennState e Unicef.

La vulnerabilità, tracciata come CVE-2023-28782, colpisce tutte le versioni del plugin dalla 2.73 in poi.

Il difetto è stato scoperto da PatchStack il 27 marzo 2023 e risolto dal fornitore con il rilascio della versione 2.7.4, resa disponibile l’11 aprile 2023.

Si consiglia agli amministratori del sito Web che utilizzano Gravity Forms di applicare l’aggiornamento di sicurezza disponibile il prima possibile.

Dettagli difettosi

Il problema nasce dalla mancanza di controlli di input forniti dall’utente per la funzione “forse_unserialize” e può essere attivato inviando dati a un modulo creato con Gravity Forms.

“Poiché PHP consente la serializzazione degli oggetti, un utente non autenticato potrebbe passare stringhe serializzate ad hoc a una chiamata di unserialize vulnerabile, con conseguente inserimento arbitrario di oggetti PHP nell’ambito dell’applicazione,” avvisa PatchStack nel report.

“Si noti che questa vulnerabilità potrebbe essere attivata durante un’installazione o una configurazione predefinita del plug-in Gravity Forms e richiede solo un modulo creato che contenga un campo elenco.”

Nonostante la potenziale gravità di CVE-2023-28782, gli analisti di PatchStack non sono riusciti a trovare un problema significativo Catena POP (programmazione orientata alla proprietà). nel plugin vulnerabile, mitigando in qualche modo il rischio.

Tuttavia, il rischio rimane grave se lo stesso sito utilizza altri plugin o temi che contengono una catena POP, il che non è raro considerando l’ampia gamma di plugin e temi WordPress disponibili e i diversi livelli di qualità del codice e consapevolezza della sicurezza tra gli sviluppatori.

In questi casi, lo sfruttamento di CVE-2023-28782 potrebbe portare all’accesso e alla modifica arbitrari dei file, all’esfiltrazione di dati di utenti/membri, all’esecuzione di codice e altro ancora.

Il fornitore del plugin ha risolto il problema rimuovendo l’uso della funzione ‘maybe_unserialize’ dal plugin Gravity Forms nella versione 2.74.

È anche importante applicare eventuali aggiornamenti a tutti i plugin e temi attivi sul tuo sito WordPress, poiché le correzioni di sicurezza potrebbero eliminare i vettori di attacco, come le catene POP, che potrebbero essere sfruttate in questo caso per lanciare attacchi dannosi.

1 mi piace