Wp Manage

Blog

  • I blog WordPress.com ora possono essere seguiti su Mastodon e altre piattaforme federate

    I blog WordPress.com ora possono essere seguiti su Mastodon e altre piattaforme federate

    All’inizio di quest’anno, Automattic, proprietario di WordPress.com acquisita un plug-in che ha permesso ai blog WordPress di essere seguiti nel fediverso: i social network decentralizzati che includono il Il rivale di Twitter Mastodon e altri. Di conseguenza, esso ha lanciato la versione 1.0.0 del plug-inconsentendo di seguire i blog WordPress su Mastodon e altre app fediverse. All’epoca, però, i blog WordPress.com non erano ancora supportati. Ma oggi le cose cambiano.

    Automatico annunciato questa mattina che la funzionalità ActivityPub è ora disponibile su tutti i piani WordPress.com. Ciò significa che chiunque utilizzi la versione ospitata del software WordPress open source ora ha la possibilità di collegarsi al fediverso, collegando il proprio blog a piattaforme federate come Mastodon, Pleroma, Friendica e altre. Utilizzando il plug-in, i proprietari dei blog hanno il potenziale per raggiungere più follower poiché potranno condividere i propri post su altre piattaforme e, a loro volta, ricevere risposte da quelle piattaforme che verranno trasformate in commenti sul blog.

    Notes Automattic, questo può creare una “conversazione più interattiva e dinamica attorno ai tuoi contenuti”, afferma l’annuncio.

    Utilizzando il plug-in, il blog stesso può diventare anche il profilo dell’utente nel fediverso, invece di dover creare un account direttamente su un’app federata, come Mastodon. Ma possono ancora raggiungere quel pubblico più vasto, che oggi comprende 1,8 milioni di utenti Mastodon attivi mensilmente e un totale di 13,3 milioni di utenti in tutto il fediverso, secondo una fonte per le statistiche di rete.

    Per implementare il plug-in sui siti ospitati su WordPress.com gratuiti, personali e premium, è sufficiente accedere alla sezione Discussione con Impostazioni dalla dashboard del blog e abilitare l’interruttore intitolato “Entra nel fediverso”. Da lì, prenderai nota del nome fediverse predefinito, che fa riferimento al dominio del blog (ad esempio “openprotocolfanblog.wordpress.com@openprotocolfanblog.wordpress.com”). Quel profilo può quindi essere condiviso con altri in modo che possano seguirlo su Mastodon o altre piattaforme. È anche possibile utilizzare un dominio personalizzato che offrirà agli utenti un profilo più breve e più memorabile.

    I siti aziendali e commerciali dovranno installare il plug-in ActivityPub e quindi seguire le istruzioni per impostare il proprio profilo.

    Il plug-in ActivityPub ora di proprietà di Automattic conta 54.756 installazioni a vita totale, rispetto ai 42.831 del mese scorso. Con il supporto aggiuntivo per i blog WordPress.com, ancora più siti e utenti potranno essere integrati nel fediverso. Ciò potrebbe espandere anche i numeri del fediverso, dato ciò Le statistiche di Automattic indicano che oltre 409 milioni di persone visualizzano più di 20 miliardi di pagine ogni mese sui siti Web WordPress.com. L’azienda afferma che ci sono oltre 150 milioni di blog WordPress.com in totale.

    Automattic non è l’unica azienda ad abbracciare il social networking decentralizzato. All’inizio di quest’anno, Medium ha detto che lancerà il proprio server Mastodon e integrarsi con ActivityPub. Applicazione rivista Flipboard ha anche annunciato che stava lanciando una propria istanza su flipboard.social e si integrerebbe con Mastodon in modo che i suoi utenti possano seguire gli aggiornamenti di Mastodon nell’app Flipboard. La nuova app di Instagram Threads promette anche di integrarsi con ActivityPub ma non lo ha ancora fatto.

  • Questo plugin WordPress ChatGPT costa $ 60 in questo momento

    Questo plugin WordPress ChatGPT costa $ 60 in questo momento

    Immagine per l'articolo intitolato Questo plugin WordPress ChatGPT costa $ 60 in questo momento

    Immagine: Mind2Matter

    Puoi integrare ChatGPT nel tuo sito WordPress con questo plugin in vendita per $ 59,99 in questo momento (reg. $ 299). Questo plugin si collega al tuo account OpenAI esistente e non include il pagamento per la versione Plus di ChatGPT. Riceve ChatGPT sul front-end del tuo sito web, sul back-end per l’amministratore o su entrambi. Puoi utilizzarlo internamente per la creazione e la ricerca di contenuti oppure utilizzarlo come supporto clienti basato sull’intelligenza artificiale per i visitatori.

    Questo plugin dota il tuo sito web di un chatbot dinamico, offrendo ai tuoi visitatori risposte rapide e naturali e migliora le capacità di ricerca del tuo sito, interpretando domande e affermazioni in linguaggio naturale per fornire risultati pertinenti. Attualmente ha una valutazione di 5 stelle su 5.

    Questo plugin WordPress ChatGPT lo è in vendita per $ 59,99 in questo momento (reg. $ 299), anche se i prezzi possono cambiare in qualsiasi momento.

  • Gli hacker sfruttano una falla critica nel plugin WordPress Royal Elementor – BleepingComputer

    Gli hacker sfruttano un difetto critico nel plugin WordPress Royal Elementor  Computer che dorme

  • Le 10 migliori società di sviluppo WordPress

    Le 10 migliori società di sviluppo WordPress

    WordPress può essere utilizzato gratuitamente, ma ciò non significa che sia l’opzione migliore. Una volta che il tuo sito web inizia a crescere, i piani premium, l’hosting, i temi e i plugin iniziano a diventare opzioni più allettanti.

    Una volta che il tuo sito WordPress raggiunge una certa dimensione, una società di sviluppo WordPress potrebbe essere ciò di cui hai bisogno. Queste aziende ti aiutano a progettare e sviluppare i tuoi siti web in modo che siano esattamente come li desideri.

    Ciò include una vasta gamma di funzionalità e opzioni diverse, come la manutenzione del sito Web, la creazione di plug-in e temi, la consultazione del sito Web e altro ancora.

    Ecco alcune ottime società di sviluppo WordPress che potresti prendere in considerazione per il tuo prossimo progetto

    1 1. eFlair

    Uno screenshot della pagina di destinazione di eFlair

    eFlair è una società di progettazione e sviluppo web personalizzata con l’obiettivo di garantire che il tuo sito web sia il più intuitivo e performante possibile pur mantenendo un bell’aspetto.

    Ciò significa che se vuoi che il tuo sito web si distingua, abbia un bell’aspetto o abbia elementi UI e UX facili da usare, allora eFlair è un’opzione eccellente con cui andare.

    eFlair offre opzioni di sviluppo web personalizzate in base alle tue esigenze, quindi invece di un’opzione con lo stampino, eFlair lavorerà con te per realizzare il sito web dei tuoi sogni. eFlair lo fa consultandosi direttamente con te per comprendere al meglio le tue aspirazioni di design e la nicchia del tuo sito web.

    Da lì, eFlair creerà per te un sito web unico, minimalista e intuitivo. Inoltre, eFlair lo fa senza compromettere le funzionalità o la qualità del codice. Potresti volere che il tuo sito web abbia un aspetto raffinato, ma ciò non significa che non dovrebbe essere anche funzionale.

    eFlair ti consente di raggiungere questo obiettivo, il tutto garantendo che i tempi di consegna siano i più rapidi possibile, pur mantenendo un codice di alta qualità. Ciò significa che otterrai risultati rapidi senza compromettere la qualità.

    2 2. Tribù moderna

    Uno screenshot della pagina di destinazione di Modern Tribe

    Tribù moderna è un team di progettazione digitale specializzato nello sviluppo di siti Web, applicazioni, plug-in e piattaforme di pubblicazione. Naturalmente, questo include lo sviluppo di WordPress.

    Modern Tribe ha collaborato con una vasta gamma di aziende per fornire praticamente ogni soluzione esistente. Quando si tratta di soluzioni ingegneristiche, Modern Tribe si concentra sulla trasparenza e sulla collaborazione.

    Mentre alcune società di sviluppo WordPress interagiscono solo quando necessario, Modern Tribe promette di collaborare con i clienti dall’inizio alla fine. Ciò ti garantisce di ottenere la soluzione perfetta per le tue esigenze.

    3 3.DevriX

    Uno screenshot della pagina di destinazione di eFlair

    Se stai cercando una società di sviluppo WordPress che si concentri esclusivamente su WordPress, allora DevriX è una buona opzione da seguire.

    DevriX si concentra sullo sviluppo di partnership a lungo termine per le aziende e copre quasi ogni aspetto dello sviluppo di WordPress di cui potresti aver bisogno.

    Se stai cercando sviluppo back-end o front-end, marketing digitale, consulenza aziendale o manutenzione di siti Web, DevriX è in grado di fornirtelo.

    Se desideri una soluzione WordPress completamente personalizzata, allora DevriX può farlo anche per te. Ciò può essere esteso anche allo sviluppo incentrato su applicazioni software-as-a-service.

    4 4. WPRider

    Uno screenshot della pagina di destinazione di WPRider

    WPRiders è una società di sviluppo WordPress specializzata nella fornitura di soluzioni WordPress per piccole e medie imprese e startup.

    Esistono diversi pacchetti tra cui scegliere con WPRiders, ciascuno con diverse opzioni tra cui scegliere. Ad esempio, se stai cercando un piano di sviluppo che includa solo gli elementi essenziali, WPRiders ha un piano che ti offrirà 10 ore di attività di sviluppo al mese.

    In alternativa, se stai cercando supporto per il tuo sito WordPress esistente, WPRiders offre anche piani di supporto. Questi ti danno accesso ai backup, al monitoraggio e al supporto del sito per aiutarti a mantenere il tuo sito web attivo e funzionante senza il tuo intervento.

    5 5. Correzione

    Uno screenshot della pagina di destinazione di Fixel

    Se stai cercando un team più piccolo che ti aiuti a sviluppare il tuo sito WordPress, allora Fixel è una scelta eccellente proprio per questo.

    Fixel ha un approccio semplice allo sviluppo di WordPress, che prevede che tu lavori direttamente con il suo team per costruire il sito che hai sempre desiderato. Ogni sito web è realizzato su misura in base alle esigenze del cliente, dal branding allo sviluppo.

    A seconda del tuo sito web, ciò che significa potrebbe differire. Se hai bisogno di un aggiornamento completo, inclusi nuovi loghi, branding, layout e aspetto, Fixel può fornirtelo. Se hai bisogno di una nuova interpretazione del tuo sito web che corrisponda all’energia dei tuoi contenuti, allora Fixel può farlo anche tu.

    6 6.XWP

    Uno screenshot della pagina di destinazione di XWP

    XWP è una società di sviluppo WordPress che ha lavorato con una serie di grandi nomi e grandi progetti. È specializzato nello sviluppo di WordPress e sa tutto quello che c’è da sapere quando si tratta di sviluppo di siti web.

    Parte di questo include lo sviluppo di temi e plugin, a cui XWP contribuisce sotto forma di progetti open source, che aiutano a dare un’idea della competenza di XWP.

    Inoltre, XWP comprende l’ecosistema WordPress e come funziona la sua base di codice. Ciò può includere il lavoro sull’ottimizzazione della velocità di caricamento del tuo sito web, del design UX, della rilevabilità, del design e altro ancora.

    7 7. Multipunti

    Uno screenshot della pagina di destinazione di MultiDots

    Se stai cercando un’azienda leader nello sviluppo di WordPress aziendale, allora Multipunti è una buona scelta proprio per questo.

    Multidots offre sviluppo di WordPress, migrazione di siti Web e opzioni di marketing digitale. L’attenzione dell’azienda è in gran parte sulla qualità dei suoi progetti, sulla fornitura di siti Web ricchi di funzionalità e sulla scalabilità per le aziende in crescita.

    Multidots prevede anche lo sviluppo multisito. Ciò significa che puoi utilizzare Multidots per creare più siti Web WordPress da installare contemporaneamente per la tua azienda, il che può essere molto utile se ne hai bisogno.

    8 8. Prodotto dall’uomo

    Uno screenshot della pagina di destinazione creata da Human Made

    Per le organizzazioni aziendali, Creazione umana potrebbe essere proprio la società di sviluppo WordPress adatta alle tue esigenze. Questo perché Human Made è progettato pensando al tuo tipo di clientela.

    Ciò significa che se hai bisogno di una piattaforma scalabile e sicura per il tuo sito WordPress, Human Made può aiutarti a realizzarla esattamente. Potrebbe trattarsi di qualcosa come una redazione aziendale, che richiede centri media dinamici e pagine di destinazione, o una soluzione CMS economicamente vantaggiosa dotata della tecnologia più recente.

    9 9. 10 su

    Uno screenshot della pagina di destinazione di 10up

    Se sei un creatore di contenuti che desidera espandere il tuo sito WordPress, allora 10 su è una buona scelta 10up è una società di sviluppo WordPress che si concentra sulla creazione di siti Web e strumenti migliori specificamente per i creatori di contenuti.

    10up non offre solo progettazione e sviluppo di siti Web, ma anche strategie di marketing. Se stai cercando qualcosa che sia reattivo alla condivisione di grandi quantità di media o hai bisogno di un modo migliore per raggiungere il tuo pubblico, allora 10up è un’ottima opzione proprio per questo.

    10up ha un vasto portafoglio di siti Web che puoi consultare per vedere quali tipi di siti Web ha creato in passato e un buon modello di servizio clienti che mira a garantire che tu sia sempre soddisfatto del risultato finale.

    10 10. Esperti WPE

    Uno screenshot della pagina di destinazione di WPExperts

    Finalmente, WPExperts è una società di sviluppo WordPress a livello aziendale che si concentra su servizi web ed e-commerce. Se stai cercando uno sviluppo di e-commerce su larga scala, WPExperts è un’ottima opzione proprio per questo.

    WPExperts copre praticamente qualsiasi WordPress di cui potresti aver bisogno. Qui è disponibile di tutto, dal semplice sviluppo di temi e creazione di pagine, fino all’ottimizzazione della velocità, piattaforme di e-commerce e sviluppo di plug-in.

    Ci sono molte opzioni disponibili con WPExperts, quindi indipendentemente dalle tue esigenze, sarai sicuramente in grado di trovare quello che stai cercando.

    11 Porta il tuo sito web al livello successivo

    Come puoi vedere, esiste un’enorme varietà di opzioni quando si tratta di società di sviluppo WordPress. Sia che tu stia cercando di espandere la tua piccola impresa e portarla al livello successivo, o di avere un sito web consolidato che necessita di migrazione, c’è una società di sviluppo WordPress là fuori che fa al caso tuo.

    Lavorare con alcune delle migliori società di sviluppo WordPress può essere una grande risorsa per migliorare la tua portata digitale e garantire che il tuo sito web sia il migliore possibile. Se hai raggiunto la fase in cui il tuo sito web deve continuare a crescere, una società di sviluppo WordPress può essere un ottimo investimento.

    Questo è un post sponsorizzato. Le scelte di prodotto e le opinioni espresse in questo articolo provengono dallo sponsor e non riflettono la direzione editoriale di MakeUseOf o del suo staff.

  • 200.000 siti WordPress avvisati della vulnerabilità dei plugin attaccati attivamente

    Gli amministratori di oltre duecentomila siti WordPress sono stati avvisati di una vulnerabilità critica in un plugin del loro sito web che gli aggressori stanno sfruttando attivamente. Da 6 ottobre È disponibile un aggiornamento di sicurezza per la vulnerabilità nei componenti aggiuntivi e nei modelli Royal Elementor, ma gli attacchi hanno avuto luogo da agosto, secondo la società di sicurezza Wordfence.

    Elementor è un cosiddetto plugin “page builder” che sostituisce l’editor standard di WordPress. Offre agli utenti più libertà e opzioni per progettare il proprio sito WordPress e introduce tutti i tipi di funzionalità aggiuntive. Sono inoltre disponibili tutti i tipi di plug-in per Elementor, incluso Royal Elementor. Questo plugin è installato su più di duecentomila siti WordPress.

    Una vulnerabilità critica nel caricamento di file nel plug-in, identificata come CVE-2023-5360, consente a un utente malintenzionato non autenticato di caricare file PHP dannosi, come una backdoor, sul sito Web. L’impatto della vulnerabilità è stato valutato 9,8 su una scala da 1 a 10.

    Secondo Wordfence ci sono prove che l’exploit per la vulnerabilità fosse già in fase di sviluppo alla fine di luglio, mentre i primi attacchi si sono verificati alla fine di agosto. Il 3 ottobre si è verificato un picco di attacchi. Tre giorni dopo, lo sviluppatore del plugin ha rilasciato un aggiornamento (1.3.79) per risolvere il problema. Tuttavia, secondo i dati di WordPress, meno della metà dei siti vulnerabili ha installato la patch. Gli amministratori che non l’hanno ancora fatto sono invitati a installare l’aggiornamento.

  • I blog di WordPress.com ora possono connettersi a Mastodon

    I blog di WordPress.com ora possono connettersi a Mastodon

    Il tuo blog può assumere una nuova vita sui social media se lo pubblichi su WordPress.com. Questa versione commerciale della piattaforma di pubblicazione web open source WordPress ora offre un ActivityPub opzione per trasformare un blog in un file fediverso presenza su Mastodonte e altri social network federati che operano su norma aperta.

    UN inviare Mercoledì da Matthias Pfefferle, uno sviluppatore presso Automattic, società madre di WordPress.com, spiega che questo va oltre le precedenti opzioni di condivisione unidirezionale come lo strumento di condivisione Twitter dell’azienda caduto in aprile Dopo forti aumenti dei costi di utilizzo dell’API di Twitter.

    “Il tuo blog WordPress ora può diventare un profilo per il fediverso”, afferma Pfefferle. E non solo il post del blog viene pubblicato su Mastodon e altrove, ma le risposte dei lettori di Fediverse ritornano al post originale “come commenti sul post del tuo blog, creando un’esperienza sincronizzata e interattiva”.

    Questa funzionalità è già disponibile nella versione gratuita e nelle due versioni a pagamento più economiche di WordPress.com, mentre due opzioni commerciali di fascia alta richiedono l’installazione il plug-in ActivityPub. Questo componente aggiuntivo è disponibile anche per siti che eseguono altre versioni di WordPress– il che significa alcuni 43% dei siti può, in teoria, adottarlo.

    L’attivazione richiede un clic sul pulsante “Entra nel fediverso” nelle impostazioni Discussione, nel menu Impostazioni nella barra di sinistra nella dashboard di amministrazione. Dovresti quindi vedere un identificatore fediverse lungo e un po’ strano, composto da due copie del nome di dominio del tuo blog separate da un simbolo @, che puoi quindi copiare per condividere dal tuo Mastodon o da un altro account ActivityPub.

    Quando l’ho provato con Mio proprioWordPress.com-blog ospitatotuttavia, quell’identificatore mancava del prefisso @ richiesto che lo avrebbe reso riconoscibile ai clienti Mastodon come una presenza fediversa: “robpegoraro.com@robpegoraro.com”, invece di “@robpegoraro.com@robpegoraro.com”.

    Come ho detto, un po’ imbarazzante. Ma una volta che ho modificato il mio post su Mastodon che annuncia questa opzione per correggere questo handle, il mio blog appariva semplicemente come “@robpegoraro.com”.

    Quel profilo mostra una data di creazione del 5 aprile 2011 (quasi cinque anni prima Debutto 0.10 di Mastodonè stato allora che ho aperto il mio account WordPress.com per avere un posto dove annunciare la mia imminente uscita dal Washington Post) e circa 1.300 post (ho scritto molto lì nel mio tempo libero, ma solo i nuovi post che pubblico sul mio blog appariranno sotto questo account Mastodon). Facendo clic sul collegamento “Scopri di più sul profilo originale” mi riporta al blog stesso.

    Mastodon ha preso presto il comando Alternative a Twitter dopo l’acquisizione di Twitter da parte di Elon Musk e successiva gestione caotica della compagnia ora chiamato “X” ha iniziato ad alienare alcuni degli utenti di lunga data di quel servizio. IL Bluesky solo su invito da allora ha iniziato ad attrarre il proprio gruppo di rifugiati di Twitter con un’interfaccia più semplice di Mastodon e la propria architettura decentralizzata. Ancora un’altra opzione, Meta’s Threads, funziona come una tradizionale rete centralizzata ma prevede di connettersi al fediverso tramite ActivityPub più tardi.

  • L’autorità di regolamentazione, gli assicuratori e i clienti si presentano tutti Progressi dopo la violazione di MOVEit • Il Registro

    L’autorità di regolamentazione, gli assicuratori e i clienti si presentano tutti Progressi dopo la violazione di MOVEit • Il Registro

    Infosec in breve Le conseguenze dello sfruttamento dei bug nel software di trasferimento file MOVEit di Progress Software continuano, con la Securities and Exchange Commission (SEC) degli Stati Uniti che ora indaga sulla questione e molte parti interessate che chiedono un risarcimento.

    I progressi hanno ammesso i venti negativi della responsabilità aziendale che si sono fatti strada in un SEC 10-Q trimestrale archiviazione. Secondo la divulgazione, il 2 ottobre ha ricevuto un mandato di comparizione dalla SEC, in cui la Commissione ha chiesto “vari documenti e informazioni relativi a la vulnerabilità MOVEit.”

    “In questa fase, l’indagine della SEC è un’indagine conoscitiva, l’indagine non significa che Progress o chiunque altro abbia violato le leggi federali sui titoli”, ha spiegato il fornitore dell’applicazione, aggiungendo che intende collaborare pienamente.

    Progress ha anche ammesso di dover affrontare una serie di altri contenziosi – sia negli Stati Uniti che in altri paesi – a causa della violazione, di gran lunga superiori ai limiti previsti. una dozzina o giù di lì casi che, secondo quanto riferito, stava affrontando a partire da luglio.

    “Siamo parte di 58 azioni legali collettive avviate da individui che affermano di essere stati colpiti dall’esfiltrazione di dati dagli ambienti dei nostri clienti MOVEit Transfer”, ha affermato Progress nella dichiarazione. Questi casi sono stati riuniti in un’unica causa in Massachusetts all’inizio di questo mese.

    Ancora una volta, non è tutto.

    Progress ha anche ricevuto “lettere formali” da 23 clienti MOVEit che affermano che la vulnerabilità è costata loro denaro, e alcuni “hanno indicato che intendono chiedere un risarcimento”. Inoltre, Progress sta anche affrontando una richiesta di surrogazione da parte di un assicuratore, il che significa che “sta cercando il recupero di tutte le spese sostenute in relazione alla vulnerabilità MOVEit”.

    “Abbiamo anche collaborato con diverse richieste di autorità nazionali ed estere di regolamentazione della privacy dei dati, richieste di diversi procuratori generali statali”, ed è anche oggetto di indagini da parte di un’anonima agenzia di polizia federale.

    Un exploit scoperto di recente in un’altra app di trasferimento file Progress, WS_FTPmeritava appena una menzione nella documentazione della SEC. Progress ha scritto solo di aver risolto i problemi e di aver riconosciuto lo sfruttamento attivo.

    Vulnerabilità critiche della settimana

    Iniziamo l’elenco di questa settimana delle ultime vulnerabilità critiche e degli exploit noti con Fortinet, che ha rilasciato parecchi aggiornamenti di sicurezza, inclusi un paio di aggiornamenti critici in FortiSIEM, FortiManager e FortiAnalyzer.

    Molte versioni di FortiSIEM sono vulnerabili a multiplo Vulnerabilità di path traversal di livello CVSS 9.7 che possono portare all’escalation dei privilegi, mentre FortiManager e FortiAnalyzer (più versioni) sono vulnerabili a aumento dei privilegi tramite richieste HTTP appositamente predisposte (CVSS 8.6). Sono disponibili patch per entrambi i problemi.

    Per quanto riguarda i sistemi di controllo industriale, nonostante la CISA abbia rilasciato un 19 articoli elenco delle notifiche, solo alcuni dei problemi erano seri:

    • CVSS 9.8 – CVE multipli: I WAP Siemens SCALANCE W1750D contengono una serie di vulnerabilità che possono consentire a un utente malintenzionato di divulgare informazioni, negare il servizio ed eseguire codice in remoto.
    • CVSS 9.8 – CVE-2023-36380: I moduli master Siemens CP-8031 e CP-8050 memorizzano un ID hardcoded nel file di configurazione SSH autorizzato_keys, consentendo a chiunque disponga della chiave privata di accedere ai dispositivi interessati, che sono quelli con il supporto debug attivato.
    • CVSS 9.8 – CVE multipli: L’interfaccia gateway comune di Weintek utilizzata per molti dei suoi dispositivi della serie CMT3000 contiene vulnerabilità che consentono agli aggressori di dirottare il flusso di controllo e aggirare l’autenticazione.
    • CVSS 9.1 – CVE-2023-4562: Diversi modelli di PLC MELSEC-F di Mitsubishi Electric vengono autenticati in modo improprio, esponendoli a manomissioni da parte di aggressori remoti.
    • CVSS 8.0 – CVE-2023-43625: tutte le versioni del software Simcenter Amesim di Siemens precedenti alla V2021.1 sono vulnerabili all’iniezione di codice che potrebbe consentire a un utente malintenzionato di eseguire l’iniezione DLL ed eseguire codice arbitrario.

    Per quanto riguarda le vulnerabilità sfruttate conosciute recentemente scoperte, ce ne sono solo un paio da segnalare che non abbiamo trattato altrove questa settimana. Potrebbero non essere così gravi come gli altri, ma vengono comunque sfruttati in natura, quindi fai attenzione:

    • CVSS 7.8 – CVE-2023-21608: Se gli utenti aprono PDF dannosi nelle versioni Acrobat Reader 22.003.20282 o 20.005.30418 e precedenti, potrebbero trovarsi colpiti da una vulnerabilità use after free che consente a un utente malintenzionato di eseguire codice arbitrario.
    • CVSS 6.6 – CVE-2023-20109: Cisco GET VPN è vulnerabile a un attacco di scrittura OOB che può consentire a un utente malintenzionato di eseguire codice e mandare in crash i dispositivi interessati.

    CISA aggiunge nuove risorse per la catalogazione dei rischi ransomware

    La Cybersecurity and Infrastructure Security Agency degli Stati Uniti sta espandendo il proprio pool di risorse per coloro che lottano per prevenire le infezioni da ransomware, con due nuove iniziative nell’ambito del progetto pilota di avviso di vulnerabilità del ransomware dell’agenzia programma.

    Il primo assume la forma di una nuova colonna nelle vulnerabilità conosciute sfruttate dall’Agenzia Catalogare che indica se è noto che un punto debole sfruttato attivamente viene utilizzato nelle campagne ransomware.

    La modifica è già attiva e presente su tutte le vulnerabilità aggiunte al catalogo. I suddetti exploit del software Progress, insieme a Log4j e altre vulnerabilità ben note, indicano tutti che sono stati utilizzati da autori di ransomware.

    Il secondo, e probabilmente più importante per coloro che cercano di rafforzare un ambiente, è il nuovo elenco di configurazioni errate e punti deboli noti per essere utilizzati nelle campagne ransomware. Il catalogo non è basato su CVE ed è comunque piuttosto breve, elencando servizi vulnerabili come RDP, VNC, SMB e simili e le porte comunemente utilizzate per sfruttare configurazioni errate.

    Il mese scorso, oltre 17.000 siti WordPress sono stati violati per aggiungere iniettori di malware

    L’azienda di sicurezza informatica e filiale di GoDaddy, Sucuri, ha dichiarato in un recente articolo rapporto che più di 17.000 siti Web WordPress sono stati colpiti da un cross-site scripting vulnerabilità in un plugin Composer utilizzato dal creatore di temi premium WordPress tagDiv.

    Attacchi di scripting cross-site non sono un problema nuovo per WordPress implementazioni che utilizzano vari temi con plugin di dubbia origine o catena di fornitura di software, e quest’ultimo numero sembra più o meno lo stesso.

    In questo caso, il plugin Composer di tagDiv viene utilizzato nei temi premium Newspaper e Newsmag, che secondo Sucuri vengono utilizzati da oltre 135.000 clienti paganti. Newsmag è in uso su un altro 18.579 sitima nessuna delle due cifre tiene conto delle copie piratate del tema, ha osservato Sucuri.

    Iniettori come Balada dirottano servizi legittimi e possono essere utilizzati per eseguire codice dannoso su siti Web per eseguire phishing sugli utenti, dirottare credenziali e rubare informazioni personali, tra le altre azioni. Sucuri include passaggi di mitigazione delle infezioni nel suo rapporto, iniziando in modo critico con la scansione dei siti WordPress per verificare la presenza di eventuali codici dannosi, uno strumento per il quale Sucuri sembra avere a portata di mano. ®

  • Malware backdoor trovato sul sito WordPress camuffato da plugin legittimo

    Malware backdoor trovato sul sito WordPress camuffato da plugin legittimo

    Un hacker ha implementato una backdoor di WordPress che può nascondere la sua presenza fingendosi un plugin legittimo, riferisce la società di sicurezza WordPress Defiant.

    Individuata durante la pulizia di un sito compromesso, la backdoor è stata progettata per funzionare nel contesto di WordPress, avendo così accesso a tutte le funzioni di cui avrebbe un normale plugin.

    Per evitare di destare sospetti, il codice presentava all’utente anche un “commento di apertura dall’aspetto professionale che implicava che si trattasse di un plug-in di memorizzazione nella cache”, spiega il team Wordfence di Defiant.

    Una volta installato, il malware aggiunge filtri specifici per non apparire nell’elenco dei plugin attivati, fornendo allo stesso tempo agli aggressori una serie di funzioni, inclusa la possibilità di creare un account amministratore.

    In grado di funzionare come script autonomo e come plug-in, la porta sul retro contiene anche funzionalità di ping in modo che l’autore della minaccia possa verificare se è operativo e può attivare e disattivare altri plugin da remoto.

    Secondo il team di Wordfence, lo script può creare un account con il nome utente “superadmin”, con il ruolo impostato come amministratore e con una password codificata. Contiene anche il codice per rimuovere l’account quando non è più necessario.

    Inoltre, la società di sicurezza ha identificato nel codice una funzione di rilevamento dei bot, che consente al malware di fornire contenuti dannosi agli utenti, in base a filtri specifici.

    Annuncio. Scorri per continuare a leggere.

    “Un filo comune condiviso da questi scenari di infezione è che i proprietari dei siti ritengono che il loro sito abbia un bell’aspetto, ma i loro visitatori hanno segnalato problemi come vedere spam o essere reindirizzati a siti dubbi. Altri riferiscono che il loro sito appare e si comporta in modo del tutto normale, ma mostra contenuti spam solo quando viene visitato da un motore di ricerca”, spiega l’azienda.

    Tale malware in genere fornisce contenuti dannosi ai motori di ricerca, in modo che possano essere indicizzati e indirizzare il traffico verso il sito Web infetto.

    La backdoor contiene anche un hook per verificare se l’utente corrente è un amministratore ed esegue anche altri controlli per fornire loro il contenuto del sito non modificato. Se queste condizioni non vengono soddisfatte, all’utente viene invece mostrato contenuto dannoso e vengono richiamate altre funzioni per inserire spam nelle pagine.

    “Il malware contiene altre funzioni di pulizia che gli consentono di rimuovere contenuti dannosi dal database oltre alla cancellazione dell’utente amministratore”, spiega Defiant.

    Inoltre, la società di sicurezza ha identificato specifiche funzioni del malware che consentono agli aggressori di controllare e monetizzare da remoto i siti web delle vittime.

    Imparentato: Difetto del plugin TagDiv recentemente patchato sfruttato per hackerare migliaia di siti WordPress

    Imparentato: La vulnerabilità nel plug-in di migrazione di WordPress espone i siti Web agli attacchi

    Imparentato: Le vulnerabilità critiche dei plugin WordPress influiscono su migliaia di siti

  • L’app Blocknotes esegue WordPress in modo nativo su iOS, ora in versione beta pubblica – WP Tavern

    L’app Blocknotes esegue WordPress in modo nativo su iOS, ora in versione beta pubblica – WP Tavern

    Blocknotes è una nuova app sperimentale che esegue WordPress in modo nativo su iPhone. È stato creato dal core committer di WordPress Ella van Durpe ed è alimentato da Parco giochi WordPressun progetto che esegue il software nel browser senza un server PHP.

    “L’ecosistema WordPress ora può essere eseguito ovunque: desktop, dispositivi mobili, web e persino ecosistemi recintati”, Adam Zieliński, creatore di WordPress Playground dissecondividere uno screenshot su Twitter.

    “I Blocknote ti consentono di creare note con Gutenberg, salvarle come file HTML su iCloud e sincronizzarle sui tuoi dispositivi. Ciò apre la strada alle future app mobili basate su WordPress e questo è solo l’inizio”.

    Zieliński ha spiegato che questa particolare app sperimentale è tecnicamente una WebView che esegue una pagina HTML in cui viene eseguita la versione WebAssembly di PHP, la stessa di cui sopra parco giochi.wordpress.net.

    “I browser e altri runtime JavaScript hanno tutti adottato uno standard comune che è WebAssembly”, ha affermato. “A quanto pare è possibile creare molti programmi ‘normali’, incluso PHP, secondo quello standard e poi eseguirli nel browser.”

    L’importanza di questa app in esecuzione nativa su iOS è che dimostra le possibilità di eseguire WordPress in molti nuovi contesti senza la necessità di un server. Zieliński ritiene che questa implementazione possa persino essere trasformata in un modello di app per creare un’app WordPress con il semplice clic di un pulsante.

    “Playground, come software WebAssembly, porta WordPress su Node.js, dispositivi mobili, app desktop, ecosistemi come VS Code che supportano le estensioni JavaScript”, ha affermato Zieliński. “L’app mobile, l’app desktop e un’app Web ospitata potrebbero utilizzare tutte lo stesso codice e fornire anche una versione demo basata su Playground.”

    Zieliński ha detto che si aspetta di vedere le persone costruire app mobili in futuro “con nient’altro che un plugin per WordPress”. Ciò ridurrebbe drasticamente la curva di apprendimento per la creazione e la personalizzazione delle app mobili.

    “O meglio ancora, senza alcun codice: userebbero semplicemente l’interfaccia di amministrazione per configurare un sito WordPress in modo che appaia e si comporti come un’app”, ha affermato.

    “Cambiare l’aspetto dell’app potrebbe essere come cambiare un tema in WordPress.”

    Zieliński ha una fonte praticamente inesauribile di idee su come WordPress Playground possa apportare benefici all’ecosistema e la sua passione per il progetto è evidente in un recente intervista su The Code e Coffee Show.

    L’app Blocknotes offre un solido esempio di WordPress Playground che funziona nel mondo reale. È un caso d’uso che sembra aver avuto una forte risonanza tra gli sviluppatori come un nuovo modo di eseguire WordPress su più piattaforme.

    L’app non è ancora disponibile nell’App Store ma può esserlo testato tramite l’app TestFlight. van Durpe ha detto che è possibile può essere installato anche su macOS.

    WordPress Playground è in fase di sviluppo per diventare “il visualizzatore di anteprima ufficiale di WordPress”, secondo il tabella di marcia – lo strumento ufficialmente supportato per testare plugin WordPress, nuove funzionalità, versioni beta/RC, senza infrastrutture costose. Demo e siti di test possono essere avviati immediatamente facendo clic su un collegamento. Il progetto promette inoltre di fornire un’esperienza di apprendimento interattivo per la documentazione di WordPress per aiutare i nuovi sviluppatori.

    Nella tabella di marcia del progetto c’è anche l’apertura di nuove porte per WordPress, per la creazione di strumenti che funzionino su più dispositivi. WordPress Playground rimuove le limitazioni con cui gli sviluppatori hanno convissuto per anni.

    “Abilitiamo una nuova generazione di strumenti WordPress in esecuzione su desktop, dispositivi mobili, nella CLI e nei browser Web”, ha affermato Zieliński. “Immagina WordPress come un’app per prendere appunti cross-device, o WooCommerce come un’app per la scansione dei biglietti in esecuzione su un telefono o un editor di codice in esecuzione su un tablet in cui puoi creare estensioni WordPress.

    “WordPress ha conquistato oltre il 40% del web come app che può essere eseguita solo su un server. Cosa accadrà ora che WordPress può essere eseguito su quasi tutti i dispositivi?”

    Categoria: ,

  • Backdoor in WordPress: come proteggersi dal falso amministratore che dirotta i siti web

    Backdoor in WordPress: come proteggersi dal falso amministratore che dirotta i siti web

    Una nuova backdoor si è camuffata da legittimo plugin di caching in cui entrare WordPress. Pertanto consente agli attori malintenzionati di creare un account amministratore, monitorare l’attività del sito e dirottare i siti Web.

    “La capacità del malware di alterare il contenuto del sito web, fornendo invece agli amministratori il contenuto originale per ritardarne il rilevamento, è particolarmente inquietante”, commenta. Sandra MarsicoCustomer Success Manager presso Swascan: “La tattica dimostra una notevole sofisticazione da parte degli aggressori nel rendere la compromissione ancora più difficile da rilevare e affrontare.”

    Ecco come tutelarsi, visto che “nel 2023 possiamo contare circa 810 milioni di siti web che utilizzano la tecnologia WordPress come CMS”, ricorda il team che gestisce il SOC di Ansia e “questo lo rende un bersaglio estremamente attraente per i malintenzionati, soprattutto considerando la disponibilità di oltre 60.000 plugin che possono essere liberamente utilizzati per estendere le funzionalità di un sito web”.

    Backdoor WordPress: quali rischi corri?

    Il malware è una backdoor con una serie di funzioni in grado di gestire i plugin e nascondersi da quelli attivi su siti Web compromessi, sostituendo i contenuti o reindirizzando alcuni utenti verso posizioni dannose.

    Gestione dei documenti e firma digitale: abilita un processo completamente digitale sicuro

    I metodi tipici per compromettere un sito Web includono il furto di credenziali, il cracking di password o lo sfruttamento di una vulnerabilità in un plug-in o tema esistente.

    Ma “il rapporto pubblicato da Wordfence non fa menzione di uno specifico vettore di attacco che spieghi come il malware sia arrivato al sito compromesso”, sottolineano gli specialisti SOC di Axitea: tuttavia “le azioni che consente di compiere e le capacità di evasione incluse dimostrano ancora una volta come gli attacchi moderni continuano a sviluppare livelli di sofisticazione sempre più importanti e complessi, dal metodo del compromesso all’evasione dagli occhi di un amministratore”.

    Gli analisti di Ribellecreatori del plugin di sicurezza Wordfence per WordPress, hanno scoperta il nuovo malware a luglio mentre puliva un sito web. Mettendo la backdoor al microscopio, i ricercatori hanno osservato che veniva fornita “con un commento di apertura dall’aspetto professionale” per mascherarsi da strumento di memorizzazione nella cache, in genere per aiutare a ridurre la pressione sul server, al fine di migliorare i tempi di elaborazione. caricamento delle pagine.

    Strumento di memorizzazione nella cache

    Infatti, “il malware mascherato da Caching Tool ha permesso agli aggressori di accedere al back-end dei siti interessati come amministratori, prendendo così il controllo non solo dei contenuti esposti ma anche degli utenti, cancellando infine le tracce di accesso”, conferma Alessandro Di Liberto: “Si tratta di una strategia di attacco silenzioso che compromette la privacy e la SEO degli utenti, monetizzando illegalmente grazie a contenuti fraudolenti pubblicati all’insaputa del legittimo proprietario del sito.”

    La decisione di imitare questo strumento sembra intenzionale. Infatti garantisce che passi inosservato durante le ispezioni manuali. Inoltre, il plugin dannoso è impostato per autoescludersi dall’elenco dei “plugin attivi” come mezzo per eludere i controlli.

    I dettagli

    Il malware ha le seguenti caratteristiche: creazione di utenti (come ad esempio il “superadmin” con password codificata e permessi di amministrazione, mentre una seconda funzione può rimuovere l’utente per cancellare le tracce dell’infezione); rilevamento dei bot; sostituzione dei contenuti; controllo dei plug-in; invocazione remota.

    Quando identifica i visitatori come bot (ad esempio, crawler dei motori di ricerca), il malware fornisce loro contenuti diversi, come lo spam, inducendoli a indicizzare il sito compromesso alla ricerca di contenuti dannosi. In questo modo, gli amministratori potrebbero notare un improvviso aumento del traffico o segnalazioni di utenti che lamentano di essere reindirizzati a posizioni dannose.

    Il malware può anche alterare il contenuto di post e pagine e inserire collegamenti o pulsanti spam. Gli amministratori del sito Web ricevono contenuti non modificati per ritardare la compromissione.

    Gli operatori di malware possono anche abilitare o disabilitare da remoto plugin WordPress arbitrari sul sito compromesso. Inoltre, cancella le sue tracce dal database del sito, in modo da mantenere nascosta questa attività.

    La backdoor monitora infine le stringhe specifiche dell’agente utente, consentendo agli aggressori di attivare in remoto varie funzioni dannose.

    Come mitigare il rischio di backdoor in WordPress

    “I criminali informatici affinano costantemente le loro tattiche per eludere le misure di sicurezza e compromettere i siti web”, continua Marsico, “i sistemi, le reti aziendali, portando alla luce minacce sempre più avanzate e difficili da rilevare”.

    Defiant ha rilasciato una firma di rilevamento per gli utenti della versione gratuita di Wordfence e ha aggiunto una regola firewall per proteggere gli utenti Premium, Care e Response dalla backdoor. Pertanto, i proprietari di siti Web dovrebbero utilizzare credenziali forti e uniche per gli account amministratore, mantenere aggiornati i plug-in e rimuovere componenti aggiuntivi e utenti inutilizzati.

    “Attacchi come questo malware mascherato da plugin di utilità ci ricordano l’importanza di osservare sempre le migliori pratiche di sicurezza”, avverte il team che gestisce il SOC di Axitea, “dall’uso di password complesse all’impegno di mantenere sempre aggiornate le tecnologie utilizzatesia per un importante sito di eCommerce che per il blog personale di qualsiasi persona”.

    Adotta un Approccio Zero Trust è essenziale. Ma “l’approccio Zero-Trust”, avverte Alessandro Di Liberto, Swascan SOC Analyst, “non devono limitarsi solo agli utenti ma anche ai plug-in che interagiscono con i servizi esposti, il rischio di lasciare una backdoor aperta per potenziali aggressori è molto alto. Avere pieno controllo e consapevolezza di plug-in, autorizzazioni e funzionalità diventa quindi una fondamentale strategia di difesa soprattutto in presenza di integrazioni di terze parti”.

    Il consiglio giusto aiuta

    Affidati ad esperti di sicurezza informatica“, evidenzia Marsico, “che con la loro esperienza e competenza sono in grado non solo di monitorare i sistemi ma di monitorare l’intera evoluzione delle minacce, identificare nuovi pattern di attacco e sviluppare adeguate strategie di protezione, diventa un’esigenza sempre più pressante per le aziende che vogliono proteggere stessi e vogliono proteggere i propri clienti da danni, perdita di dati e compromissioni della sicurezza.

    Infatti “porta sul retro implementato da questi tipi di malware non sono facili da individuare per i non esperti, creando così importanti vulnerabilità che rimangono irrisolte per lungo tempo”, conferma il team SOC di Axitea: “Dall’offuscamento del proprio codice alle tecniche di evasione, come la possibilità di creare e rimuovere a piacimento l’utente amministrativo fittizio ‘superadmin’ o visualizzarlo inalterato contenuto solo ai proprietari di siti Web, il malware moderno sfugge facilmente all’occhio inesperto. Ed è per questo che affidarsi alle attività di Red Teaming supporta l’analisi del proprio stato di sicurezza con un grado di approfondimento maggiore, poiché consente di individuare più facilmente compromissioni di questo tipo e fornire un quadro generale del vostro livello di sicurezza e delle capacità di risposta agli incidenti.”

    @TUTTI I DIRITTI RISERVATI