Il National Vulnerability Database (NVD) del governo degli Stati Uniti ha pubblicato un avviso su una vulnerabilità scoperta nel plugin WordPress WP Statistics che colpisce fino a 600.000 installazioni attive.
Alla vulnerabilità è stato assegnato un punteggio di livello di minaccia medio pari a 6,5 su una scala da 1 a 10, dove il livello 10 rappresenta il livello di vulnerabilità più grave.
Falsificazione di richieste intersito WP Statistics (CSRF)
È stato riscontrato che il plug-in WP Statistics contiene una vulnerabilità Cross-Site Request Forgery che potrebbe consentire a un utente malintenzionato di compromettere un sito Web attivando o disattivando plug-in.
Una falsificazione di richieste tra siti è un attacco che richiede a un utente registrato del sito Web (come un amministratore) di eseguire un’azione come fare clic su un collegamento, consentendo quindi a un utente malintenzionato di sfruttare una lacuna di sicurezza.
La lacuna di sicurezza in questo caso è una “convalida nonce mancante o errata”.
Un nonce di WordPress è un token di sicurezza fornito a un utente registrato che consente a tale utente di eseguire in modo sicuro azioni che solo un utente registrato può eseguire.
Le pagine degli sviluppatori di WordPress spiegano il nonce con l’esempio di un amministratore che cancella un post.
Quest’ultima parte, &_wpnonce=b192fc4204è il nonce.
Quindi, ciò che sta accadendo è che il nonce manca o non è adeguatamente convalidato all’interno del plug-in WP Statistics e ciò crea una lacuna di sicurezza che un hacker malintenzionato può sfruttare.
Il database nazionale delle vulnerabilità (NVD) lo spiega come questo:
“Il plugin WP Statistics per WordPress è vulnerabile alla falsificazione di richieste cross-site nelle versioni fino alla 13.1.1 inclusa. Ciò è dovuto alla convalida nonce mancante o errata sulla funzione view().
Ciò consente agli aggressori non autenticati di attivare e disattivare plugin arbitrari, tramite una richiesta contraffatta concessa possono ingannare un amministratore del sito inducendolo a eseguire un’azione come fare clic su un collegamento.
Patch di vulnerabilità CSRF
La vulnerabilità del plugin WP Statistics interessa la versione fino alla 13.1.1 inclusa. Tuttavia da allora sono state aggiunte numerose correzioni di sicurezza, inclusa la versione 13.2.11, oltre a correzioni aggiuntive successive.
La versione attuale del plugin è 14.0.1. Al momento solo il 29,3% degli utenti utilizza la versione più aggiornata.
Gli utenti della versione obsoleta del plugin potrebbero voler prendere in considerazione l’aggiornamento alla versione più recente.
Nick Diego, sostenitore degli sviluppatori di WP Engine, ha rilasciato versione 1.4.0 del suo Blocco di icone collegare. Diego lo ha lanciato nell’ottobre 2021, dopo aver faticato a trovare un modo efficiente per aggiungere icone SVG all’editor di blocchi. Il suo obiettivo è che questo piccolo ma utile plugin diventi “l’icona e il blocco grafico SVG definitivi”. Nell’ultimo anno è cresciuto del 1.300% raggiungendo più di 7.000 installazioni attive, pur rimanendo concentrato su un insieme ristretto di funzionalità.
I contributori di WordPress sono stati discutendo dell’aggiunta del supporto SVG al centro per più di un decennio, ma non hanno ancora trovato un percorso chiaro che affronti adeguatamente i problemi di sicurezza. Nel luglio 2022 è iniziato il team Performance lavorando su un modulo per i caricamenti SVG ma è ancora in corso. Nel frattempo, poiché il formato SVG ha supporto quasi universale sul webgli utenti hanno fatto affidamento su plugin come Supporto SVG (oltre 1 milione di installazioni) o SVG sicuro (oltre 700.000 installazioni) per caricare file SVG nel catalogo multimediale e utilizzarli come qualsiasi altro file immagine.
Il plugin di Diego è diverso in quanto è stato creato per l’uso con gli editor di blocchi e siti. Il Blocco icone registra un singolo blocco che consente agli utenti di aggiungere icone e grafica SVG personalizzate. Consente inoltre l’accesso alla libreria di icone di WordPress, che contiene oltre 270 icone SVG.
Un vantaggio del plugin è che gli utenti non hanno bisogno di installare un’intera libreria di blocchi se hanno solo bisogno delle icone SVG. Nella versione 1.2.0, Icon Block ha aggiunto la possibilità per gli sviluppatori di registrare le proprie librerie di icone personalizzate.
L’ultima versione espande il controllo della larghezza oltre quanto offerto nel blocco Immagine principale da supportare %, px, em, rem, vh, vwo qualunque unità sia definita in theme.json. Queste unità sono disponibili anche negli stili globali, quindi gli utenti possono controllare la larghezza in base a come intendeva l’autore del tema. Diego, che ha affermato di preferire utilizzare componenti nativi di WordPress ove possibile, ha aggiornato i controlli della larghezza utilizzando quelli di Gutenberg Controllo dell’altezzache non è ancora disponibile nel core.
“Fortunatamente, è costruito con componenti presenti in WordPress dalla versione 6.0. Ho portato il codice da HeightControl oltre ad una consuetudine DimensionControl nel Blocco Icone e ho apportato alcune modifiche per soddisfare le mie esigenze specifiche”, ha affermato Diego.
Il supporto dell’altezza delle icone è una nuova funzionalità dell’ultima versione 1.4.0, un’altra richiesta di funzionalità da parte della comunità di utenti del plug-in.
“Una cosa da notare è che scelgo di escludere % dalle opzioni dell’unità di altezza”, ha detto Diego nel post di rilascio. “Usando % può avere risultati inaspettati in base all’altezza del contenitore dell’icona ed è abbastanza poco intuitivo.”
La versione 1.4.0 migliora anche il supporto del colore per supportare meglio gli stili globali. Quando i temi definiscono a primary E secondary colori in theme.json, le icone impostate per utilizzarli funzioneranno perfettamente con il cambio di variazione di stile. Questa è una bella dimostrazione di come gli sviluppatori di blocchi possono far funzionare i loro plugin in armonia con gli stili globali per migliorare l’esperienza di modifica dell’intero sito.
Nelle versioni future, Diego ha affermato che intende lavorare su un modo per consentire agli utenti di inserire icone SVG personalizzate da un file SVG “caricato”, nonché esplorare modi per integrarsi con librerie di icone di terze parti. L’accesso a Font Awesome, icone Boostrap, Ionicons e altre librerie SVG offrirebbe agli utenti una selezione molto più ampia oltre alla libreria di icone di WordPress durante la progettazione dei propri siti.
Gli utenti possono inviare richieste di funzionalità tramite il problemi coda nel repository GitHub del plugin. Poiché Diego sta sviluppando il plugin utilizzando il più possibile i componenti nativi di WordPress, gli utenti possono anche aspettarsi che funzionalità aggiuntive diventino disponibili man mano che vengono aggiunte al core di WordPress.
“Ci sono tantissimi fantastici plugin per icone nell’ecosistema WordPress, gratuiti e premium”, ha affermato Diego. “La maggior parte ha più caratteristiche e funzionalità rispetto al Blocco icone. Tuttavia, ciò che rende diverso questo blocco è il suo forte impegno nei confronti dei principi fondamentali di progettazione di WordPress.
“L’obiettivo è sempre stato quello di far sembrare il blocco come se appartenesse a WordPress stesso. Ho cercato di utilizzare quanti più core supporti del blocco e componenti possibili. La versione 1.4.0 rimane fedele a questo impegno con i miglioramenti tanto necessari”.
WordPress sta ottenendo un nuovo ed elegante plug-in AI in grado di generare e modificare testo. Lo strumento si chiama Assistente AI Jetpack ed è disponibile gratuitamente per gli utenti di WordPress.com “per un periodo limitato”, mentre gli altri utenti di Jetpack ricevono 20 richieste gratuite e successivamente devono pagare una tariffa mensile di $ 10. È l’ultimo esempio di software di generazione di testo basato sull’intelligenza artificiale, ma la sua disponibilità su una delle piattaforme di blogging e gestione dei contenuti più grandi al mondo diffonderà ulteriormente questa tecnologia sul web.
L’assistente è opera di Automattic, la società proprietaria di WordPress.com e contribuisce allo sviluppo della piattaforma WordPress open source. Automatico descrive lo strumento come “partner di scrittura creativa” che consente agli utenti di “generare contenuti diversi al tuo comando, riducendo significativamente il tempo e lo sforzo richiesti nella creazione di contenuti”.
Le demo mostrano lo strumento utilizzato per riassumere un post del blog in un titolo, regolare il tono del testo (gli utenti possono scegliere tra opzioni tra cui “formale”, “provocatorio” e “umoristico”) e persino generare un intero post del blog da un singolo suggerimento: “Scrivi un elenco delle destinazioni imperdibili di Tokyo e dammi una tabella con il cambio da JPY a USD ed Euro.” Automattic afferma che lo strumento può anche correggere l’ortografia e la grammatica e tradurre tra 12 lingue, tra cui inglese, spagnolo, francese, cinese e hindi.
Sebbene la funzionalità sia un lancio logico per Automattic, che attira gli utenti su WordPress.com aggiungendo funzionalità extra per aspetti come sicurezza e supporto, è difficile non vedere anche gli effetti dannosi che probabilmente avrà una funzionalità del genere. I copywriter stanno già perdendo lavoro man mano che i clienti passano a strumenti di intelligenza artificiale generativa come ChatGPTe molti temono che il web venga perso in uno tsunami spam di basso livello generato dall’intelligenza artificiale. Gli strumenti di intelligenza artificiale generativa sono notoriamente imprecisi e la copia predefinita che producono è spesso insipida o obsoleta.
Infatti, nella demo di Automattic, puoi vedere che i tassi di cambio forniti per un viaggio in Giappone sono a partire da agosto 2021. (Questa data è il limite per le informazioni disponibili a ChatGPT, anche se Automattic non dice quale software sta utilizzando per alimentare lo strumento.)
Divulgazione: il nostro obiettivo è presentare prodotti e servizi che riteniamo troverai interessanti e utili. Se li acquisti, l’imprenditore può ottenere una piccola quota delle entrate derivanti dalla vendita dai nostri partner commerciali.
ChatGPT ha preso d’assalto il mondo lo scorso anno, offrendo alle persone un modo intuitivo per ricercare, creare contenuti e molto altro con solo pochi tasti. Ora puoi aggiungere questa comodità al tuo sito Web WordPress con Plug-in WordPress ChatGPT. Durante i nostri saldi del Black Friday, puoi ottenere una licenza a vita per questo utile plug-in al prezzo esclusivo di soli $ 39,97 (reg. $ 299) se ordini entro il 27 novembre.
Questo plug-in ti offre la flessibilità di aggiungere ChatGPT nella parte anteriore, posteriore o su entrambe le estremità del tuo sito web. Sul front-end, darai ai tuoi utenti la possibilità di porre domande, navigare nel tuo sito web e semplificare il modo in cui interagiscono con la tua attività.
Sul back-end, puoi facilmente generare rapidamente contenuti, svolgere attività o incarichi ripetitivi e impostare la tua attività in modo che proceda in modo più naturale ogni giorno. Il plug-in ti aiuta anche ad aumentare la tua produttività e a trovare nuovi modi per farlo integrare ChatGPT nel tuo flusso di lavoro quotidiano.
Con un acquisto una tantum, avrai accesso illimitato al plug-in che può funzionare come chatbot, motore di ricerca, creatore di contenuti e molto altro. Lo riceverai immediatamente per il download e l’integrazione nel tuo sito WordPress e, se qualcosa dovesse andare storto, avrai l’assistenza clienti gratuita per tutta la vita.
Potenzia i tuoi flussi di lavoro quotidiani e aiuta i tuoi clienti a utilizzare meglio il tuo sito web.
Da oggi fino al 27 novembre alle 23:59 PT, puoi ottenere una licenza a vita per Plug-in WordPress ChatGPT al prezzo esclusivo del Black Friday di soli $ 39,97 (reg. $ 299), senza bisogno di coupon.
Un blog può promuovere il tuo marchio e coinvolgere potenziali clienti. WordPress è senza dubbio la migliore piattaforma per blog, soprattutto grazie ai circa 60.000 plugin gratuiti o poco costosi che aggiungono caratteristiche e funzionalità utili.
Ecco un elenco di plugin per gestire un blog su WordPress. Esistono strumenti per creare e modificare contenuti, migliorare il posizionamento nella ricerca organica, generare lead e promuovere e proteggere il sito. La maggior parte di questi plugin sono gratuiti, anche se alcuni hanno versioni premium con funzionalità aggiuntive.
Plugin per gestire un blog
Ricerca d’avorio migliora la ricerca predefinita di WordPress e consente anche nuovi moduli di ricerca personalizzati. Crea un numero illimitato di tali moduli e configura ciascuno per eseguire tipi di ricerche univoci. Prezzo: gratuito. I piani premium partono da $ 19,99 all’anno.
Ricerca d’avorio
MemberPress è un plugin per lanciare un paywall, vendere corsi online e abbonamenti, crea coupon personalizzabili, crea comunità e distribuisci messaggi di gocciolamento temporizzati. Controlla quali contenuti possono vedere i tuoi utenti in base all’abbonamento o ai prodotti digitali acquistati. Costruisci la tua community protetta da password con MemberPress quando installi e utilizzi un forum basato su WordPress. Prezzo: i piani partono da $ 179,50 all’anno.
Calendario editoriale aiuta a gestire i tuoi post, i tuoi contributori e la pianificazione della pubblicazione. Sposta i post tramite trascinamento, modifica i post direttamente nel calendario e supervisionare un intero blog. Prezzo: gratuito.
Chat dal vivo lasciati comunicare con i visitatori mentre navigano nel tuo sito. Imposta risposte rapide per rispondere alle domande più comuni e crea tag di chat per semplificare la comunicazione. Invia messaggi personalizzati in base a diversi criteri. Prezzo: i piani partono da $ 20 al mese.
Chat dal vivo
WooCommerce è una piattaforma di e-commerce open source. Accedi ai temi per la tua vetrina e personalizza facilmente le pagine dei prodotti per mostrare prodotti fisici o beni digitali, come abbonamenti o abbonamenti. Prezzo: gratuito.
SemeProd è un generatore di pagine e un creatore di siti WordPress facile da usare. Produci pagine di destinazione, pagine di vendita, pagine di accesso, pagine 404, pagine in arrivo, pagine in modalità di manutenzione e altro ancora, il tutto senza codice. Puoi anche creare ogni parte del tuo tema personalizzato WordPress, incluse pagine di prodotto, modelli a pagina singola e carrelli WooCommerce. Prezzo: i piani partono da $ 39,50 all’anno.
WP MailSMTP migliora il tuo consegnabilità della posta elettronica riconfigurando WordPress per utilizzare un provider SMTP adeguato durante l’invio di e-mail, assicurando che raggiungano le caselle di posta. Prezzo: gratuito.
Kit del sito è il plug-in ufficiale di Google per ottenere approfondimenti su come le persone trovano e utilizzano il tuo sito. Scopri in che modo Ricerca Google rileva e visualizza le tue pagine. Ottieni ulteriori approfondimenti da Analytics, Ads, PageSpeed Insights e Tag Manager. Prezzo: gratuito.
Kit del sito
Collegamenti carini ti aiuta a ridurre, abbellire, tracciare, gestire e condividere qualsiasi URL all’interno o all’esterno del tuo sito Web WordPress. Crea collegamenti con l’aspetto che desideri utilizzando il tuo nome di dominio. Pretty Links tiene traccia di ogni hit sul tuo URL e fornisce un rapporto dettagliato sulla sua provenienza, browser, sistema operativo e host. Prezzo: i piani partono da $ 99,50 all’anno.
AffiliatoWP è uno strumento per creare e gestire un file programma affiliato. Personalizza ogni aspetto, inclusa la registrazione, l’onboarding e le commissioni. Tieni traccia dei singoli link di riferimento, dei codici coupon di affiliazione, delle pagine di destinazione personalizzate degli affiliati, delle promozioni interdominio, dei link diretti e altro ancora. Prezzo: i piani partono da $ 149,50 all’anno.
WP Razzo è un plug-in di memorizzazione nella cache e di ottimizzazione delle prestazioni per migliorare la velocità della pagina dei siti WordPress. Prezzo: i piani partono da $ 59 all’anno.
Ancora un altro plugin per articoli correlati (YARPP) visualizza i post e le pagine correlate. Utilizzando un algoritmo personalizzabile, YARPP introduce i tuoi visitatori ad altri contenuti pertinenti, aumentando il coinvolgimento dei visitatori, il tempo trascorso sul sito e le classifiche di ricerca organiche. Prezzo: gratuito.
Ancora un altro plugin per articoli correlati
MonsterInsights fornisce il monitoraggio avanzato per Google Analytics, fornendo informazioni complete sui visitatori sulla dashboard di WordPress. Ottieni report su dati demografici, comportamento, traffico, conversioni, attività di e-commerce, link di affiliazione, referral, moduli di contatto, ottimizzazione dei motori di ricerca, post personalizzati e altro ancora. Prezzo: i piani partono da $ 99,50 all’anno.
Ottimo SEO è uno dei principali strumenti di ricerca organica di WordPress. Migliora il tuo posizionamento con modelli di titoli e meta descrizioni, mappe del sito XML avanzate, breadcrumb e altro ancora. Utilizzo Markup di schema.org per garantire che Google, Pinterest e altri siano a conoscenza della tua pagina. Analizza la leggibilità, evita contenuti duplicati e ottimizza per le parole chiave. Prezzo: Basic è gratuito. I piani premium partono da $ 99 all’anno.
Conteggi condivisi ti consente di aggiungere collegamenti di condivisione social al tuo sito Web WordPress. Aggiungi pulsanti per Facebook, Pinterest, Twitter, LinkedIn, condivisione e-mail e altro ancora. Aumenta il tuo pubblico aiutando i lettori a condividere i tuoi post e le tue pagine. Prezzo: gratuito.
OptinMonster è uno strumento pop-up per la generazione di lead. Utilizza il builder drag-and-drop per creare diversi usi pop-up, come campagne di uscita, moduli della barra laterale e caselle attivate dallo scorrimento. Crea moduli di iscrizione via e-mail, barre di annunci permanenti, moduli di adesione gamificati e altri tipi di popup interattivi. Utilizza lo split test A/B per sapere cosa funziona meglio. Prezzo: i piani partono da $ 9 al mese.
OptinMonster
PushEngage può inviare notifiche push web personalizzate ai visitatori del tuo sito. Gli abbonati impiegano solo due clic o meno per iscriversi alle notifiche. Dalla dashboard, crea attivazioni, lancia campagne di marketing, monitora gli obiettivi di guadagno e gestisci un pubblico con regole avanzate di segmentazione e targeting del pubblico. Prezzo: Basic è gratuito. I piani premium partono da $ 9 al mese.
WPForms è un generatore drag-and-drop per creare rapidamente moduli personalizzati per contatti, feedback, abbonamenti, pagamenti, sondaggi, sondaggi e altro ancora. Prezzo: i piani partono da $ 49,50 all’anno.
bbPremere è un potente software per forum. Crea rapidamente un portale per discussioni, abbonamenti e altro ancora semplificati. Prezzo: gratuito.
Succhi di sicurezza è un plugin per la sicurezza del sito che integra una configurazione di sicurezza esistente. È dotato di controllo delle attività di sicurezza; monitoraggio dell’integrità dei file, liste nere remote e liste di blocco; rafforzamento della sicurezza; azioni di sicurezza post-hack; e notifiche di sicurezza. Prezzo: gratuito.
Durante Stato della Parola 2022Matt Mullenweg ha annunciato un piano per aggiungere nuove tassonomie “Community” e “Commerciale” per le directory dei temi e dei plugin che aiuterebbero gli utenti a accertare più rapidamente lo scopo delle estensioni che stanno prendendo in considerazione. Poco dopo l’annuncio, sono state pubblicate le istruzioni per gli autori di temi e plugin aderire alle nuove tassonomie.
I nuovi filtri sono ora abilitato sia sulle directory dei temi che su quelle dei plugin, offrendo agli utenti la possibilità di scegliere rapidamente tra le estensioni della community gratuite e quelle con aggiornamenti commerciali. Tutto ciò che ha una “versione pro” dovrebbe essere designato come commerciale. Questi di solito vengono forniti con alcuni upsell per più funzionalità rispetto a quelle offerte nella versione gratuita. Finora, il numero di temi identificati come commerciali supera di gran lunga il numero di temi comunitari.
Nella directory dei plugin, le estensioni designate come gratuite sono quasi uguali a quelle designate come commerciali. Molti dei plugin più utilizzati sono già stati identificati come commerciali, tra cui Yoast SEO, Jetpack, Akismet, Elementor, WooCommerce, All-in-One WP Migration e altri. Esempi di plugin della community includono WordPress Importer, Classic Editor, Classic Widgets, Gutenberg, Performance Lab e Debug Bar.
In entrambe le directory sembra che solo una piccola percentuale di autori abbia designato le proprie estensioni utilizzando tassonomie commerciali o comunitarie. Al momento non è richiesto l’uso delle tassonomie. Ciò ha fatto sorgere alcune domande nei commenti all’annuncio.
“Un sistema di classificazione migliore sarebbe quello di non avere alcuna etichetta per la maggioranza, e poi qualcosa di più vicino a ‘include aggiornamenti a pagamento’ che implica semplicemente che offrono anche servizi aggiuntivi oltre alla loro versione gratuita (e spesso perfettamente funzionante)?” Lo ha detto lo sviluppatore di WordPress Kevin Batdorf.
“Tutti i plugin sono open source indipendentemente dal fatto che vendano qualcosa, e questo non rende gli sviluppatori meno appassionati dell’open source. Né implica che i plugin non commerciali abbiano meno funzionalità o che il livello di dedizione al supporto sia meno dedicato.”
Batdorf ha anche chiesto se l’uso delle tassonomie sarà un requisito in futuro, perché, al momento, il loro scarso utilizzo potrebbe dare ad alcuni plugin un vantaggio nell’ambito di queste nuove classificazioni.
“Dovrebbe essere anche un requisito?” Egli ha detto. “Altrimenti anche questo sembra un gioco per la visibilità. I plugin comunitari o commerciali (o nessuno dei due) mostrano una crescita delle installazioni più elevata? Ti garantisco che lo state già monitorando.”
Il team Meta di WordPress sta cercando feedback sull’attuale implementazione. Il collaboratore sponsorizzato da Automattic, Steve Dufresne, ha affermato che “il lavoro è continuamente in corso per migliorare l’esperienza di navigazione e perfezionare gli aspetti visivi della directory dei temi e dei plug-in come parte della riprogettazione del sito”. I nuovi filtri verranno incorporati nel file imminenti modifiche alla riprogettazione che si sono lentamente diffusi su WordPress.org.
Questi filtri verranno inseriti anche nel tema di amministrazione e nei browser dei plug-in, in modo che gli utenti possano accedervi ovunque cerchino le estensioni. Nel frattempo, gli utenti e gli sviluppatori di temi e plugin possono lasciare feedback tramite Meta Trac sui ticket specifici delineati nel annunciomentre il team continua a ripetere il progetto.
Automattic ha acquisito il Plug-in ActivityPub per WordPress dallo sviluppatore tedesco Mattia Pfefferleche entrerà a far parte dell’azienda per continuare a migliorare il supporto per le piattaforme federate. Pfefferle, che è anche l’autore del Menzione web plugin, ha affermato che il suo nuovo ruolo è vedere come i prodotti Automattic possono trarre vantaggio da protocolli aperti come ActivityPub.
Nel 2021, il CEO di Automattic Matt Mullenweg ha indicato che sarebbe interessato avere Tumblr che supporta il protocollo ActivityPub per un maggiore livello di interoperabilità tra reti come Mastodon e altre che utilizzano lo stesso protocollo. Questo è ancora in lavorazione, ma i siti WordPress hanno già questa funzionalità tramite il plugin.
“ActivityPub e molti altri Open Web Plugin (come il plugin Webmention) erano progetti per il tempo libero, quindi non stavo cercando un’acquisizione”, ha detto Pfefferle.
“Quando Matt ha annunciato che Tumblr voleva implementare ActivityPub su Twitter, ho chiesto perché non WordPress, così sono entrato in contatto con Automattic e mi hanno offerto l’opportunità di lavorare a tempo pieno sul plugin e su altri progetti Open Web.”
Il plugin ActivityPub consente ai lettori di seguire un sito WordPress nel fediverso utilizzando il protocollo ActivityPub. Ciò include Mastodon, una delle piattaforme più popolari che utilizza il protocollo, e altre piattaforme simili Pleroma, Amica, HubZilla, Pixel alimentato, SocialHomeE Misskey. Per coloro che utilizzano Mastodon, questo plugin invierà automaticamente i post alla rete e le risposte diventeranno commenti al post.
Lo scorso marzo, il plugin ActivityPub contava appena 700 utenti. Oggi è cresciuto fino a raggiungere più di 2.000 installazioni attive. Sebbene non sia ancora ampiamente utilizzato, ha ottenuto maggiore visibilità da quando Elon Musk ha acquistato Twitter.
“Grazie a Elon Musk, il numero di download dal mio plugin ActivityPub (WordPress) e i miei follower su Mastodon sono aumentati almeno dieci volte!” Pfefferle ha dichiarato in un post sul suo blog nel gennaio 2023. “Questo mi ha ispirato a lavorare di nuovo più attivamente sul plugin e sono avvenuti alcuni grandi cambiamenti.”
Più di recente, Pfefferle ha aggiunto una nuova schermata di onboarding con i plugin consigliati, ha aggiunto la data di pubblicazione ai profili degli autori e ha aggiunto menzioni in uscita, tra le altre funzionalità.
Pfefferle ha detto che secondo lui l’idea dell’acquisizione non è quella di fondere il protocollo nel core, ma di “garantire che rimanga open source e magari renderlo un plugin canonico”.
Man mano che sempre più social network si uniscono su protocolli aperti, non avrà importanza dove sceglierai di creare la tua casa sul web. L’interoperabilità tra le app consente alle persone di postare da qualunque rete preferiscano, creando un web più ricco e diversificato. Il supporto di Automattic del plugin ActivityPub assicura a WordPress il posto nel fediverso, dove i blog non saranno isole isolate ma piuttosto interconnessi come molti lo erano agli albori dei blog. Il lavoro di Pfefferle incarna questi ideali.
“Penso che il mio obiettivo sia sempre stato quello di costruire un’alternativa ai grandi giardini recintati di Facebook & co”, ha detto Pfefferle.
“Mi sono innamorato dell’idea del blogging e dello spirito del movimento Web 2.0 e ho cercato di mantenere viva l’idea. Ho lavorato su diversi plugin WordPress e ho partecipato a diversi movimenti (Domenica, Portabilità dei dati e altri) a partire dal 2007.
“È così emozionante vedere finalmente un così grande interesse per le tecnologie aperte e federate!”
Un difetto critico di bypass dell’autenticazione nel plug-in Social Login e Registrazione di WordPress di miniOrange può consentire l’accesso a qualsiasi account su un sito.
I ricercatori di Wordfence hanno scoperto una vulnerabilità di bypass dell’autenticazione in Plug-in di accesso e registrazione social WordPress di miniOrangeche può consentire a un utente malintenzionato non autenticato di accedere a qualsiasi account su un sito conoscendo l’indirizzo e-mail associato.
Il plug-in di accesso social di WordPress consente l’accesso social, la condivisione e i commenti sui social utilizzando app ampiamente utilizzate come Facebook, Google, LinkedIn, Twitter, Apple, Discord, Twitch, Line, Wechat e altre 40 app disponibili. Invece di richiedere ai visitatori di perdere tempo compilando il tipico modulo di registrazione, consente loro di registrarsi/accedere a un sito Web utilizzando i propri profili di social media.
Il plugin è installato attivamente su più di 30.000 siti Web WordPress. Il difetto, tracciato come CVE-2023-2982 (Punteggio CVSS: 9.8) influisce sulle versioni fino alla 7.6.4 inclusa.
“Ciò è dovuto alla crittografia insufficiente fornita all’utente durante un accesso convalidato tramite il plugin. Ciò consente agli aggressori non autenticati di accedere come qualsiasi utente esistente sul sito, ad esempio un amministratore, se conoscono l’indirizzo e-mail associato a quell’utente. si legge il consultivo pubblicato da WordFence. “Questo è stato parzialmente corretto nella versione 7.6.4 e completamente risolto nella versione 7.6.5.”
I ricercatori hanno scoperto che la chiave di crittografia utilizzata per proteggere le informazioni utilizzate durante il processo di accesso tramite gli account dei social media è codificata e non era univoca per l’installazione di WordPress.
“Ciò consente agli aggressori di creare una richiesta valida contenente un indirizzo e-mail adeguatamente crittografato che le versioni vulnerabili del plug-in utilizzano durante il processo di accesso per identificare l’utente.” continua la relazione. “In definitiva, ciò consente agli autori delle minacce di aggirare l’autenticazione e ottenere l’accesso ad account arbitrari su siti che eseguono una versione vulnerabile del plugin.”
Se l’aggressore si impossessa degli account utente privilegiati, sarà in grado di compromettere completamente un sito WordPress utilizzando il plugin vulnerabile.
Di seguito è riportata la cronologia di questo problema:
28 maggio 2023 – Scoperta della vulnerabilità Authentication Bypass nell’accesso e nella registrazione social di WordPress. 30 maggio 2023 – Avviamo il contatto con il fornitore del plugin chiedendogli di confermare la casella di posta per gestire la discussione. 2 giugno 2023 – Il venditore conferma la casella di posta per gestire la discussione. 2 giugno 2023 – Inviamo i dettagli completi della divulgazione. Il fornitore riconosce la segnalazione e inizia a lavorare su una soluzione. 2 giugno 2023 – Gli utenti di Wordfence Premium, Care e Response ricevono una regola firewall per fornire protezione contro eventuali exploit che potrebbero colpire questa vulnerabilità. Tieni presente che abbiamo ritardato la regola del firewall per evitare di interrompere completamente le funzionalità principali del plug-in. 14 giugno 2023 – Viene rilasciata una versione completamente patchata del plugin, 7.6.5. 2 luglio 2023 – Gli utenti di Wordfence Free ricevono la stessa protezione.
In un recente sviluppo, il team WPScan ha scoperto una significativa falla di sicurezza all’interno del plugin WP Fastest Cache ampiamente utilizzato.
Questa vulnerabilità, classificata come non autenticata SQL Injectionpotrebbe potenzialmente garantire l’accesso non autorizzato ai dati sensibili nel database WordPress.
La vulnerabilità, identificata come CVE-2023-6063influisce sulle versioni di WP Fastest Cache inferiori alla 1.2.2.
Dopo aver fatto questo scoperta durante una revisione interna, il team di WPScan ha agito rapidamente per informare il team di sviluppo del plugin.
In risposta, gli sviluppatori hanno prontamente rilasciato la versione 1.2.2 per affrontare e correggere il problema.
Esame della vulnerabilità
Il nocciolo della vulnerabilità risiede nella funzione is_user_admin della classe WpFastestCacheCreateCache, che è suscettibile all’iniezione SQL.
Questa funzione viene richiamata dalla funzione createCache, presentando un potenziale punto di ingresso per attori malintenzionati.
DocumentoProteggi il tuo spazio di archiviazione con SafeGuard
StorageGuard esegue la scansione, rileva e corregge gli errori di configurazione e le vulnerabilità della sicurezza su centinaia di dispositivi di archiviazione e backup.
In particolare, la vulnerabilità è aggravata dal fatto che la funzione viene eseguita durante il caricamento del plugin prima che i dati dell’applicazione vengano disinfettati da wp_magic_quotes().
Per sfruttare questa vulnerabilità, un utente malintenzionato non autenticato potrebbe manipolare la variabile $username, ottenuta da un cookie specifico, per iniettare un payload SQL cieco basato sul tempo.
Ciò potrebbe, a sua volta, portare all’estrazione di informazioni sensibili dal file Banca dati WordPress.
Mitigazione
Gli amministratori che utilizzano WP Fastest Cache devono agire immediatamente aggiornando le proprie installazioni alla versione 1.2.2.
Questo aggiornamento funge da salvaguardia cruciale contro il potenziale sfruttamento della vulnerabilità identificata.
WPScan prevede di pubblicare una voce il 27 novembre 2023, per ulteriori dettagli e prove di concetto che illustrano questo problema di sicurezza.
Si consiglia agli amministratori e agli utenti del sito Web di rimanere vigili e informati sugli ultimi aggiornamenti di sicurezza per garantire l’integrità e la sicurezza delle loro installazioni WordPress.
Patch Manager Plus, la soluzione completa per gli aggiornamenti automatizzati di oltre 850 applicazioni di terze parti: Prova la prova gratuita.
Automattic, editori del WooCommerce plugin, ha annunciato la scoperta e la patch di una vulnerabilità critica nel plugin WooCommerce Payments.
La vulnerabilità consente a un utente malintenzionato di ottenere credenziali di livello amministratore ed eseguire un’acquisizione completa del sito.
L’amministratore è il ruolo utente con i permessi più elevati in WordPress, che garantisce l’accesso completo a un sito WordPress con la possibilità di creare più account a livello di amministratore nonché la possibilità di eliminare l’intero sito Web.
Ciò che rende questa particolare vulnerabilità di grande preoccupazione è che è disponibile per aggressori non autenticati, il che significa che non devono prima acquisire un’altra autorizzazione per manipolare il sito e ottenere il ruolo utente a livello di amministratore.
“Dopo aver esaminato l’aggiornamento abbiamo stabilito che rimuoveva il codice vulnerabile che poteva consentire a un utente malintenzionato non autenticato di impersonare un amministratore e assumere completamente il controllo di un sito Web senza alcuna interazione da parte dell’utente o richiesta di ingegneria sociale.”
La piattaforma di sicurezza del sito web Sucuri ha pubblicato un avviso sulla vulnerabilità che entra in ulteriori dettagli.
Sucuri spiega che la vulnerabilità sembra essere nel seguente file:
“Poiché questa vulnerabilità potrebbe avere un impatto anche su WooPay, un nuovo servizio di pagamento in fase di beta testing, abbiamo temporaneamente disabilitato il programma beta.”
La vulnerabilità del plugin di pagamento WooCommerce è stata scoperta il 22 marzo 2023 da un ricercatore di sicurezza di terze parti che ha informato Automattic.
Automattic ha rilasciato rapidamente una patch.
I dettagli della vulnerabilità verranno rilasciati il 6 aprile 2023.
Ciò significa che qualsiasi sito che non ha aggiornato questo plugin diventerà vulnerabile.
Quale versione del plugin WooCommerce Payments è vulnerabile
WooCommerce ha aggiornato il plugin alla versione 5.6.2. Questa è considerata la versione più aggiornata e non vulnerabile del sito web.
Automattic ha inviato un aggiornamento forzato, tuttavia è possibile che alcuni siti non lo abbiano ricevuto.
Si consiglia a tutti gli utenti del plugin interessato di verificare che le proprie installazioni siano aggiornate alla versione WooCommerce Payments Plugin 5.6.2
Una volta risolta la vulnerabilità, WooCommerce consiglia di intraprendere le seguenti azioni:
“Una volta che utilizzi una versione sicura, ti consigliamo di verificare la presenza di eventuali utenti amministratori o post inattesi sul tuo sito. Se trovi prove di attività inaspettata, ti suggeriamo di:
Aggiornamento delle password per tutti gli utenti amministratori del tuo sito, soprattutto se riutilizzano le stesse password su più siti web.
Rotazione di qualsiasi gateway di pagamento e chiave API WooCommerce utilizzata sul tuo sito. Ecco come aggiornare le tue chiavi API WooCommerce. Per reimpostare altre chiavi, consultare la documentazione per quei plugin o servizi specifici.
Leggi la spiegazione della vulnerabilità di WooCommerce:
30 giugno 2023
