Blog

Genera contenuti, fai domande e altro ancora in un unico posto.

TL;DR: aggiungi la potenza di ChatGPT al tuo sito web con uno sconto extra di $ 20 su questo plugin WordPress, riducendo il prezzo a vita a soli $ 39,97.

Potresti essere un po’ arrugginito conoscenza dell’intelligenza artificialema ciò non significa che non puoi sfruttare la potenza dell’intelligenza artificiale nella tua azienda. Sebbene esista una miriade di strumenti aziendali che utilizzano l’intelligenza artificiale per aiutarti a raggiungere risultati positivi, potresti non aver realizzato quanto puoi sfruttare la popolare tecnologia OpenAI. ChatGPT sul tuo sito web.

Con il Plug-in WordPress ChatGPT – valutato con 5/5 stelle da acquirenti verificati – puoi aggiungere la potenza di ChatGPT al tuo sito Web WordPress in pochi istanti. Aggiungilo al tuo sito e poi scegli se renderlo disponibile nel front-end del tuo sito web, nel back-end o in entrambi; puoi anche renderlo disponibile solo agli utenti che hanno effettuato l’accesso. In questo modo, puoi sfruttare una serie praticamente illimitata di possibilità per ChatGPT.

Sul back-end, puoi utilizzare il plug-in per generare contenuti, completare attività ed eseguire ricerche di parole chiave e argomenti per informare le future offerte di contenuti. Sul front-end, puoi offrirlo ai clienti per ottenere risposte alle loro domande, navigare nel tuo sito web e altro ancora. Il plug-in offre inoltre una guida costante di alta qualità per aiutarti a migliorare il modo in cui utilizzi ChatGPT e aumentare la tua produttività.

Ricorda solo che devi avere un account OpenAI per sfruttare quel plugin, poiché è legato alla versione ChatGPT (gratuita o Plus) a cui ti sei iscritto tramite il tuo account. Ma una volta effettuato l’accesso, avrai un chatbot perfettamente funzionante sul tuo sito.

Migliora l’esperienza del tuo sito per te e i tuoi visitatori. In questo momento puoi ottenere uno sconto speciale su Plug-in WordPress ChatGPT. Normalmente $ 299 e precedentemente in vendita per $ 59, puoi ottenerlo per soli $ 39,97 per un periodo limitato.

Prezzi soggetti a modifiche.

Per le ultime scoperte nella ricerca informatica per la settimana del 30 ottobre, scarica il nostro Bollettino di Threat_Intelligence.

ATTACCHI E VIOLAZIONI TOP

• Università di Stanford è stato vittima di un attacco informatico che ha colpito i sistemi del suo Dipartimento di Pubblica Sicurezza (SUDPS). La banda del ransomware Akira ha rivendicato la responsabilità dell’attacco, che presumibilmente ha portato alla divulgazione di 430 GB di dati dell’università.

Controllo Point Harmony End Point e Threat Emulation forniscono protezione contro questa minaccia (Ransomware_Linux_Akira; Ransomware.Wins.Akira)

• Gruppi di hacktivisti ucraini soprannominati KibOrg e NLB in collaborazione con i servizi di sicurezza ucraini (SBU) hanno violato la più grande banca privata russa, Alfa-Bank. Gli autori delle minacce hanno affermato di aver ottenuto le informazioni private di oltre 30 milioni di clienti, inclusi nomi completi, date di nascita, numeri di conto e numeri di telefono.
• L’Università del Michigan ha rivelato una violazione dei dati che ha interessato le informazioni personali di un numero non verificato di studenti, candidati, dipendenti e altri. Gli autori delle minacce hanno avuto accesso ai server dell’università tra il 23 e il 27 agosto e hanno rubato numeri di previdenza sociale, numeri di patente di guida, documenti d’identità governativi, numeri di carte di pagamento, nonché informazioni sanitarie.
• L’Università di Tokio ha sperimentato una violazione dei dati che ha avuto un impatto sulle informazioni personali degli studenti dagli anni accademici dal 2003 al 2022. I dati esposti consistono in più di file 4K contenenti indirizzi e voti, che sono trapelati a seguito di un’infezione malware distribuita dall’e-mail di un membro della facoltà .
• La città di Filadelfia ha confermato una violazione dei dati che potrebbe aver compromesso le informazioni private di alcuni individui. Gli autori delle minacce hanno avuto accesso al sistema di posta elettronica della città per un periodo di due mesi e potenzialmente hanno ottenuto dati sanitari sensibili archiviati negli account di posta elettronica.
• Città di Victorville in California, è stato vittima di una violazione dei dati che ha esposto le informazioni personali di un numero non verificato di individui. Gli autori delle minacce hanno avuto accesso a determinati file all’interno della rete cittadina che includono numeri di previdenza sociale, numeri di patente di guida, numeri di carta d’identità statale, informazioni mediche e numeri di polizza di assicurazione sanitaria.
• Il distretto scolastico della contea di Clark (CCSD) nel Nevada ha sofferto si è verificata una violazione dei dati a causa di un accesso non autorizzato ai server di posta elettronica del distretto. Gli aggressori hanno avuto accesso alle informazioni personali relative a un sottoinsieme di studenti, genitori e dipendenti. I dati includono potenzialmente foto degli studenti, indirizzi, numeri di tessera studentesca e indirizzi e-mail. Ricercatori sulla sicurezza trovato dietro la violazione c’è il gruppo di minacce SingularityMD che ha già iniziato a divulgare i dati.

VULNERABILITÀ E PATCH

• Mela ha rilasciato patch di sicurezza per una varietà di prodotti, tra cui iOS e iPadOS 17.1, macOS Sonoma 14.1, watchOS 10.1 e altri. Tra questi c’è un singolo difetto di sicurezza a livello di kernel di elevata gravità (CVE-2023-32434) che potrebbe essere sfruttato per eseguire codice arbitrario con privilegi del kernel.
• Una vulnerabilità di media gravità (CVE-2023-4372) nel plugin LiteSpeed ​​Cache Potevo consentire agli aggressori di inserire codice dannoso nei siti Web WordPress. Il plugin viene utilizzato da oltre 4 milioni di siti Web WordPress, rendendolo un obiettivo popolare per gli aggressori.
• F5 ha affrontato aggiornamenti rapidi di sicurezza per una vulnerabilità RCE critica non autenticata (CVE-2023-46747) nell’utilità di configurazione F5 BIG-IP. La vulnerabilità può essere sfruttata senza autenticazione in attacchi a bassa complessità e potrebbe consentire a un utente malintenzionato con accesso remoto all’utilità di configurazione di eseguire l’esecuzione di codice remoto non autenticato.
• Ricercatori hanno osservato una vulnerabilità 0Auth che può colpire app popolari come Grammarly, Vidio e Bukalapak. La vulnerabilità potrebbe consentire un accesso non autorizzato agli account degli utenti.

RAPPORTI DI INTELLIGENCE SULLE MINACCE

• Ricerca sui punti di controllo riferisce su un aumento del 3% della media settimanale degli attacchi informatici globali nei primi tre trimestri del 2023, rispetto al periodo corrispondente dell’anno precedente. Un’organizzazione su 34 a livello globale ha subito un tentativo di attacco ransomware, segnando un aumento del 4% rispetto allo stesso periodo dell’anno scorso. Inoltre, il settore sanitario globale ha dovuto affrontare una media di 1.613 attacchi a settimana, indicando un sostanziale aumento dell’11% su base annua, e l’APAC è stata la regione più pesantemente attaccata con un sostanziale aumento del 15% su base annua.
• Punto di controllo azioni previsioni sulla sicurezza informatica per il 2024 che rientrano sostanzialmente in sette categorie: intelligenza artificiale e apprendimento automatico; Agricoltura GPU cloud; Attacchi alla catena di fornitura e alle infrastrutture critiche; assicurazione informatica; attacchi da parte di stati nazionali; tecnologia deepfake utilizzata come arma e attacchi di phishing.
• Ricercatori rivelato in che modo gli aggressori potrebbero sfruttare Hugging Face, la popolare piattaforma di sviluppo e collaborazione dell’intelligenza artificiale, per effettuare un attacco alla catena di fornitura dell’intelligenza artificiale che potrebbe colpire decine di migliaia di sviluppatori e ricercatori. L’attacco potrebbe portare all’esecuzione di codice in modalità remota e al dirottamento di modelli e set di dati molto utilizzati da Hugging Face con oltre 100.000 download.
• Ricercatori condividere un’analisi tecnica approfondita del ransomware Cactus. È stato osservato che il ransomware, scoperto nel marzo 2023, creava un mutex per migliorare l’infezione e mantenere la persistenza utilizzando un’attività pianificata denominata “Attività di controllo aggiornamenti”.

Controllo Point Harmony Endpoint e Threat Emulation forniscono protezione contro questa minaccia (Ransomware.Win.Cactus; Ransomware.Wins.Cactus.ta*)

Il Black Friday 2023 è il 25 novembre e le offerte di web hosting sono già in arrivo. Che tu stia cercando di passare all’hosting cloud o di creare un blog, ora è il momento giusto per ottenere il miglior hosting web offerte.

Dal blog più piccolo ai servizi web più grandi, i siti web devono essere ospitati. Alcuni host web sono i migliori per Hosting WordPress mentre altri sono ottimizzati per scalabilità e prestazioni come i migliori hosting sul cloud fornitori.

Con un mondo sempre più connesso, non c’è da meravigliarsi che le persone vogliano condividere i propri contenuti online. Alcuni utilizzano i siti Web per condividere idee, mentre altri ne creano un business a tutti gli effetti. Blogger e WordPress sono due dei più popolari costruttori di siti web disponibile oggi. Entrambe le piattaforme hanno una solida reputazione dopo essere state in circolazione per quasi due decenni ciascuna. La soluzione migliore per te dipende dai tuoi obiettivi e da come prevedi di utilizzare la piattaforma. In questa guida Blogger e WordPress confronteremo le due piattaforme, così potrai decidere quale è la migliore per le tue esigenze e il tuo budget.

Blogger e WordPress in sintesi

WordPress.org è utilizzato più frequentemente rispetto a Blogger, con molti temi e plugin tra cui scegliere per personalizzare l’aspetto del tuo sito senza codifica. Se conosci HTML o Java, lo consente anche. WordPress è gratuito, ma dovrai pagare per l’hosting con a società ospitanteche in genere costa meno di $ 10 al mese. Se gestisci un’attività, WordPress è la soluzione migliore, nonostante Blogger fosse originariamente specifico per i blog commerciali.

Blogger è un’alternativa gratuita a WordPress che esiste da quattro anni in più. Offre temi gratuiti, anche se sono semplici e rendono ovvio che stai utilizzando la piattaforma poiché sono tutti molto simili tra loro. Tuttavia, Blogger è un’ottima opzione per gli utenti che desiderano un servizio decente e di base piattaforma di blogging. Non otterrai fronzoli, ma la curva di apprendimento è bassa e puoi iniziare a pubblicare contenuti in pochi minuti.

OFFERTA PARTNER IN EVIDENZA

Blogger

Perché l’abbiamo scelto

Blogger è una delle prime piattaforme di blogging ed è ora di proprietà di Google. Ciò che era iniziato come una piattaforma di blogging commerciale si è trasformato in un luogo in cui le persone possono condividere pensieri, ricette e storie. È gratuito, facile da usare, include modelli gratuiti e puoi far funzionare il tuo sito in pochi minuti.

Lo svantaggio è che è immediatamente evidente che stai utilizzando Blogger perché tutti i temi sembrano uguali. I brand non considerano Blogger una piattaforma di blogging seria e generalmente non funzionano con i blogger che la utilizzano. Questo perché non esistono strumenti di email marketing o di social media marketing per aiutarlo a crescere.

Pro e contro

• È gratis
• Non è richiesta alcuna conoscenza della codifica
• Facile da usare

• Tutti i modelli sembrano uguali
• La maggior parte dei marchi non funzionerà con i blogger che utilizzano Blogger
• Nessuno strumento di marketing sui social media

OFFERTA PARTNER IN EVIDENZA

WordPress

Perché l’abbiamo scelto

WordPress è un costruttore di siti Web che consente personalizzazione avanzata, ampie integrazioni di terze parti e funzionalità per blogger e aziende. WordPress.org è gratuito, ma devi pagare una società di hosting per ospitare il tuo sito. Anche se tecnicamente non è necessario conoscere la programmazione per utilizzare WordPress, alcune conoscenze ti aiuteranno a correggere eventuali errori senza dover contattare uno sviluppatore web.

Sono disponibili oltre 9.000 temi gratuiti, nonché temi premium per distinguere il tuo sito o adattarlo al focus del tuo sito. Ad esempio, ci sono molti temi di e-commerce per dare al tuo negozio online un aspetto elegante. Puoi anche acquistare temi attraverso luoghi come Theme Forest o anche Etsy.

Pro e contro

• Infinite opzioni di personalizzazione
• Plugin per estendere le funzionalità del tuo sito
• I marchi preferiscono i blogger che utilizzano WordPress

• Deve pagare una società di hosting
• Richiede almeno una conoscenza elementare di programmazione
• Curva di apprendimento moderata

Come si accumulano i servizi

Sia Blogger che WordPress.org sono gratuiti, ma WordPress è ospitato autonomamente. Ciò significa che è necessario utilizzare una società di hosting per utilizzarlo. Puoi trovare aziende ospitanti per pochi dollari al mese se paghi per tre anni alla volta. Sebbene molti plugin di WordPress siano gratuiti, alcuni di quelli più estesi ti costeranno dei soldi, come quelli pensati per darti un negozio online.

Dal 2018, Blogger offre spazio di archiviazione illimitato. La quantità di spazio di archiviazione disponibile con WordPress dipende dall’azienda host utilizzata, ma 50 GB sono lo standard per la maggior parte delle aziende. Per la maggior parte delle persone questo è sufficiente. Una volta che il tuo sito riceve più traffico, potresti dover aumentare il pacchetto per cui paghi, che spesso include spazio di archiviazione illimitato e un server dedicato.

WordPress ha migliaia di temi gratuiti, oltre a quelli premium. Blogger ha una manciata di temi dall’aspetto simile e un sito suggerisce che esiste una soluzione alternativa per caricare un tema premium, ma altri dicono che la loro soluzione non funziona. Se stai cercando una personalizzazione avanzata e un aspetto unico per il tuo sito, ti consigliamo di scegliere WordPress.

Sebbene WordPress richieda un po’ più di conoscenza della programmazione rispetto a Blogger, è una piattaforma molto popolare, quindi ci sono migliaia di procedure dettagliate per qualsiasi cosa con cui hai problemi. La maggior parte delle società di hosting fornisce anche l’installazione con un clic in modo da poter iniziare rapidamente. Una volta che il tuo sito è attivo e funzionante, puoi trascinare e rilasciare immagini, testo e tutta una serie di contenuti all’interno dell’editor. Blogger non dispone della funzionalità di trascinamento della selezione.

Linea di fondo

Blogger o WordPress ti forniranno un modo per condividere contenuti con un pubblico online. Sono entrambi gratuiti, sono dotati di temi gratuiti e offrono spazio di archiviazione sufficiente per la maggior parte delle esigenze. Se stai semplicemente cercando una piattaforma di blogging semplice e facile da usare, Blogger è perfetta per condividere contenuti con amici e familiari. Se gestisci un’attività o desideri bloggare in modo professionale, dovresti utilizzare WordPress.org per creare un marchio più raffinato.

CloudSponge ha lanciato Better Sharing, un innovativo plugin per WordPress volto a trasformare la condivisione della posta elettronica per i visitatori del sito web. Progettato per una perfetta integrazione con l’acclamato strumento Contact Picker di CloudSponge, Better Sharing garantisce agli utenti un accesso rapido a più rubriche, semplificando il processo di condivisione. Questa integrazione non solo migliora l’esperienza dell’utente, ma fornisce anche agli operatori di marketing un potente strumento per amplificare il successo dei loro referral.

Lo sviluppo di Better Sharing è sostenuto da due verità fondamentali: che la posta elettronica rimane una componente indispensabile del marketing aziendale e che i collegamenti universali “mailto” sono spesso ingombranti e pericolosi. CloudSponge ha riconosciuto che le opzioni di condivisione di WordPress sono prevalentemente adattate ai social network e ha voluto rispondere alla necessità di estendere queste opzioni per coprire le e-mail.

Colin Smith, co-fondatore di Terminus Agency, ha affermato l’impatto positivo che il plugin ha avuto sui suoi clienti. ‘Una migliore condivisione è grandiosa. Ci offre un set di strumenti semplice ma potente per migliorare la viralità dei contenuti per i nostri progetti. Siamo lieti di abbandonare definitivamente i collegamenti mailto e di fornire uno strumento di marketing basato sul passaparola che implementa le migliori pratiche di esperienza utente relative alla condivisione dei contenuti”, ha affermato Smith.

Progettato appositamente per WordPress, Better Sharing può essere scaricato e installato gratuitamente sui siti WordPress. Essendo una soluzione integrata nel sito, offre un’interfaccia utente pulita con personalizzazione illimitata dell’interfaccia utente, come la personalizzazione dei campi e modelli multipli. Consente inoltre ai visitatori del sito Web di inserire manualmente un elenco separato da virgole di destinatari e-mail per condividere un sito Web. È stato progettato per integrarsi con i plugin di eCommerce utilizzati su WordPress come WooCommerce, con potenziale estensione ad altri come Shopify.

“Better Sharing è uno strumento WordPress molto necessario che renderà più semplice e utile per i visitatori condividere i collegamenti ai siti che preferiscono”, ha affermato Jay Gibb, fondatore e CEO di CloudSponge. “Nonostante l’aumento dei messaggi di testo e dei social media, la posta elettronica è ancora una delle piattaforme di comunicazione più utilizzate e abbiamo ricevuto un feedback eccellente da tutti coloro che hanno utilizzato il nuovo plug-in durante la fase beta.”

Gli utenti di WordPress con il plug-in Advanced Custom Fields sul proprio sito Web dovrebbero eseguire l’aggiornamento dopo aver scoperto una vulnerabilità nel codice che potrebbe esporre i siti e i loro visitatori ad attacchi di cross-site scripting (XSS).

UN avvertimento da Patchstack riguardo al difetto affermato ci sono più di due milioni di installazioni attive delle versioni Advanced Custom Fields e Advanced Custom Fields Pro dei plugin, che vengono utilizzate per dare agli operatori del sito un maggiore controllo sui loro contenuti e dati.

Il ricercatore di Patchstack Rafie Muhammad scoperto la vulnerabilità il 2 maggio e l’ha segnalata al fornitore Delicious Brains di Advanced Custom Fields, che ha rilevato il software l’anno scorso dallo sviluppatore Elliot Condon.

Il 5 maggio, un mese dopo il rilascio di una versione corretta dei plugin da parte di Delicious Brains, Patchstack ha pubblicato i dettagli del difetto. Si consiglia agli utenti di aggiornare il proprio plugin almeno alla versione 6.1.6.

Il difetto, tracciato come CVE-2023-30777 e con un punteggio CVSS di 6,1 su 10 in termini di gravità, lascia i siti vulnerabili agli attacchi XSS riflessi, che coinvolgono malintenzionati che inseriscono codice dannoso nelle pagine web. Il codice viene quindi “riflesso” ed eseguito all’interno del browser di un visitatore.

In sostanza, consente a qualcuno di eseguire JavaScript all’interno della visualizzazione di una pagina da parte di un’altra persona, consentendo all’aggressore di fare cose come rubare informazioni dalla pagina, eseguire azioni come utente e così via. Questo è un grosso problema se il visitatore è un utente amministrativo che ha effettuato l’accesso, poiché il suo account potrebbe essere violato per assumere il controllo del sito web.

“Questa vulnerabilità consente a qualsiasi utente non autenticato [to steal] informazioni sensibili per, in questo caso, privilegiare l’escalation sul sito WordPress inducendo l’utente privilegiato a visitare il percorso URL creato,” ha scritto Patchstack nel suo rapporto.

L’outfit ha aggiunto che “questa vulnerabilità potrebbe essere attivata su un’installazione o configurazione predefinita del plug-in Advanced Custom Fields. L’XSS potrebbe anche essere attivato solo da utenti registrati che hanno accesso al plug-in Advanced Custom Fields”.

Il difetto è relativamente semplice. Deriva dal gestore della funzione “admin_body_class”, che secondo Patchstack è stato configurato per essere un gestore aggiuntivo per l’hook di WordPress, chiamato anche admin_body_class. Il gestore controlla e filtra il design e il layout del tag del corpo principale nell’area di amministrazione.

Il gestore della funzione non disinfetta adeguatamente il valore dell’hook, consentendo a un utente malintenzionato di aggiungere codice dannoso, inclusi reindirizzamenti, pubblicità e altri payload HTML in un sito Web, che viene quindi eseguito quando una persona visita il sito. luogo.

Secondo Patchstack, la vulnerabilità XSS era una delle quattro riscontrate nel popolare plugin negli ultimi due anni.

WordPress, che questo mese festeggia il suo 20° compleanno, rimane il sistema di gestione dei contenuti più popolare al mondo, utilizzato da 43,2%. di tutti i siti web, secondo W3Techs. A causa delle centinaia di milioni di siti che lo utilizzano, anche WordPress è diventato un bersaglio popolare di malfattori che vogliono sfruttare eventuali falle del sistema: è lì che stanno i soldi.

Secondo un Patchstack sondaggioc’è stato un aumento del 150% nel numero di vulnerabilità di WordPress segnalate tra il 2020 e il 2021 e il 29% dei plugin con vulnerabilità critiche in quel momento sono rimasti senza patch.

Inoltre, la facilità d’uso di WordPress consente a chiunque, dagli hobbisti della tecnologia ai professionisti, di configurare rapidamente un sito Web, aumentando i rischi per la sicurezza della piattaforma, secondo Melissa Bischoping, direttrice della ricerca sulla sicurezza degli endpoint presso la società di sicurezza informatica Tanium.

“Poiché molti dei plugin disponibili per i siti WordPress sono sviluppati dalla comunità, potrebbero non essere regolarmente controllati e mantenuti,” ha detto Bischoping Il registro. “I plugin stessi possono contenere vulnerabilità di sicurezza ed è anche facile configurare erroneamente le autorizzazioni o le impostazioni dei plugin, esponendo ulteriori opportunità di exploit.”

Ha aggiunto che “alcuni dei plugin più popolari possono essere presenti letteralmente in milioni di siti web, il che rappresenta un ampio ventaglio di opportunità per un attore di minacce”.

Lo ha detto Casey Ellis, fondatore e CTO del crowdsourcer di sicurezza Bugcrowd Il registro che chiunque abbia un sito WordPress violato dovrebbe migrarlo su un host SaaS, dove la manutenzione della sicurezza è affidata a terzi e un firewall per applicazioni web può essere installato davanti al sito.

“La stragrande maggioranza dei blogger e dei proprietari di piccole imprese che gestiscono siti WordPress… non sono esperti di sicurezza informatica”, ha affermato Ellis. “WordPress necessita sicuramente di aggiornamenti costanti, soprattutto se si dispone di un sito Web che dispone di numerosi plug-in e codice di terze parti.” ®

Consegna su un funzionalità molto richiestaI contributori di Gutenberg hanno reso possibile rinominare quasi tutti i blocchi nella visualizzazione elenco. Versione 16.9 è stato rilasciato questa settimana con la nuova funzionalità, su cui si basa Gutenberg 16.7E’ stata introdotta la possibilità di rinominare i blocchi Gruppo.

Funziona in modo simile alla denominazione dei livelli di Photoshop. Gli utenti possono ora aprire la visualizzazione elenco, fare clic sul menu con i puntini di sospensione, selezionare “Rinomina” e inserire un nome personalizzato.

“Consentire agli utenti di distinguere tra i blocchi nella visualizzazione elenco sta diventando sempre più importante man mano che cresce l’ambito dell’editor del sito”, ha affermato il collaboratore sponsorizzato da Automattic, Dave Smith, nel ticket originale in cui proponeva la funzionalità per il blocco del gruppo. “Dato che tutti i blocchi sono attualmente etichettati con il nome del blocco (ad es Group) può essere difficile distinguerli. Ciò è particolarmente importante se i tuoi gruppi rappresentano “sezioni” distinte di una determinata pagina/modello.”

Ogni blocco può essere rinominato ad eccezione di questi quattro:

• core/block
• core/template-part
• core/pattern
• core/navigation

Nella versione 16.9 sono state aggiunte ulteriori funzionalità di ridenominazione, inclusa la possibilità di duplicare e rinominare modelli, nonché categorie di modelli.

Questa versione introduce nuovi moduli sperimentali e blocchi di input per consentire la costruzione di moduli di base. È una funzionalità che ha colto molti di sorpresa, poiché pochi avrebbero previsto che il core di WordPress avrebbe aggiunto la creazione di moduli. Una versione molto iniziale è disponibile in Gutenberg > Esperimenti, nell’impostazione dell’esperimento “Form and input block”.

“Perché non c’è stato alcun coinvolgimento proattivo nei confronti dei numerosi sviluppatori di soluzioni di moduli WordPress di lunga data attualmente utilizzate da milioni e milioni di siti WordPress?” Il cofondatore di Gravity Forms, Carl Hancock, ha commentato il PR.

“Sembra che un contatto proattivo con le persone esperte in questo ambito e che potrebbero fare di più per favorire l’adozione (al di là di commenti/ricerche/ecc.) sarebbe stata una buona cosa. Su molti livelli. Cercare di coinvolgerli nel contribuire, imparare dalla loro conoscenza storica condivisa e, cosa ancora più importante di tutte… costruire su di essa e adottarla invece di introdurre un punto di maggiore frammentazione.

La funzionalità dei moduli è ancora nelle primissime fasi di sperimentazione e maggiori informazioni potrebbero essere pubblicate nell’edizione di novembre di “Novità per gli sviluppatori?“

Alcuni altri punti salienti degni di nota di questa versione includono quanto segue:

Controlla il post di rilascio per Gutenberg 16.9 per vedere il registro delle modifiche completo e maggiori dettagli sulle correzioni di bug e miglioramenti a prestazioni, strumenti, documentazione, qualità del codice e accessibilità.

Una vulnerabilità recentemente scoperta nel plugin Essential Addons for Elementor ha messo oltre un milione di siti Web WordPress a rischio di attacchi volti a ottenere accesso non autorizzato agli account utente con privilegi elevati.

Esperti di sicurezza informatica presso PatchStack ha descritto la nuova vulnerabilità (CVE-2023-32243) in un avviso pubblicato giovedì.

“Questo plugin soffre di una vulnerabilità di escalation dei privilegi non autenticati e consente a qualsiasi utente non autenticato di aumentare i propri privilegi a quelli di qualsiasi utente sul sito WordPress”, si legge nell’articolo tecnico.

Patchstack ha inoltre spiegato che sfruttando questa vulnerabilità, gli aggressori potrebbero reimpostare la password di qualsiasi utente semplicemente conoscendone il nome utente, ottenendo così accesso non autorizzato agli account utente, compresi quelli con privilegi amministrativi.

Maggiori informazioni sulle vulnerabilità di Elementor: Elementor risolve bug critici nel popolare plugin WordPress

“Questa vulnerabilità si verifica perché questa funzione di reimpostazione della password non convalida una chiave di reimpostazione della password e modifica invece direttamente la password di un determinato utente”, ha scritto Patchstack.

La società ha chiarito che il difetto è stato risolto nella versione 5.7.2, rilasciata l’11 maggio, pochi giorni dopo che Patchstack aveva contattato il fornitore del plugin l’8 maggio.

“Poiché abbiamo rilevato che terze parti hanno avuto accesso alle informazioni sulla vulnerabilità monitorando il registro delle modifiche e hanno reso pubblico il problema, abbiamo deciso di rivelare tempestivamente la vulnerabilità,” si legge nell’avviso.

Allo stesso tempo, Patchstack ha chiarito che, sebbene la patch risolva la vulnerabilità specifica identificata, il software può presentare più vulnerabilità e nuove vulnerabilità potrebbero sorgere in futuro.

A tal fine, gli amministratori di sistema dovrebbero implementare pratiche di sicurezza aggiuntive come il controllo degli accessi, i controlli nonce e utilizzare funzioni come check_password_reset_key, che verifica la validità e la scadenza di una chiave di reimpostazione della password, garantendo processi di reimpostazione della password sicuri.

Il recente avviso di Patchstack arriva pochi mesi dopo che gli esperti di sicurezza hanno fortemente invitato gli utenti di un popolare plugin per WordPress a farlo aggiornare immediatamente le proprie installazioni.

Credito immagine editoriale: Monticello / Shutterstock.com