Tag: WordPress

Cloud Computing, Database, Formazione, Internet, Sicurezza informatica, Sistemi, Software

Hacker: preso di mira WordPress

Ondata di attacchi hacker che ha preso di mira i bug di sicurezza in quattro plugin WordPress.

Una minaccia alla sicurezza. Avviso di WordPress che è stato letteralmente preso di mira dagli hacker: i cybercriminali prendono di mira più di 1,6 milioni di siti in un massiccio attacco informatico.

La società di sicurezza informatica Wordfence afferma che i suoi ricercatori hanno rilevato un’ondata continua di attacchi originati da oltre 16.000 indirizzi IP diversi.

Il Wordfence Theat Intelligence Team ha affermato che nelle ultime ore si è verificata un’ondata di attacchi che ha preso di mira i bug di sicurezza in quattro plugin WordPress e quindici temi Epsilon Framework. Wordfence afferma di aver bloccato finora più di 13,7 milioni di attacchi.

I quattro plugin presi di mira sono: Kiwi Social ShareWordPress AutomaticPinterest Automatic e PublishPress Capabilities. I ricercatori, riportano da Computing, affermano che i plugin sono interessati dalle vulnerabilità “Authenticated Arbitrary Options update“.

Si dice anche che gli hacker stiano prendendo di mira un difetto di “Function Injection” in 15 temi Epsilon Framework per aggiornare le opzioni arbitrarie. Uno dei 15 temi attualmente non ha una patch disponibile.

WordPress: quali versioni vulnerabili?

Hacker: Preso di mira WordPress
WordPress

I temi target di Epsilon Framework e le versioni vulnerabili sono:

  • Activello <=1.4.1
  • Allegiante <=1.2.5
  • Benestante <1.1.0
  • Formosa <=1.2.8
  • Antrea <=1.0.6
  • NewsMag <=2.4.1
  • Malato <=2.1.6
  • Giornale X <=1.3.1
  • MedZone Lite <=1.2.5
  • Pixova Lite <=2.0.6
  • Brillantezza <=1.2.9
  • Trascende <=1.1.9
  • Regina Lite <=2.0.5
  • Pazzi <=1.0.5
  • NatureMag Lite – Nessuna patch disponibile (si consiglia di disinstallare dal sito)

Gli analisti di Wordfence affermano inoltre che gli hacker stanno cambiando l’opzione “users_can_register” su “abilitato” e impostando l’opzione “default_role” su “amministratore” nella maggior parte dei casi. Ciò consente agli hacker di registrarsi come amministratore su un sito e di prenderne il controllo. I primi tre IP offensivi includono:

  • 144.91.111.6 con 430.067 attacchi bloccati
  • 185.9.156.158 con 277.111 attacchi bloccati
  • 195.2.76.246 con 274.574 attacchi bloccati

Gli amministratori del sito web sono invitati a verificare se il loro sito è già stato compromesso esaminando tutti gli utenti e cercando eventuali account non autorizzati. Gli amministratori dovrebbero eliminare qualsiasi aggiunta non autorizzata il prima possibile.

Si consiglia inoltre di rivedere le impostazioni del sito su “http://examplesite[.]com/wp-admin/options-general.php” e assicurarsi che le impostazioni di appartenenza e “nuovo ruolo predefinito utente” siano impostate correttamente.

Importante aggiornare i plugin

Tutti i plugin e i temi su WordPress dovrebbero essere aggiornati il prima possibile. La storia ci insegna che l’obsolescenza informatica ha permesso tuttavia più di un attacco negli scorsi anni.

Nel 2019, il sito Web di Mailgun è stato attaccato da hacker che hanno preso di mira un plug-in di WordPress chiamato Yuzo Related Posts. I criminali informatici hanno aggiunto codice nei siti che reindirizzavano i visitatori a un sito web dannoso. Nello stesso anno, gli hacker hanno sfruttato una falla nel plugin Social Warfare per attaccare i siti web. I criminali hanno iniettato codice JavaScript nei link di condivisione social presenti sui post di un sito web.

Già nel 2017 è stato scoperto che un popolare plugin di WordPress, che era stato installato su circa 300.000 siti Web. Dopo la sua compromissione, questo, apriva una backdoor nei siti web.

Gli aggressori hanno anche violato la società di hosting web GoDaddy il mese scorso e hanno ottenuto l’accesso alle informazioni di quasi 1,2 milioni di clienti attivi e inattivi di Managed WordPress.

L’attacco sui ha consentito ai criminali di visualizzare i numeri dei clienti, gli indirizzi e-mail e le password per il protocollo e il database di trasferimento sicuro dei file, nonché i nomi utente del database per i clienti attivi.

contattaci
wordpress 5.8
Formazione, Internet, Software

WordPress 5.8 tutte le novità

A giorni farà il suo debutto ufficiale la nuova versione di WordPress: la 5.8. ecco tutte le novità.

Tra meno di una settimana assisteremo al debutto di WordPress 5.8 (la RC3 è disponibile), molto più di un semplice aggiornamento per il CMS più utilizzato al mondo. L’elenco delle novità introdotte è infinito, qui ci limiteremo a elencare le principali, mentre per ogni dettaglio rimandiamo all’articolo approfondito pubblicato sul blog di Kinsta.

Le principali novità di WordPress 5.8

Con la versione 5.8 fa il suo debutto un’incarnazione d’anteprima di Full Site Editing (FSE), una sorta di beta pubblica per il pacchetto di funzionalità pensato in modo da semplificare la realizzazione di un intero sito Web assemblando quelli che vengono definiti blocchi: dal menu di navigazione alle diverse sezioni che compongono il layout.

Garantita inoltre la piena compatibilità con il formato WebP per le immagini, proposto da Google come alternativa ottimizzata a JPEG e PNG con benefici in termini dimensioni e qualità dei file.

Ci sono poi un nuovo meccanismo legato a theme.json per la definizione di impostazioni e stili, cambiamenti in vista per gli widget, senza dimenticare alcune funzionalità inedite per gli sviluppatori (Block Supports API e cambiamenti alla REST API). Termina inoltre il supporto per l’ormai obsoleto Internet Explorer 11, ormai abbandonato anche da Microsoft.

contattaci
velocizza wordpress
Formazione, Internet, Software

Velocizzare WordPress filtrando i plugin

I plugin di WordPress rappresentano importanti risorse di sviluppo per il popolare content management system (CMS). Tramite i plugin è possibile aggiungere moduli e funzioni, senza essere sviluppatori WordPress. Tuttavia, non tutti sanno che i plugin possono ridurre sensibilmente le prestazioni del sito, rallentandolo notevolmente. Se i plugin non sono sviluppati e testati correttamente, possono aumentare drasticamente i tempi di esecuzione degli script e rallentare il caricamento delle pagine. Vi spieghiamo come velocizzare WordPress, filtrando i plugin e scegliendo in quale pagina del sito attivarli, bloccandoli in tutte le altre.

Quando i Plugin di WordPress possano rallentare il sito

Prima di installare un plugin di WordPress, sarebbe utile testarlo in locale e valutare la ricaduta sulle performance del sito. Un nuovo plugin è una nuova porzione di codice aggiuntiva, che potrebbe comportare anche problemi di sicurezza e che richiede quindi la massima attenzione. L’esempio più emblematico di plugin da installare con cautela è rappresentato da Contact Form 7, il diffusissimo Plugin per l’inserimento di moduli di contatto su WordPress. Questo plugin, che funziona molto bene, include in tutte le pagine del sito due risorse, anche se nella pagina non si trova alcun modulo di contatto. Le risorse incriminate sono script.js e style.css. Il caricamento incondizionato di questi elementi, comporta l’inutile spreco di risorse di WordPress e il conseguente rallentamento delle prestazioni. Fortunatamente esiste una soluzione per questo problema, incrementando un sistema che permetta di attivare o disattivare il plugin in base ad alcune condizioni e singole pagine.

Velocizzare WordPress con i Plugin

Esistono due modi per disattivare un plugin di WordPress in base alla pagina; il primo metodo è quello di realizzare manualmente uno script PHP, salvandolo nella cartella dei Must-use-plugin di WordPress.

Velocizzare WordPress filtrando i plugin


Must-use-plugin di WordPress sono plugin atipici, che vengono eseguiti prima dei plugin tradizionali e non possono essere visibili o gestiti dalla bacheca di WordPress. L’unico modo per creare un Must-use-plugin è quello di collocarli manualmente all’interno della cartella predefinita /Sito/mu-plugins/.

La seconda soluzione, molto più semplice, consiste nell’installare un plugin che permetta di filtrare l’esecuzione selettiva di tutti gli altri plugin. Plugin Load Filter è la soluzione completa per attivare o disattivare i plugin, in base ad alcuni criteri. Una volta installato il plugin sarà possibile richiamare la pagina di configurazione, posizionandosi nella barra laterale dei menu, su Plugin > Plugin Load Filter. La prima schermata del menu permette di selezionare i plugin da disattivare. Per ciascun plugin è possibile assegnare tre valori: Norman Load (predefinito), Admin Filter e Page Filter.

La prima opzione, indica che il plugin corrispondente sarà sempre attivo, incondizionatamente, su tutte le pagine. Assegnando ad un plugin l’opzione Admin filter, significa indicare a WordPress che quel preciso elemento dovrà funzionare solo quando si effettuerà il login con utenza amministrativa di WordPress. L’ultima opzione, quella più intrigante e funzionale, permette di assegnare diversi criteri di attivazione e disattivazione dei plugin. Le eccezioni previste dalla funzione Page Filter, permettono per esempio di attivare un plugin di WordPress solo nella versione desktop del sito e disattivarla in quella mobile (e viceversa), di selezionare solo alcune pagine in cui il plugin dovrà lavorare, e tanto altro.

load filter

Come misurare la velocità di WordPress

Chiaramente, la procedura descritta rappresenta solo una parte delle operazioni da effettuare per ottimizzare un sito WordPress, in ottica di performance e SEO. Ora che avete imparato a filtrare i plugin, provate a testare le performance del sito, utilizzando uno tra i servizi elencati di seguito.

I tool per misurare la velocità di WordPress

In rete esistono diversi strumenti per misurare le performance di un sito web; alcuni di essi sono davvero validi e ci consentono di testare il sito WordPress (ma non solo), per evitare penalizzazioni o malfunzionamenti. Un sito veloce e funzionale è sempre un passo in avanti rispetto ad uno più lento e problematico. Ecco tre tool che potete utilizzare per testare il vostro

Pingdom.com è uno strumento completamente gratuito, che permette di misurare il caricamento di pagine ed elementi integrati (immagini, CSS, JavaScript) creando report finali di facile lettura per tutti gli utenti. La versione a pagamento, consente di pianificare analisi automatica del sito, generando avvisi in caso di riduzione delle prestazioni.

pingdom

PageSpeed Insights è uno strumento di rilevazione delle prestazioni di un sito che utilizza i criteri di valutazione di Google. Tramite questo strumento è possibile verificare le performance di un sito nella versione mobile o tradizionale. PageSpeed Insights genera report finali dettagliati, con valutazione complessiva da 1 a 100 e consigli sulle parti del sito da ottimizzare.

pagespeed insights

GTmetrix è uno strumento molto utile e funzionale per la misurazione delle performance di un sito. Permette di confrontare siti, offre report dettagliati, esportabili sul PC. E’ uno strumento valido e funzionale alla portata di tutti. Come Pingdom, anche GTmetrix nella versione a pagamento permette di effettuare scansioni automatiche e di essere avvisati in caso di problemi di performance del proprio sito.

gtmetrix
contattaci