Blog

La società di sicurezza delle applicazioni web Defiant avverte di vulnerabilità di bypass dell’autenticazione di gravità critica in due plugin di WordPress con decine di migliaia di installazioni.

Il primo difetto di sicurezza, tracciato come CVE-2023-2986 (punteggio CVSS di 9,8/10), colpisce Abandoned Cart Lite per WooCommerce, un plugin che avvisa i clienti che non hanno completato il processo di acquisto e che ha più di 30.000 installazioni attive .

Nella notifica inviata viene fornito all’utente un link che lo fa accedere automaticamente per proseguire l’acquisto e che contiene un valore crittografato che identifica il carrello.

Poiché la chiave di crittografia utilizzata per creare il valore crittografato è codificata nel plug-in e poiché ciascun identificatore del carrello è un numero crescente in sequenza, un utente malintenzionato può utilizzare la chiave di crittografia per creare identificatori dei carrelli di altri utenti.

Un attacco riuscito può essere eseguito solo contro i carrelli abbandonati e probabilmente consentirà a un utente malintenzionato di accedere come utente a livello di cliente. Tuttavia, secondo gli esperti, l’aggressore potrebbe anche accedere ad account di livello amministratore che stanno testando la funzionalità del carrello abbandonato, portando potenzialmente alla compromissione dell’intero sito. un consulto da Defiant.

Il problema è stato risolto in Abandoned Cart Lite per WooCommerce versione 5.15.1, rilasciata il 13 giugno. Basato su WordPress statistichedecine di migliaia di siti web non hanno ancora applicato la correzione.

Martedì anche Defiant ha lanciato l’allarme su una vulnerabilità di gravità critica – CVE-2023-2834 (punteggio di gravità CVSS 9,8/10) – in BookIt, un plugin WordPress con più di 10.000 installazioni attive.

Il plugin fornisce un codice breve per incorporare un calendario di prenotazione di appuntamenti nelle pagine dei siti WordPress, consentendo agli utenti di prenotare appuntamenti fornendo il proprio nome, indirizzo email e password.

A causa di controlli insufficienti dell’input fornito dall’utente al momento della prenotazione degli appuntamenti utilizzando il plug-in, un utente malintenzionato non autenticato può accedere come qualsiasi utente esistente, se conosce l’indirizzo e-mail dell’utente.

Nello specifico, il plugin verifica l’ID utente in base all’indirizzo email fornito e, se quell’email appartiene a un account utente esistente, associa la richiesta a quell’account e imposta per esso i cookie di autenticazione, senza eseguire la verifica della password. “La vulnerabilità consente a un utente malintenzionato di accedere a qualsiasi account sul sito, incluso l’account amministratore, se conosce il suo indirizzo e-mail”, ha aggiunto Defiant.

Il difetto è stato corretto nella versione 2.3.8 di BookIt, il 13 giugno. WordPress statistiche mostrano che migliaia di siti web utilizzano ancora una versione vulnerabile del plugin.

Imparentato: Milioni di siti WordPress corretti contro i difetti critici del Jetpack

Imparentato: 1 milione di siti WordPress colpiti da bug del plug-in sfruttati

Imparentato: Un difetto critico nei pagamenti WooCommerce porta al controllo del sito

Grazie alla continua crescita del negozio di plugin ChatGPT, ci sono sempre nuovi modi per utilizzare ChatGPT e l’intelligenza artificiale al lavoro.

Ma come ottenere il massimo da ciascun plugin ChatGPT?

Con oltre 550 tra cui scegliere, può essere difficile farsi un’idea reale dei vantaggi di ciascun plugin dalla sua descrizione di 100 caratteri nello store dei plugin.

Fortunatamente possiamo aiutare.

Ecco come utilizzare i plug-in ChatGPT più recenti per attività legate al lavoro e altro ancora, dalla selezione di quello giusto al fatto che ChatGPT ti dica come utilizzarlo in modo efficace.

Accedi allo store dei plugin ChatGPT

Solo gli abbonati ChatGPT Plus hanno accesso ai plugin GPT-4.

Puoi trovare lo store dei plug-in ChatGPT tramite Plugin (Beta) in GPT-4.

Cerca plugin ChatGPT per parola chiave

Fino a quando OpenAI non classificherà lo store dei plugin, ci sono due modi per trovare nuovi plugin da provare. Puoi sfogliare tutti i plugin ChatGPT, nuovi e popolari.

Oppure puoi utilizzare la ricerca per trovare plugin per parola chiave.

Tieni presente che i risultati della ricerca restituiscono solo plugin con la parola chiave esatta nel nome o nella descrizione del plugin. I plugin con nomi o funzionalità simili non sono inclusi.

Se non riesci a trovare un plug-in, prova a cercare parole chiave o tipi di funzionalità correlati. È probabile che lì dentro ci sia qualcosa con le capacità di cui hai bisogno.

Installa i plugin ChatGPT

Puoi installare uno o più plugin facendo clic sul pulsante Installa accanto a ciascuno. Sebbene ChatGPT ti limiti a utilizzare un massimo di tre plug-in per chat, puoi installare tutti i plug-in che desideri.

Quando fai clic su Installa, potrebbero accadere due cose. Il plug-in può essere installato immediatamente oppure potresti essere reindirizzato a un sito Web di terze parti per creare un account per utilizzare il servizio di terze parti insieme a ChatGPT.

L’app Reflect Notes, ad esempio, ti reindirizza per creare un account e ti chiede di autorizzare ChatGPT con il tuo account.

Una volta installata e connessa l’app a tutti gli account di terze parti necessari, puoi utilizzare il plug-in in ChatGPT.

Mentre OpenAI esamina i plugin per un utilizzo che va contro il suo politiche di utilizzospetta a te ricercare plug-in ChatGPT di terze parti come faresti con plug-in WordPress o estensioni di Chrome prima di consentire loro l’accesso ai tuoi dati o alla tua carta di credito.

Una rapida ricerca sul Web per la maggior parte dei plug-in risulterà in un sito Web ufficiale, menzioni nei media o elenchi di directory con maggiori dettagli.

Chiedi indicazioni a ChatGPT

Se non sei sicuro di cosa fare con il tuo nuovo plug-in ChatGPT, puoi chiedergli suggerimenti. Inizia abilitando il plugin in una nuova chat con un segno di spunta.

Una volta abilitato il plug-in, chiedi a ChatGPT indicazioni sui passaggi successivi.

Puoi informarti sull’utilizzo del plug-in o chiedere consigli su come utilizzarlo per un’attività particolare, ampia o specifica.

Scopri i suggerimenti più efficaci

Oltre a chiedere istruzioni su come utilizzare il plug-in, puoi anche chiedere quali istruzioni utilizzare per il plug-in e l’attività da svolgere.

Nell’esempio seguente, sono passato al plug-in SEO Assistant e ho chiesto i suggerimenti migliori da utilizzare con esso.

ChatGPT condivide la descrizione del plugin in questo caso, seguita da istruzioni incentrate principalmente su ricerca di parole chiave.

Scopri quale plugin abilitato è più adatto all’attività

Se trovi alcuni plugin con funzionalità simili, puoi abilitarne fino a tre e chiedere a ChatGPT quale sarà il migliore per il tuo compito.

Riconosci quando ChatGPT è confuso

È importante sapere con cosa stai lavorando abbastanza bene da sapere quando è ChatGPT Allucinante o commettere errori logici, come affermazioni che sembrano vere ma in realtà sono false.

In questo esempio, ChatGPT dimentica di avere dei plugin e inizia a crearne alcuni che ritiene dovrebbero basarsi sui plugin di WordPress.

Nessuno dei seguenti è plugin ChatGPT.

Lascia che ChatGPT sperimenti per determinare il miglior plugin

Quando abiliti tre plugin con funzionalità simili, ChatGPT sceglierà quello che si adatta meglio alla tua richiesta particolare.

Nell’esempio seguente, chiedo a analisi dei concorrenti del sito web di OpenAI. Ha provato due dei tre plugin SEO abilitati per creare la risposta migliore.

Scopri come i plugin ChatGPT richiedono una risposta

In che modo ChatGPT ha ottenuto la risposta al tuo input?

Con i plugin, a volte puoi scoprirlo espandendo il menu a discesa mentre il plugin sta lavorando per soddisfare la tua richiesta.

In questo esempio, VoxScript ha utilizzato i risultati di ricerca di DuckDuckGo per cercare la risposta alla mia domanda, ma alla fine fallito dopo due tentativi.

Riformula la tua richiesta

È interessante notare che il plugin utilizzato nell’esempio sopra ha risposto a una domanda simile in a chiacchierata precedente utilizzando diverse fonti dai risultati di ricerca di DuckDuckGo.

È un promemoria essenziale che potrebbe essere necessario riformula la tua richiesta a ChatGPT e qualsiasi plugin abilitato più di una volta per ottenere le informazioni desiderate.

Apportare anche la minima modifica al tuo prompt può essere il fattore determinante per ricevere una risposta preziosa piuttosto che una risposta imprecisa, incompleta o inutile.

Utilizza i plugin ChatGPT su iPhone o Android

Sfortunatamente, i plugin ChatGPT non sono ancora disponibili sul sito ufficiale Applicazione iOS. Ma puoi accedere ai plugin ChatGPT utilizzando un browser mobile, come Google Chrome, dall’app o dal Play Store.

Come mostrato nell’esempio sopra, utilizzando l’app Link Reader per navigare sul Web, un lungo elenco di suggerimenti motivazionali richiede ulteriori suggerimenti per completare l’elenco con il numero corretto di elementi e fonti per ciascun consiglio.

Prestazioni impressionanti con margini di miglioramento

Lo store dei plugin ChatGPT offre molte opzioni per arricchire le funzionalità di ChatGPT, in particolare per ChatGPT Plus iscritti.

Con oltre 550 plugin disponibili, gli utenti possono migliorare la propria esperienza ChatGPT installandoli e utilizzandoli in modo efficiente.

Tuttavia, a causa delle attuali limitazioni nella funzione di ricerca all’interno del negozio, gli utenti sono incoraggiati a svolgere ulteriori ricerche e ad affidarsi a fonti esterne per ottenere informazioni dettagliate sulle funzionalità e sulla sicurezza dei plugin.

Una volta installato, ChatGPT a volte può guidare gli utenti nell’utilizzo efficace dei plug-in, fornendo anche suggerimenti e suggerimenti su come utilizzare il plug-in per attività specifiche.

Tuttavia, occasionalmente possono verificarsi errori perché queste funzionalità sono ancora presenti Beta.

Sebbene il supporto delle applicazioni mobili sia ancora in fase di sviluppo, i browser mobili forniscono una strada alternativa per l’utilizzo dei plug-in ChatGPT su più dispositivi.

Gli utenti sono incoraggiati a esplorare e sperimentare diversi plugin per consentire a ChatGPT di farlo cercare in rete e creare risposte precise e preziose.

---

Immagine in primo piano: Ascannio/Shutterstock

Più di 200.000 siti Web WordPress sono esposti ad attacchi continui che mirano a una vulnerabilità critica nel plug-in Ultimate Member.

Progettato per facilitare la registrazione e l’accesso degli utenti ai siti, il plug-in consente ai proprietari dei siti di aggiungere profili utente, definire ruoli, creare campi modulo personalizzati e directory dei membri e altro ancora.

Classificato come CVE-2023-3460 (punteggio CVSS di 9,8), il difetto di sicurezza recentemente identificato in Ultimate Member consente agli aggressori di aggiungere un nuovo account utente al gruppo degli amministratori.

Alcuni utenti del plugin hanno osservato la creazione di account non autorizzati e li hanno segnalati questa settimana, ma sembra che gli attacchi siano continuati almeno dall’inizio di giugno.

Secondo la società di sicurezza WordPress WPScanil problema è radicato in un conflitto tra la logica della blocklist del plugin e il modo in cui WordPress tratta le chiavi dei metadati.

Ultimate Member utilizza liste di blocco per archiviare chiavi di metadati che gli utenti non devono manipolare e controlla queste liste ogni volta che gli utenti tentano di registrare queste chiavi durante la creazione di account.

A causa della differenza di funzionamento tra il plugin e WordPress, gli aggressori sono riusciti a indurre il plugin ad aggiornare le chiavi dei metadati, inclusa quella che memorizza il ruolo e le capacità dell’utente, spiega WPScan. L’azienda fornisce indicatori di compromissione (IoC) associati agli attacchi osservati.

Ciò ha consentito agli aggressori di registrare account utente con il ruolo di amministratore e almeno due proprietari di siti lo hanno fatto osservato E segnalato l’attività sospetta.

I manutentori del plugin, che descrivono il problema come un bug di escalation dei privilegi, hanno tentato di risolverlo nelle ultime due versioni di Ultimate Member, ma secondo quanto riferito non sono riusciti a risolverlo completamente. Tuttavia, loro ha riconosciuto lo sfruttamento in natura in corso.

Si consiglia ai proprietari dei siti di disabilitare Ultimate Member per impedire lo sfruttamento della vulnerabilità. Dovrebbero anche controllare tutti i ruoli di amministratore sui loro siti, per identificare gli account non autorizzati.

Imparentato: Le vulnerabilità critiche dei plugin WordPress influiscono su migliaia di siti

Imparentato: Milioni di siti WordPress corretti contro la vulnerabilità critica del Jetpack

Imparentato: Vulnerabilità del plug-in Field Builder di WordPress sfruttata negli attacchi due giorni dopo la patch

Una nuova era è iniziata per il Plugin Review Team di WordPress.org. Mika Epstein, in carica negli ultimi dieci anni, si dimetterà, ma non prima lanciare un nuovo equipaggio di volontari.

Il team è responsabile dell’approvazione dei plugin appena inviati, del mantenimento del Manuale del revisore dei plugin e dell’investigazione di eventuali problemi di sicurezza segnalati e violazioni delle linee guida.

Storicamente, il team di Plugin Review ha avuto un turnover minimo, ma un nuovo gruppo di sei volontari sponsorizzati contribuirà con circa 50+ ore settimanali. I nuovi membri includono Davide Perez, Evan Hermann, Francesco Torres, Luca Carbis, Marta TorreE Paco Marchante. I loro sforzi sono già richiesti mentre lavorano per affrontare un grande arretrato di plugin.

“Data la natura del lavoro svolto dal team, unirsi a questo team è leggermente diverso rispetto ad alcuni degli altri: ogni nuovo membro passerà attraverso un processo di valutazione da parte degli attuali membri del team prima di essere selezionato”, ha affermato Epstein. “Alcune delle cose che il team sta cercando sono: una solida esperienza come sviluppatore di plugin; la capacità di comunicare in modo chiaro, gentile e costruttivo, sia con altri sviluppatori che con utenti; interesse a migliorare strumenti e processi; ed eccellenti capacità di collaborazione e di gestione dei conflitti.

Epstein sta incoraggiando più volontari a candidarsi, se hanno almeno cinque ore settimanali da dedicare al team, poiché potrebbero ancora aver bisogno di più aiuto. I potenziali membri del team possono presentare una domandache sarà valutato dagli attuali membri del team. Ai candidati verrà richiesto di inviare esempi di plugin che hanno codificato per dimostrare la propria esperienza, fornire riferimenti e dettagliare alcuni dei loro contributi al progetto.

OpenAI ha annunciato l’ultima versione di ChatGPT, inclusa l’implementazione beta della navigazione web e oltre 200 plugin per gli utenti ChatGPT Plus.

Questa versione spinge la piattaforma di intelligenza artificiale a nuovi livelli, trasformando le attività che gli utenti possono svolgere con ChatGPT.

Dall’intrattenimento allo shopping fino alla ricerca di lavoro e alle previsioni del tempo, queste funzionalità sperimentali sono destinate a rivoluzionare l’esperienza dell’utente, apportando una vasta gamma di possibilità alla tua interfaccia di chat.

Mentre entriamo in questa nuova era di interazione web basata sull’intelligenza artificiale, approfondiamo cosa significa per gli utenti ChatGPT.

Optazione per le funzionalità sperimentali di ChatGPT

Gli utenti di ChatGPT Plus dovrebbero avere accesso alla fase beta di oltre 200 plugin e alla navigazione web nell’ultima versione di ChatGPT.

L’accesso anticipato alle funzionalità sperimentali è disponibile nelle impostazioni utente di ChatGPT Plus nel pannello delle funzionalità beta.

Se le funzionalità beta sono abilitate, dovresti vedere l’aspetto aggiornato quando accedi a ChatGPT 24 maggio versione. Plugin, navigazione con Bing e interprete di codice sono disponibili in GPT-4.

Oltre 200 plugin ChatGPT

Con oltre 200 selezioni nel negozio di plug-in, gli utenti possono utilizzare Plugin ChatGPT per lavoro intrattenimento, miglioramenti domestici, investimenti, ricerche di lavoro, marketing, generazione di messaggi, acquisti, tutoraggio, meteo e altro ancora.

Plugin ChatGPT per il marketing

Di seguito sono riportati alcuni plugin che gli esperti di marketing potrebbero trovare utili.

1. Bramework: identifica parole chiave, crea brief di contenuto, conduci valutazioni SEO ed estrai dati SEO.
2. ChatSpot: ottieni l’accesso ai dati di marketing e di vendita, comprese le specifiche del dominio, la ricerca aziendale e la ricerca sulle parole chiave di ricerca.
3. Annunci PPC della concorrenza: scopri gli annunci PPC di maggior successo dei tuoi concorrenti semplicemente inserendo gli URL dei loro siti web.
4. Daigr.am: facilita la creazione di grafici, diagrammi e altro ancora.
5. Domains Bot: valuta la disponibilità di nomi di dominio specifici. Cerca il tuo nome di dominio preferito.
6. Editor di immagini: consente un editing fluido delle immagini con funzionalità quali ridimensionamento, ritaglio, sfocatura e altro ancora.
7. SEO: fornisci un URL e una parola chiave per un’analisi e approfondimenti SEO on-page.
8. Assistente SEO: genera informazioni sulle parole chiave del motore di ricerca per assistere nella creazione di contenuti con l’Assistente SEO.
9. SEO CORE AI – Migliora la SEO del sito web utilizzando l’intelligenza artificiale. Ottieni informazioni dettagliate su siti Web, parole chiave e concorrenti.
10. SEO.app – Scopri SEO.app, il tuo assistente SEO personale, per un content marketing efficace.
11. Shownotes: converti lunghi podcast in brevi riassunti, trova informazioni specifiche, evidenzia punti chiave e scopri nuovi episodi.
12. Marketing veloce: potenzia il tuo negozio Shopify, il tuo sito di e-commerce o qualsiasi attività commerciale con uno strumento di marketing che genera blog SEO e contenuti sui social media.
13. Upskillr: ricevi curriculum personalizzati, programmi di lezioni e supporto per il miglioramento delle competenze su qualsiasi argomento, per gentile concessione di Upskillr, fornito da Shorthills Tech.
14. Video in evidenza: sfoglia, studia e interagisci con i video di YouTube e i contenuti video personali.
15. Approfondimenti video: interagisci con piattaforme video online, come YouTube e Daily Motion.
16. WebPilot: pagina Web/PDF/dati per la revisione e il QA. Genera articoli da uno o più URL.
17. Prestazioni del sito web: valuta le statistiche vitali sul tuo sito web, tra cui prestazioni, accessibilità, best practice, SEO e app Web progressive (PWA).
18. Whois Domain Checker: questa app Whois esegue l’operazione Whois per un elenco di nomi di dominio separati da spazi.
19. Sìì! Moduli: facilita la creazione di moduli, sondaggi, quiz o questionari basati sull’intelligenza artificiale utilizzando Yay! Forme.
20. Zapier: interagisci con oltre 5.000 applicazioni come Fogli Google, Gmail, HubSpot, Salesforce e molte altre.

Abilitazione dei plugin ChatGPT per l’uso

Anche con l’ampia selezione di plugin, puoi abilitarne solo tre per una chat.

Testare i plugin ChatGPT

Dato che stavo cercando un modo per utilizzare l’intelligenza artificiale per analizzare i PDF, ero entusiasta di provare un plug-in PDF. Sfortunatamente ha ancora bisogno di un po’ di lavoro.

Il plugin Zillow ha scoperto le case che più probabilmente soddisfacevano le mie esigenze, anche se non è riuscito a trovare nulla che corrispondesse esattamente.

Lo dimostra Plugin ChatGPT hanno il potenziale per cambiare il modo in cui facciamo molte cose online.

Navigazione Web con Bing

Nella fase beta, la navigazione web e i plugin dovrebbero sapere quando e come utilizzare tali funzionalità per rispondere alla richiesta dell’utente.

Ad esempio, quando chiedo a ChatGPT le principali notizie di oggi su un argomento specifico, la navigazione web sa di andare direttamente al web.

In questo test, la navigazione web con Bing si è concentrata principalmente sulle notizie provenienti da un’unica fonte.

Fasi chiave per il rilascio di nuove funzionalità

Oltre alle note sulla versione, OpenAI ha recentemente spiegato le fasi chiave del rilascio di nuove funzionalità per ChatGPT.

La prima fase consente a un piccolo gruppo di utenti di testare le nuove funzionalità (alpha), seguita da una seconda fase di utenti ChatGPT Plus che hanno aderito alle nuove funzionalità (beta), che termina con la disponibilità generale.

Le fasi Alpha e Beta consentono a OpenAI di raccogliere il feedback degli utenti per migliorare l’esperienza dell’utente, aumentare la stabilità e incontrarsi standard di qualità prima di un rilascio generale.

In qualità di utente in fase alpha o beta, puoi definire l’efficacia e l’accuratezza delle nuove funzionalità fornendo feedback sulle opzioni fornite.

Creazione di plugin ChatGPT

Gli sviluppatori che desiderano creare plug-in ChatGPT possono aderire a lista d’attesa dei plugin.

Una volta approvato, OpenAI documentazione ti guiderà attraverso la creazione di un plugin come quelli di Instacart, Expedia, KAYAK e altri marchi.

Le grandi aziende tecnologiche combattono per il dominio dell’intelligenza artificiale

La nuova versione di ChatGPT di OpenAI arriva dopo l’espansione di Google Bardo a livello globale e Microsoft ha annunciato la prossima generazione di Bing AI caratteristiche.

Aggiornato il 1 giugno 2023

---

Immagine in primo piano: Ascannio/Shutterstock

Mike McAlister, creatore del tema Ollie gratuitoeliminerà le innovative funzionalità di onboarding dal tema per inserirle successivamente in un plug-in separato affrontare resistenze durante la revisione per l’inclusione nella directory dei temi di WordPress.org.

Durante quello che McAlister descrisse come un periodo “inutilmente controverso” processo di revisione che in certi punti si è rivelato improduttivo e combattivo, e dove anche lui è diventato il bersaglio dei sottotitoli da un revisore dissenziente, il suo team ha deciso che non era il momento giusto per procedere con l’approvazione dell’intera esperienza come originariamente previsto.

McAlister ha pubblicato la sua decisione sul canale Slack di WordPress Theme Review:

Rinunceremo a inserire la funzionalità di onboarding nel tema Ollie per .org.

Anche se apprezziamo la flessibilità e l’apertura mentale nel considerare un’eccezione, alla fine sembra che potrebbe non essere il momento giusto per la directory.

Forse in futuro la directory avrà un percorso più definito per esperimenti come questo, ma in questo momento ha il potenziale per essere un peso per i revisori e gli altri sviluppatori di temi. Per non parlare di una discussione molto vivace (e talvolta inutilmente controversa) che distrae dall’eccitazione e dalla positività attorno ai temi dei blocchi e all’Ollie. Non lo vogliamo! È un’enorme quantità di energia che potremmo utilizzare per realizzare qualcosa di simile un giorno.

Fino ad allora, stiamo cercando di capire quali saranno i prossimi passi, ma sembra che continueremo con Ollie nella directory (senza onboarding) mentre scopriamo come fornire l’esperienza di onboarding tramite un meccanismo di plugin.

La decisione di McAlister arriva come una sorpresa dopo aver ricevuto il via libera dal leader del progetto WordPress Matt Mullenweg, che ha incoraggiato l’approvazione di Ollie come esperimento, e dal direttore esecutivo di WordPress Josepha Haden Chomphosy, che ha tentato di incoraggiare McAlister a dare una possibilità all’esperimento. Ha anche trovato il sostegno di diversi membri lungimiranti del team di Themes e di gran parte della comunità più ampia.

Le regole si basano su dati precedenti, quando emerge qualcosa di nuovo o nuovo che risuona con gli utenti, dovremmo essere disposti a provare qualcos’altro, anche l’opposto di quello che abbiamo fatto prima, per prendere una nuova decisione. Va bene consentire a 1-3 temi come questo di passare e osservare.

— Matt Mullenweg (@photomatt) 29 settembre 2023

“Non sarei un buon amministratore della nostra comunità di utenti se non suggerissi che inserire tutto nel repository in modo che sia facile da trovare e utilizzare sia la migliore esperienza per loro”, ha detto Chomphosy.

“C’è qualche rischio nell’aggiungerlo così com’è al pronti contro termine. Ma il potenziale rialzo, credo, è piuttosto sostanziale.

“Se non vogliamo includerlo perché temiamo che in futuro non avremo le competenze per recensirne di più, allora non è esattamente un problema del tema. Questo è qualcosa per cui dovremmo attrezzare i nostri revisori per il futuro nel miglior modo possibile.”

Ha anche suggerito un’altra opzione in cui il tema avanza senza rimuovere l’onboarding mentre i contributori lavorano sul core di WordPress creando uno standard per fornire migliori esperienze di onboarding.

“Inseriamo il tema (incluso l’onboarding) e parallelamente avviamo un processo di plug-in delle funzionalità per spostare l’onboarding in modo che sia Core-first”, ha affermato Chomphosy.

«È audace, me ne rendo conto. Ma ho anche detto all’intera comunità di hosting del Cloudfest che se volevano fare una cosa per aiutare WP ad avere successo, era “un migliore onboarding” e se volevano fare due cose, la seconda era “il momento migliore per il lancio”.

Inserire la soluzione di onboarding in un plugin ridurrebbe l’onere di manutenzione a lungo termine e creerebbe un minor rischio di fallimento del tema, come ha spiegato Rich Tabor, creatore della procedura guidata di onboarding dei temi Merlin WP. sostienema nessuno sa quanto tempo passerà prima che il core possa offrire una soluzione standard. A quel punto WordPress potrebbe aver perso molte opportunità per integrare senza problemi più utenti di temi a blocchi.

Il suggerimento di Chomphosy di andare avanti con l’esperimento nel tema mentre si lavora contemporaneamente su una soluzione principale consente agli autori del tema di utilizzare ruote di formazione per mantenere lo slancio dell’adozione del tema a blocchi fino a quando non sarà disponibile una soluzione migliore e più elegante nel nucleo.

L’approvazione pubblica della leadership di WordPress è stata fondamentale in questo caso, dopo l’esperienza poco accogliente che McAlister ha avuto nel tentativo di ottenere l’approvazione del suo tema gratuito per la directory. Ha citato altri fattori riguardanti la percezione negativa che hanno influenzato la sua decisione.

“C’è molta pressione, sottile e non così sottile, da parte di alcune persone ad alta visibilità che ritengono fortemente che questo non dovrebbe essere in un tema”, ha detto McAlister. “E non voglio che queste relazioni si deteriorino a causa di come potrebbe andare a finire.”

McAlister ha affermato di essere ancora interessato a portare l’esperienza di onboarding su WordPress.org come plugin, dove potrà essere studiata e sperimentata, ma non è sicuro di quanto presto ciò potrà accadere dati i lunghi ritardi nelle revisioni dei plugin. La coda attuale ha 1.247 plugin in attesa di revisione, con un tempo di attesa per una revisione iniziale di oltre 103 giorni.

Recensioni di temi in evoluzione: WordPress.org deve smettere di alienare gli innovatori mentre l’adozione dei temi a blocchi è stagnante

Sebbene la leadership di WordPress si sia affrettata a rispondere a sostegno della sperimentazione, i revisori recalcitranti dei plugin, aggrappati a regole antiquate scritte per i temi classici, avevano già allontanato l’innovazione di Ollie con la loro accoglienza fredda e ostile.

Mullenweg ha storicamente comunicato il suo sostegno alla sperimentazione dei temi in più occasioni, incoraggiando gli sviluppatori a fare cose nuove con WordPress che potrebbero non rientrare nelle linee guida. Nel 2015 è arrivato al punto di Dire“Sono assolutamente d’accordo con l’idea di avere qualcosa nella directory che infrange ogni linea guida, purché sia ​​interessante.”

Pochi mesi dopo, nel 2015, lui ha raccomandato il team di revisione “prova a pensarla come un’apertura più generale a cose interessanti che potrebbero non adattarsi alle linee guida ma sono nuove e meritano l’inclusione nella nostra directory.”

A quel tempo, Mullenweg incoraggiò il team a fare un passo indietro ed esaminare il processo di invio e la directory in un modo nuovo che incoraggiasse la creatività tra gli autori di temi con meno linee guida e restrizioni.

Un cambiamento culturale fondamentale è necessario per questa squadra ed è atteso da tempo. Dovrebbe essere una questione urgente a questo punto, visto il tono dei revisori La multa di Ollie. Le revisioni tematiche dovrebbero tendere maggiormente a favorire gli innovatori invece che a preservare processi familiari. La risposta agli autori di temi che provano cose nuove dovrebbe essere amichevole e utile, soprattutto quando queste nuove cose possono avvantaggiare notevolmente gli utenti. Il processo non dovrebbe essere gravoso per i creatori che cercano di offrire il proprio lavoro gratuitamente.

“Come ho accennato in precedenza nel thread, un’altra nota importante è che la nostra visione dell’onboarding, ovvero alcune delle funzionalità che le persone apprezzavano, sono state rimosse durante questo lungo processo di revisione”, ha affermato McAlister. “Quindi, anche se fosse operativo oggi, non raggiungerebbe il suo massimo potenziale così com’è. E se iniziassimo ad aggiungere alcune di queste funzionalità, sento che saremmo impantanati in più avanti e indietro.”

Questa situazione dovrebbe essere un campanello d’allarme per il team di revisione, poiché i migliori creatori di prodotti WordPress stanno osservando come andrà a finire quando considerano dove distribuire il loro lavoro migliore.

Un recente foglio di calcolo creato dal proprietario dell’agenzia digitale con sede a Monaco Hendrik Luehrsen tiene traccia dell’utilizzo dei temi con il tag FSE. Ciò dimostra che l’adozione dei temi a blocchi di WordPress è stagnante, se non in completo declino. Nel settembre 2023, il numero totale di installazioni attive per i temi a blocchi è diminuito per la prima volta da quando Luehrsen ha iniziato a monitorare. Anche le installazioni medie per tema stanno diminuendo lentamente e costantemente. Ciò potrebbe essere correlato alla crescita del numero di temi FSE disponibili, poiché le installazioni attive sarebbero presumibilmente distribuite su più temi, ma il numero di temi FSE sta crescendo a un ritmo glaciale.

“Direi che è troppo presto per ipotizzare un declino definitivo”, ha detto Luehrsen. “Ma sicuramente non stiamo aumentando l’utilizzo del FSE.”

“Dopo aver tenuto numerosi corsi di formazione sui temi dei blocchi, non sono affatto sorpreso”, ha affermato Jamie Marsland, fondatore di Pootlepress. disse. “Finché i temi a blocchi non diventeranno più facili da usare per i principianti, suppongo che i numeri non cambieranno in modo significativo. Il team di sviluppo dovrebbe provare a organizzare un corso di formazione e vedere di persona.”

Marsland di recente intervistato McAlister, discutendo alcune delle ragioni della lenta adozione dei temi a blocchi. La loro adozione è ostacolata dalla mancanza di un marketing efficace per le loro funzionalità innovative, nonché dalle complessità legate alla creazione di un tema a blocchi che supporti pienamente tutto ciò che un utente può immaginare di fare con l’editor a blocchi. McAlister ha sottolineato la necessità di creare esperienze più user-friendly e l’importanza dell’onboarding e di una migliore formazione per coloro che utilizzano e realizzano temi a blocchi.

“Non sto scherzando quando dico che è nell’interesse di tutti iniziare a garantire che la situazione migliori presto”, Joost de Valk disse in risposta agli ultimi dati del foglio di calcolo che monitora l’utilizzo di FSE. “WP rischia di perdere quote di mercato se non miglioriamo presto.”

Con i temi a blocchi che faticano a ottenere adozione, WordPress dovrebbe fare tutto il possibile per abilitare qualsiasi tema a blocchi che migliori l’esperienza dell’utente, soprattutto in assenza di una soluzione principale per l’onboarding. È importante ricordare che quando vengono rilasciate le versioni principali di WordPress, le uniche persone che possono sfruttare le funzionalità dell’editor più recenti e migliori sono quelle i cui siti utilizzano un tema a blocchi. Dopo tre anni, le installazioni di temi a blocchi di WordPress.org rappresentano solo 1,7 milioni di siti su una stima 810 milioni.

“Essendo qualcuno che ha cercato fin dall’inizio di far adottare i temi a blocchi da un pubblico più ampio, ritengo che l’onboarding/il passaggio ai temi a blocchi sia ancora un grosso ostacolo per gli utenti”, la co-creatrice di ElmaStudio Ellen Baer disse nella conversazione nel canale Slack di Theme Review.

“Personalmente mi piacerebbe vedere una soluzione di base, un modo standardizzato con cui tutti gli utenti dei temi a blocchi possano familiarizzare. Sfortunatamente, durante la creazione dell’esperienza dell’editor del sito, questo punto è mancato e gli autori di temi di blocco vedono l’utente che ha difficoltà a iniziare.

“Mi dispiace un po’ che un’innovazione positiva che aiuta a bloccare i temi e a dare più slancio all’editor del sito (che è quello di cui abbiamo davvero bisogno) venga trascinata in una discussione che almeno dall’esterno sembrava non produttiva e positiva a volte.”

Il tentativo di McAlister di migliorare l’esperienza di onboarding degli utenti dei temi WordPress.org non ha avuto successo, ma ha inavvertitamente evidenziato alcune aree in cui la cultura e il processo attorno alle revisioni dei temi sono rimasti stagnanti e sono diventati controproducenti. Questo fallimento ha fatto luce sulla necessità di un approccio più dinamico e incentrato sull’utente, nonché di una rivalutazione delle attuali linee guida dalle quali il team sembra essere bizzarramente e inestricabilmente legato nonostante anni di incoraggiamento alla sperimentazione.

“C’è un profondo, profondo desiderio di evoluzione della directory dei temi”, ha detto McAlister. “Penso che lo abbiamo sempre saputo, ma dopo aver sfogliato settimane di commenti, mi è chiaro che lo abbiamo trascurato per troppo tempo. Le pagine dei temi dovrebbero essere buone almeno quanto le pagine dei plugin, le demo dei temi non vendono il valore dei temi, ecc.

“L’approccio intransigente e gli echi di dibattiti esoterici di lunga data hanno bisogno di essere allentati. Gli utenti in gran parte non si preoccupano del dibattito tra tema e plug-in, vogliono progettare e pubblicare più velocemente. Questo non vuol dire che buttiamo via queste cose, ma dobbiamo chiederci se stanno servendo gli utenti di WordPress nel modo in cui pensiamo che siano.”

Se gestisci un sito WordPress con il file Membri definitivi plugin installato, assicurati di averlo aggiornato alla versione più recente.

Durante il fine settimana, il creatore del plugin ha pubblicato la versione 2.6.7che dovrebbe correggere una grave falla di sicurezza, descritta dall’utente @softwaregeek sul sito di supporto di WordPress come segue:

Una vulnerabilità critica nel plugin (CVE-2023-3460) consente a un utente malintenzionato non autenticato di registrarsi come amministratore e assumere il pieno controllo del sito web. Il problema si verifica con il modulo di registrazione del plugin. In questa maschera sembra possibile modificare alcuni valori per l’account da registrare. Ciò include il wp_capabilities valore, che determina il ruolo dell’utente sul sito web.

Il plugin non consente agli utenti di inserire questo valore, ma questo filtro risulta essere facile da aggirare, rendendo possibile la modifica wp_capabilities e diventa amministratore.

In altre parole, quando creano o gestiscono i propri account online, il modulo web lato client presentato agli utenti non consente loro ufficialmente di dotarsi di superpoteri.

Ma il software back-end non rileva e blocca in modo affidabile gli utenti non autorizzati che inviano deliberatamente richieste improprie.

Il plugin promette “facilità assoluta”

IL Software per membri definitivi ha lo scopo di aiutare i siti WordPress a offrire vari livelli di accesso utente, elencandosi come il “miglior profilo utente e plugin di iscrizione per WordPress”e nel suo trafiletto pubblicitario si presenta come:

Il plugin numero 1 per profili utente e iscrizioni per WordPress. Il plugin rende semplicissimo per gli utenti registrarsi e diventare membri del tuo sito web. Il plug-in ti consente di aggiungere bellissimi profili utente al tuo sito ed è perfetto per creare comunità online avanzate e siti di appartenenza. Leggero e altamente estensibile, Ultimate Member ti consentirà di creare quasi ogni tipo di sito a cui gli utenti possono iscriversi e diventare membri con assoluta facilità.

Sfortunatamente, i programmatori non sembrano molto fiduciosi nella propria capacità di abbinare la “facilità assoluta” di utilizzo del plugin con una forte sicurezza.

In un risposta ufficiale al rapporto sulla sicurezza di cui sopra di @softwaregeek, la società ha descritto il suo processo di correzione dei bug in questo modo [quoted text sic]:

Stiamo lavorando alle correzioni relative a questa vulnerabilità dalla versione 2.6.3 quando riceviamo un rapporto da uno dei nostri clienti. Le versioni 2.6.4, 2.6.5, 2.6.6 chiudono parzialmente questa vulnerabilità ma stiamo ancora lavorando insieme al team WPScan per ottenere il miglior risultato. Riceviamo anche il loro rapporto con tutti i dettagli necessari.

Tutte le versioni precedenti sono vulnerabili, quindi ti consigliamo vivamente di aggiornare i tuoi siti Web alla 2.6.6 e di mantenere gli aggiornamenti in futuro per ottenere i recenti miglioramenti della sicurezza e delle funzionalità.

Stiamo attualmente lavorando per risolvere un problema rimanente e rilasceremo un ulteriore aggiornamento il prima possibile.

Bug in molti posti

Se fossi in servizio di sicurezza informatica durante il famigerato Vulnerabilità Log4Shell durante le vacanze di Natale, alla fine del 2021, saprai che alcuni tipi di bug di programmazione finiscono per necessitare di patch che necessitano di patch e così via.

---

---

Ad esempio, se si verifica un overflow del buffer in un singolo punto del codice in cui hai inavvertitamente riservato 28 byte di memoria ma intendevi digitarne sempre 128, correggere quel numero errato sarebbe sufficiente per correggere il bug in una volta sola.

Ora, tuttavia, immagina che il bug non fosse dovuto a un errore di battitura in un solo punto del codice, ma che fosse causato dal presupposto che 28 byte fosse la dimensione del buffer corretta in ogni momento e in ogni luogo.

Tu e il tuo team di codifica potreste aver ripetuto il bug in altri punti del software, quindi è necessario prepararsi per una sessione prolungata di ricerca dei bug.

In questo modo, puoi pubblicare tempestivamente e in modo proattivo ulteriori patch se trovi altri bug causati dallo stesso errore o da un errore simile. (I bug sono generalmente più facili da trovare una volta che sai cosa cercare in primo luogo.)

Nel caso Log4J, gli aggressori hanno anche iniziato a setacciare il codice, sperando di trovare errori di codifica correlati altrove nel codice prima che lo facessero i programmatori Log4J.

Fortunatamente, il team di programmazione Log4J non solo rivisto il proprio codice per correggere i bug correlati in modo proattivo, ma hanno anche tenuto gli occhi aperti per nuovi exploit proof-of-concept.

Alcune nuove vulnerabilità sono state rivelate pubblicamente da eccitati cacciatori di bug che apparentemente preferivano la fama istantanea su Internet alla forma più sobria di riconoscimento ritardato che avrebbero ottenuto rivelando il bug in modo responsabile ai programmatori Log4J.

Abbiamo visto una situazione simile nella recente vulnerabilità di iniezione del comando MOVEit, in cui i membri del gruppo di ransomware Clop hanno trovato e sfruttato un bug zero-day nel front-end basato sul web di MOVEit, consentendo ai truffatori di rubare dati aziendali sensibili e quindi tentare di ricattare le vittime inducendole a pagare “soldi del silenzio”.

Progress Software, creatore di MOVEit, ha rapidamente corretto lo zero-day, quindi ha pubblicato un file seconda toppa dopo aver trovato bug correlati in una propria sessione di ricerca di bug, solo per pubblicare una terza patch poco dopo, quando un sedicente cacciatore di minacce ha trovato ancora un altro buco che Progress non aveva notato.

Purtroppo, quel “ricercatore” ha deciso di rivendicare il merito di aver scoperto la vulnerabilità pubblicandola per chiunque e tutti da vederepiuttosto che dare a Progress un giorno o due per affrontarlo prima.

Ciò ha costretto Progress a dichiararlo come un altro zero-day e ha costretto i clienti Progress a disattivare completamente la parte difettosa del software per circa 24 ore mentre un la patch è stata creata e testato.

---

---

In questo Membri definitivi situazione di bug, i creatori del plugin non erano così premurosi come i creatori di MOVEit, che consigliavano esplicitamente ai propri clienti di smettere di usare il software mentre quel nuovo e sfruttabile buco veniva riparato.

Gli Ultimate Members si sono limitati a consigliare ai propri utenti di tenere gli occhi aperti per gli aggiornamenti in corso, di cui la versione 2.6.7 recentemente pubblicata è la quarta di una catena di correzioni di bug per un problema notato per la prima volta a metà giugno 2023, quando la versione 2.6.3 era la versione successiva. numero della versione corrente.

Cosa fare?

• Se sei un utente UltimateMember, aggiorna urgentemente la patch. Dato il modo frammentario con cui il team di codifica del plugin sembra affrontare questo problema, assicurati di cercare aggiornamenti futuri e di applicarli anche tu il prima possibile.
• Se sei un programmatore lato server, presumi sempre il peggio. Non fare mai affidamento sul codice lato client che non puoi controllare, come HTML o JavaScript eseguito nel browser dell’utente, per garantire che i dati di input inviati siano sicuri. Convalida i tuoi inputcome ci piace dire su Naked Security. Misurare sempre, mai dare per scontato.
• Se sei un programmatore, cerca ampiamente i problemi correlati quando viene segnalato un bug. Gli errori di codifica commessi in un posto da un programmatore potrebbero essere stati duplicati altrove, sia dallo stesso programmatore che lavora su altre parti del progetto, sia da altri programmatori che “imparano” cattive abitudini o seguono con fiducia presupposti di progettazione errati.

---