Archivi categoria: WordPress

WordPress è una piattaforma di editoria personale allo “stato dell’arte” che si focalizza sull’estetica, sugli standard web e sull’usabilità. WordPress è uno strumento che al tempo stesso è gratuito e senza prezzo per le sue infinite possibilità. WordPress è una piattaforma software di “personal publishing” e content management system (CMS) open source ovvero un programma che, girando lato server, consente la creazione e distribuzione di un sito Internet formato da contenuti testuali o multimediali, facilmente gestibili ed aggiornabili in maniera dinamica. Inizialmente fu creato da Matt Mullenweg e distribuito con la licenza GNU General Public License. È sviluppato in PHP con appoggio al gestore di database MySQL.

WordPress: arriva Gutenberg il super editor

Gutenberg è più di un editor. Mentre l’editor è al centro dell’attenzione in questo momento, il progetto avrà un impatto finale sull’intera esperienza editoriale compresa la personalizzazione (la prossima area di interesse)

. Scopri di più sul progetto dal sito wordpress.org.

Il nuovo editor creerà una nuova esperienza nella creazione di pagine e post che renderà semplice la scrittura di rich post utilizzando “blocchi” per rendere più semplice ciò che oggi potrebbe richiedere codice di accesso.

Una cosa che distingue WordPress dagli altri sistemi è che ti permette di creare un layout ricco tanto quanto lo puoi immaginare – ma solo se conosci HTML e CSS puoi creare il tuo tema personalizzato.

Pensando all’editor come a uno strumento che ti permette di scrivere rich post e creare bellissimi layout, possiamo trasformare WordPress in qualcosa che gli utenti adorano e non  al contrario scelto perché è quello che usano tutti gli altri.

Gutenberg considera l’editor come qualcosa di più che un campo di contenuti. Invece rivedendo l’interfaccia, possiamo modernizzare la scrittura, l’editing e l’esperienza editoriale, con in mente usabilità e semplicità, a beneficio sia degli utenti nuovi che di quelli occasionali. Quando l’interfaccia a blocchi singoli è al centro dell’attenzione, dimostra un chiaro percorso in avanti per gli sviluppatori per creare blocchi premium, superiori sia per  shortcode che per  widget.

L’intera interfaccia getta una solida base per il prossimo focus, la piena personalizzazione del sito.

Guardare la schermata completa dell’editor ci dà anche l’opportunità di modernizzare drasticamente le fondamenta e prendere provvedimenti per un futuro più fluido e basato su JavaScript che sfrutti appieno l’API REST di WordPress.

Blocchi

I blocchi sono l’evoluzione unificante di ciò che è ora realizzato, in diversi modi, da codici brevi, incorporamenti, widget, formati di post, tipi di post personalizzati, opzioni di temi, meta-box e altri elementi di formattazione. Essi abbracciano l’ampiezza della funzionalità di cui è capace WordPress, con la chiarezza di un’esperienza utente coerente.

Immagina un blocco personalizzato “impiegato” che un cliente può trascinare su una pagina Informazioni per visualizzare automaticamente un’immagine, un nome e una biografia. Un intero universo di plugin che estendono tutti WordPress allo stesso modo.

Menu e widget semplificati

Utenti che possono capire e utilizzare istantaneamente WordPress e il 90% dei plug-in. Questo ti permetterà di comporre facilmente post bellissimi

Compatibilità

I post sono compatibili con le versioni precedenti e gli shortcode continueranno a funzionare. Stiamo studiando il modo in cui possono essere adattati i metabox altamente personalizzati e stiamo cercando soluzioni che vanno da un plugin per disabilitare Gutenberg, per rilevare automaticamente se caricare Gutenberg o meno. Mentre vogliamo essere sicuri che la nuova esperienza di editing dalla scrittura alla pubblicazione sia facile da usare, ci impegniamo a trovare una buona soluzione per siti esistenti altamente personalizzati.

Gi stadi di gutenberg

Gutenberg ha tre fasi pianificate. Il primo, finalizzato all’inclusione in WordPress 5.0, si concentra sull’esperienza di post editing e sull’implementazione dei blocchi. Questa fase iniziale si concentra su un approccio content-first. L’uso dei blocchi, come sopra descritto, ti consente di concentrarti su come i tuoi contenuti appariranno senza la distrazione di altre opzioni di configurazione.

Questo alla fine aiuterà tutti gli utenti a presentare i loro contenuti in modo coinvolgente, diretto e visivo. Questi elementi fondamentali apriranno la strada alle fasi due e tre, pianificate per il prossimo anno, per andare oltre il post nei modelli di pagina e, in definitiva, per la piena personalizzazione del sito.

Gutenberg è un grande cambiamento

Ci saranno modi per garantire che le funzionalità esistenti (come shortcode e meta-box) continuino a funzionare consentendo agli sviluppatori il tempo e i percorsi per una transizione efficace. In definitiva, aprirà nuove opportunità per gli sviluppatori di plug-in e tema per servire meglio gli utenti attraverso un’esperienza visiva più accattivante che sfrutta un set di strumenti supportato dal core.

WordPress al 60% del mercato dei CMS

Tradotto e adattato da w3techs

Utilizzo di sistemi di gestione dei contenuti per siti Web (CMS), WordPress al 60%

Questo diagramma mostra le percentuali dei siti Web che utilizzano vari sistemi di gestione dei contenuti.

Il 49,6% dei siti Web non utilizza nessuno dei sistemi di gestione dei contenuti che monitoriamo. WordPress è utilizzato dal 30,4% di tutti i siti Web, ovvero una quota di mercato del content management del 60,3%.

Statistiche di utilizzo e quota di mercato di WordPress per i siti Web

Questo rapporto mostra le statistiche sull’utilizzo e i dati relativi alla quota di mercato di WordPress sul Web.

  • La versione 4 viene utilizzata dal 94,6% di tutti i siti Web che utilizzano WordPress.
  • Versione 4- 4 4,6%
  • Versione 3 – 4,4%
  • Versione 2 -1,0%
  • Versione 1 inferiore a 0,1%

Questo diagramma mostra la posizione di mercato di WordPress in termini di popolarità e traffico rispetto ai più popolari sistemi di gestione dei contenuti. Il nostro sondaggio di mercato dedicato mostra più dati sul mercato della gestione dei contenuti. Siti popolari usando WordPress.com Providr.com Exoclick.com Newstrend.news Dkn.tv Ntd.tv Onoticioso.com Wease.im WordPress.org Tfetimes.com

I 7 migliori plugin per WordPress del 2018

Il vostro CMS crescendo avrà esigenze specifiche, relative ai compiti da svolgere, questi plugin molto gettonati potranno venire incontro alle vostre esigenze.

1 Jetpack

Proteggi il tuo sito, aumenta il traffico e coinvolgi i tuoi visitatori .Jetpack è un potente all-in un plugin che equipaggia il tuo sito web con funzioni che si occupano di generazione di traffico, SEO, sicurezza, backup del sito, creazione di contenuti e costruzione / coinvolgimento della comunità. Visualizza le statistiche del tuo sito a colpo d’occhio, condividi automaticamente i nuovi post sui social media, proteggi il tuo sito dagli attacchi di forza bruta e altro ancora.
Cose buone
Il plugin è intuitivo da usare, anche per i principianti di WordPress. È anche fantastico avere tante utili funzioni inserite in un unico plugin in modo da non dover cercare e scaricare un plug-in dedicato per ciascuna funzione specifica.
Cose meno buone
A seconda delle funzioni attivate insieme ad altri fattori del sito (come i plugin aggiuntivi che stai utilizzando, il piano di hosting e il tema), potresti notare un aumento dei tempi di caricamento dall’utilizzo di Jetpack.
Prezzo: gratuito con opzioni per l’aggiornamento a un abbonamento personale, professionale o Premium.

2 Yoast SEO per WordPress

Se vuoi veramente lavorare come si deve all’ottimizzazione dei motori di ricerca in modo da spingere il ranking in alto per tutti i termini di ricerca mirati su Google, Yoast è il Plugin SEO che dovete installare sul vostro sito.
Con Yoast, saprai se il tuo titolo è troppo lungo, se hai dimenticato di mettere le parole chiave nei tag alt della tua immagine, se la meta descrizione ha bisogno di lavoro e altri dettagli che sono rilevanti per migliorare il posizionamento di ricerca del tuo sito.
Cose buone:
ci piace l’anteprima snippet che mostra esattamente come apparirà il risultato di ricerca di Google insieme all’analisi dettagliata generata con suggerimenti chiari per migliorare il tuo SEO.
Cosa meno buone:
il supporto non è offerto a meno che non si aggiorni alla versione premium.
Prezzo: gratuito con l’opzione di aggiornamento a Premium (una licenza Premium per sito).

  Trovi su Amazon il manuale per imparare velocemente come realizzare il tuo sito internet
 WordPress semplice
in versione digitale oppre su carta

3 MailChimp per WordPress:

MailChimp è uno dei più popolari provider di gestione di elenchi di e-mail disponibili per la raccolta di abbonati e la gestione di campagne e-mail,
Se gestisci un sito aziendale, crea una e-mail dall’elenco contatti è fondamentale per fidelizzare e coinvolgere i clienti.
Mentre ci sono diversi buoni fornitori di gestione di liste di e-mail, il plugin WordPress di MailChimp è un must per i suoi moduli di posta elettronica facili da usare che possono essere aggiunti al tuo sito in modo rapido e senza problemi.
I moduli si connettono direttamente al tuo account MailChimp in modo che chiunque inserisca i propri dati e-mail venga aggiunto direttamente al tuo elenco nel tuo account.
Cose buone:
i moduli di iscrizione hanno opzioni personalizzabili che consentono alla forma di integrarsi perfettamente in qualsiasi tema e ci sono diversi stili di moduli di iscrizione tra cui scegliere.
Ci piace anche che possa essere integrato perfettamente con il modulo di commento di WordPress e altri plug-in di form popolari come Contact Form 7.
Cose meno buone:
Fa il suo lavoro, ma potrebbe non essere la scelta migliore se si desidera un maggiore controllo e personalizzazione dell’aspetto e della funzionalità dei moduli di iscrizione.
Prezzo: gratuito con l’opzione di aggiornamento a Premium per alcuni strumenti extra.

4 Smush per WordPress

Comprimi e ottimizza le immagini Screenshot di WP .Le dimensioni delle immagini possono influire notevolmente sul tempo di caricamento del sito, ed è esattamente il motivo per cui è necessario WP Smush.
Questo plug-in ridimensiona, comprime e ottimizza automaticamente le immagini non appena le carichi sul tuo sito, così non dovrai mai preoccuparti di farlo manualmente in anticipo.
Cose buone:
l’opzione automatica “smushing” è un salvavita, ma è ancora più bello sapere che è possibile selezionare le immagini esistenti nella libreria per essere messe a gestite insieme(fino a 50 immagini alla volta).
Cose meno buone:
le immagini che superano 1 MB saranno saltate.
Per smuffare immagini fino a 32 MB di dimensioni, è necessario eseguire l’aggiornamento a WP Smush Pro.
Prezzo: gratuito con una prova di 30 giorni di WP Smush Pro.

5 Akismet

Elimina automaticamente lo spam Chiunque abbia mai installato il proprio sito WordPress sa che non ci vorrà molto tempo prima che gli spambots lo trovino e inizi a inviare commenti automatici di spam.
Akismet risolve questo problema filtrando automaticamente lo spam in modo da non doverlo affrontare.
Cose buone:
è bello sapere che ogni commento ha una propria cronologia dello stato che mostra quali sono stati inviati automaticamente allo spam, quali sono stati automaticamente cancellati e quali sono stati spammati o non sparpagliati da un moderatore.
Cose meno buone:
devi passare attraverso il processo di registrazione per ottenere una chiave API per far funzionare il plugin. Non è difficile o troppo laborioso ottenere una chiave API: è solo un ulteriore passaggio che preferiremmo non dover passare.
Prezzo: gratuito con opzioni per l’aggiornamento a piani Plus ed Enterprise.

6 Wordfence Security:

Ottieni una protezione avanzata. Ogni proprietario di un sito WordPress dovrebbe prendere sul serio la sicurezza dato quanto è facile per gli hacker hackerare o infettare siti non protetti, motivo per cui un plugin avanzato come Wordfence Security è così necessario .
Questo plug-in offre una vasta gamma di potenti funzionalità di sicurezza tra cui firewall, protezione brute force, scansione malware, avvisi di sicurezza, feed di difesa delle minacce, opzioni di sicurezza per l’accesso e altro ancora.
Cose buone:
la sicurezza Web può essere fonte di confusione e intimidazione per molti neofiti, quindi pensiamo che sia di grande aiuto che il team di Wordfence offra supporto e un ottimo servizio clienti per gli utenti gratuiti e premium del plug-in.
Cose meno buone:
ancora una volta bisogna dire che la sicurezza web può essere una questione confusa e intimidatoria per i neofiti, può essere facile perdere la configurazione di un’impostazione all’interno del plugin e quindi subire un attacco di conseguenza.
Gli utenti dovrebbero prendersi tempo extra per controllare il Centro di apprendimento di Wordfence per ottenere almeno una conoscenza di base della sicurezza di WordPress.
Prezzo: gratuito con un’opzione per l’aggiornamento a Premium.

7 WP Fastest Cache

Velocizza il tuo sito web. Ottimizzare la qualità del tuo tema WordPress e la dimensione delle tue immagini sono due componenti principali che puoi controllare per aumentare la velocità di carica del tuo sito.
Un metodo rapido e praticamente senza sforzo che puoi utilizzare per ottenere maggiore velocitaà consiste nell’ installare un plugin di cache come WP Fastest Cache per aumentare la velocità del sito.
Orgoglioso di essere il più semplice e veloce sistema di cache di WordPress, questo plug-in elimina tutti i file di cache quando un post o una pagina viene pubblicato e ti offre la possibilità di bloccare specifici post o pagine dalla cache.
Cose buone:
il plug-in è all’altezza del suo nome, dimostrando di velocizzare i tempi di caricamento del sito meglio di altri plug-in di cache popolari come W3 Total Cache e WP Super Cache.
24
nonostante affermi di essere il plug-in di cache più semplice, gli utenti di WordPress che non capiscono come funziona la cache non sono necessariamente in grado di configurare al meglio tutte le impostazioni.
Ci piacerebbe che ci fosse una sezione sul sito web WP Fastest Cache simile al Centro di apprendimento di Wordfence Security studiato per offire risorse per gli utenti che non conoscono assolutamente la cache.

50.000 siti infettati da malware di criptovaluta, tra i quali 7.368 WordPress

L’epidemia di malware da criptovaluta sta sfuggendo di mano: quasi 50.000 siti sono stati infettati surrettiziamente da script di crittografia

secondo il ricercatore di sicurezza Troy Mursch di Bad Packets Report.

Affidandosi al motore di ricerca del codice sorgente PublicWWW per eseguire la scansione del Web per le pagine che eseguivano malware crittografici, Mursch è stato in grado di identificare almeno 48,953 siti Web interessati.

Almeno 7.368 dei siti compromessi sono alimentati da WordPress.

Il ricercatore fa notare che Coinhive continua a essere la scrittura crittografica più diffusa, con circa 40.000 siti Web infetti: uno straordinario 81% di tutti i casi registrati. Vale la pena ricordare che Mursch è stato in grado di trovare almeno 30.000 siti Web che eseguono Coinhive nel novembre dello scorso anno.

Per il resto, Bad Packets Report indica che il restante 19% è distribuito tra varie alternative di Coinhive, come Crypto-Loot, CoinImp, Minr e deepMiner. La sua ricerca suggerisce che ci sono 2.057 siti infettati da Crypto-Loot, 4,119 da CoinImp, 692 siti da Minr e 2,160 da deepMiner.

A febbraio, i ricercatori della sicurezza hanno scoperto che una manciata di siti Web legittimi – inclusi portali di agenzie governative e di servizio pubblico – eseguivano silenziosamente script crittografici.

Il ricercatore ha anche pubblicato un documento sul file PasteBin che descrive in dettaglio i 7.000 siti interessati dal 20 gennaio di quest’anno. “Alcuni di questi siti hanno già rimosso il malware cripto-jacking”, si legge nella pagina PasteBin. “Tuttavia, molti rimangono compromessi.

Naviga a tuo rischio.

La campagna #cryptojacking indirizzata ai siti Web #WordPress ha ora colpito almeno 7.368 siti.

La query @publicww utilizzata per trovare i siti con il codice #Coinhive offuscato è discussa qui:  … Elenco dei siti trovati dal 20 gennaio: 9:32 – 6 marzo 2018 (aggiornamento dell’ultima ora, l’IP del sito non è più raggiungibile)

Nel frattempo, coloro che cercano di proteggersi da tali attacchi dovrebbe leggere questo pezzo che spiega come impedire agli hacker di prendere in prestito in prestito la potenza della CPU per estrarre la crittografia. Coloro che sono interessati al rapporto completo sui pacchetti difettosi possono leggere il post qui. Anche se blockchain e criptovaluta potrebbero non essere ancora perfetti, stiamo esplorando le possibilità alla TNW Conference 2018.

Add-on piratato di WordPress trasforma i siti in dispenser di malware

Tratto tradotto ed adattato da: XtremeHardware

Tra gli strumenti utilizzati nella creazione di siti web, WordPress è sicuramente uno dei CMS (content management system) più noti e impiegati, anche per questo subisce il maggior numero di aggressioni da parte di hacker.

Le numerose estensioni disponibili permettono di creare pagine web facilmente pur non disponendo di buone capacità di programmazione. È comunque importante prestare attenzione nello scegliere i plugin.

GDATA WordPress Malware

L’idea di creare il proprio sito internet è associata ad un’ingente quantità di lavoro manuale. La strumentazione moderna lo rende invece un gioco da ragazzi –innumerevoli i layout già “pronti all’uso” nei quali bisogna solo aggiungere testo e immagini.

Molte estensioni per WordPress sono gratuite, mentre altre sono a pagamento. Un webmaster attento ai costi cerca di evitare al massimo questo genere di spese. Nel caso evidenziato in questo report, i criminali mirano a colpire i numerosi utenti WordPress che desiderano avvalersi di template gratuiti, ecco come.

Trappola gratuita?

Alcune tipologie di temi a pagamento sono molto più utilizzate di altre e non stupisce che sul web se ne possano trovare anche di piratate.

Parte di queste copie contraffatte vengono fornite con “add-on” nascosti che possono creare non pochi problemi al webmaster poiché in grado di trasformare le pagine web in distributori di malware, ovviamente del tutto all’oscuro dell’amministratore del sito.

Ottimizzazione dei motori di ricerca SEO

Chiunque sia in possesso di un sito web desidera essere il primo sui motori di ricerca. I risultati presentati su Google si basano su diversi criteri, uno dei quali, oltre all’impiego delle giuste keyword, è la frequenza con cui la pagina valutata viene menzionata da altre pagine. Alcune società assumono uno o più dipendenti con il compito di applicare la miglior strategia per far apparire il sito il più in alto possibile nei risultati delle ricerche. Questa attività è chiamata ottimizzazione dei motori di ricerca (Search Engine Optimization – SEO).

Strategie adottate anche dai cybercriminali, esistono infatti alcuni template WordPress contraffatti che integrano tecniche SEO per incrementare la distribuzione di codice malevolo, come l’ultima evoluzione della backdoor Wp-Vcd, che una volta installata su WordPress crea automaticamente un account amministratore nascosto che consente all’hacker di accedere alla piattaforma quando più gli aggrada e, per esempio, postare malware sul sito compromesso a propria discrezione.

In primo acchito la backdoor è stata riscontrata scaricando il tema ExProduct v1.0.7 dal sito “hxxp://downloadfreethemes.download” che ospita numerosissimi template WordPress (al momento dell’analisi 32.200) piratati. Ulteriori analisi hanno rivelato quanto l’autore fosse proattivo nel posizionare al meglio il template sui motori di ricerca e quanto l’algoritmo di Google sia passibile di raggiro.

Ulteriori informazioni sull’analisi

Ulteriori informazioni e dettagli tecnici su diffusione e funzionamento della backdoor sono contenute nel whitepaper reperibile in lingua inglese al link

Uomo avvisato mezzo salvato

Fino a quando le persone riporranno cieca fiducia in qualunque sito web venga loro proposto, saranno potenziali vittime e ciò non cambierà in tempi brevi. Agli occhi di moltissime persone i servizi di ricerca e di posta elettronica che Google eroga da anni sono estremamente affidabili.

I criminali lo sanno bene e sfruttano la situazione, riuscendo a posizionare ottimamente persino applicazioni quali “paypal generator v1.0” o “Facebook hacker v2.3 updated” nei risultati dei motori di ricerca.

WordPress semplice, il manuale pensato per gli utenti non professionali del noto CMS

Presento un manuale che ho scritto per gli utenti non professionali di WordPress,una risorsa indispensabile per  affrontare velocemente la fasi di installazione produzione e aggiornamento dei contenuti di WordPress.

  Trovi su Amazon il manuale per imparare velocemente come realizzare il tuo sito internet.

Il libro contiene anche suggerimenti di web design e un piccolo glossario dei principali termini usati.
 WordPress semplice
in versione digitale oppre su carta

 

Sono contenute in tutto 13 lezioni ormai collaudate, che ho realizzato per corsi specifici.

Per aiutare i non esperti il testo contiene in coda approfondimenti su termini specifici e un’introduzione alla usability dei siti web,cioè un insieme di regole per migliorare la progettazione grafica.

Due parole sull’autore: mi chiamo Paolo Baratta, lavoro nell’area della comunicazione via web da molti anni e insegno tecnica della comunicazione online presso istituti ed enti privati.

I miei corsi sono dedicati ad introdurre nel mondo di internet e del web sia ragazzi in percorso scolastico che imprenditori e professionisti.

Di seguito il sommario dei contenuti

Cosa è WordPress 5
Lezione 1: Partiamo insieme da zero e impariamo come registrare un dominio 7
Lezione 2 : Acquisiamo spazio on line e database per il nostro sito, su Aruba 8
Lezione 3: Ripassiamo i termini hosting, database e codice di autorizzazione 13
Lezione 4: Come installare WordPress con un click, guida passo passo al pannello di controllo di aruba 16
Lezione 5: Le basi di WordPress, gestire contenuti e grafica del sito, la bacheca 18
Lezione 6 – scrivere articoli (post) e usare l’editor di testo 22
Lezione 7 – gestire le immagini, l’area media e gli allegati 24
Lezione 8 – Gestire i menù 28
Lezione 9 – Come scegliere i migliori temi gratuiti, ideali per il tuo sito 31
Lezione 10 – personalizzare i temi gratuiti: quali opzioni deve offrire il tema che hai scelto 34
Lezione 11 – I 3 plugin che ti servono veramente per iniziare 36
Lezione 12 i 7 migliori plugin per WordPress del 2017 39
Lezione 13 – Il protocollo FTP, il suo client Filezilla e il problema delle pagine bianche 46
La usability 48
I vantaggi del metodo Nielsen: poco costoso, aumenta visite e fidelizzazione al tuo sito 49
La usabilità delle pagine web, come migliorare la grafica, aumentare visite, permanenza e fidelizzazione del tuo sito, secondo j.nielsen 52
I criteri della web usability: la “homepage” deve spiegare a cosa serve il nostro sito 55
Usability, verifichiamo il web design e l’organizzazione dei contenuti nella pagina 57
Glossario: 60
Cosa è un CMS e a cosa serve 60
Non facciamo confusione tra internet service provider (isp) e fornitore servizi web 63
Qualche dubbio su Wix, e su chi ti offre siti gratuiti 65
Come scegliere il dominio del tuo sito 66
Database MySQL cosa sono e come funzionano 68

WordPress è un sistema di gestione dei contenuti (CMS) gratuito e open source basato su PHP e MySQL .

Se pensate di realizzare un sito web privato o aiendale che sia dovete spere che WordPress viene usato per il 26,9 per cento di tutti i siti web, più di un miliardo di siti web on-line.

Alcune cose che dovete sapere.

  • Per funzionare, WordPress deve essere installato su un server web, che faccia parte di un servizio di hosting Internet o di un host di rete a pieno titolo.
  • Un esempio di server web potrebbe essere un servizio come WordPress.com, ad esempio, mentre il secondo caso potrebbe essere un computer che esegue il pacchetto software WordPress.org.
  • Un computer locale può essere utilizzato per scopi di test e apprendimento da parte di un singolo utente.
  • Le caratteristiche includono un’architettura di plugin e un sistema di template.
  • WordPress è stato utilizzato da oltre il 29,4% di 10 milioni di siti web a partire da gennaio 2018.
  • WordPress è probabilmente il sistema di gestione dei siti Web o di blog più utilizzato sul Web, supporta oltre 60 milioni di utenti .

Come vedi occorre conoscere molti termini tecnici, se non li conosci consulta gli approfondimenti in coda al manuale WordPress Semplice.

Ulteriori approfondimenti possono essere trovati sul mio blog: www.laparoladigitale.it

EvilTraffic Report sull’analisi del nuovo malware: decine di migliaia di siti WordPress compromessi

268/5000
Traduco ed adatto dal post: malware di CSE Cybsec hanno scoperto una massiccia campagna di malvertising chiamata

EvilTraffic il malvertising che sta sfruttando decine di migliaia di siti Web compromessi.

Questo malware  ha sfruttato alcune vulnerabilità CMS ( includendo quindi anche WordPress) per caricare ed eseguire pagine PHP arbitrarie utilizzate per generare entrate tramite la pubblicità.

Negli ultimi giorni del 2017, i ricercatori di CSE Cybsec hanno osservato gli attori delle minacce che sfruttano alcune vulnerabilità CMS per caricare ed eseguire pagine PHP arbitrarie utilizzate per generare entrate tramite la pubblicità.

L’enorme campagna di malvertising è stata soprannominata EvilTraffic

I siti Web compromessi coinvolti nella campagna EvilTraffic eseguono varie versioni del famoso CMS WordPress. Una volta che un sito Web è stato compromesso, gli utenti malintenzionati caricheranno un file “zip” contenente tutti i file dannosi. Nonostante il file “zip” abbia un nome diverso per ciascuna infezione, quando non è compresso, i file in esso contenuti hanno sempre la stessa struttura.

Abbiamo trovato alcuni di questi archivi non ancora utilizzati, quindi abbiamo analizzato il loro contenuto. I file dannosi vengono inseriti in un percorso che si riferisce probabilmente a versioni diverse dello stesso malware (“vomiu”, “blsnxw”, “yrpowe”, “hkfoeyw”, “aqkei”, “xbiret”, “slvkty”). Sotto questa cartella ci sono: un file php, chiamato “lerbim.php”; un file php, che ha lo stesso nome della dir padre; ha inizialmente un’estensione “.suspected” e solo in una seconda volta, usando il file “lerbim.php”, sarebbe stato cambiato nel file “.php”; due directory, chiamate “wtuds” e “sotpie”, contenenti una serie di file.

Lo scopo principale del “malware” utilizzato nella campagna EvilTraffic è di attivare una catena di reindirizzamento attraverso almeno due server che generano traffico pubblicitario.

Il file “{malw_name} .php” diventa il nucleo di tutto questo contesto: se viene contattato dall’utente tramite il browser web, reindirizza il flusso prima a “caforyn.pw” e quindi a “hitcpm.com”, che funge da supervisore per diversi siti registrati in questa catena di ricavi.

Questi siti potrebbero essere utilizzati dagli aggressori per offrire servizi commerciali che mirano ad aumentare il traffico per i loro clienti, ma questo traffico viene generato in modo illegale compromettendo i siti web.

I siti potrebbero ospitare anche pagine fraudolente che pretendono di scaricare materiale sospetto (ad esempio barre degli strumenti, estensioni del browser o antivirus falso) o rubare dati sensibili (ad esempio informazioni sulla carta di credito). Al fine di aumentare la visibilità del web, i siti compromessi devono avere un buon page rank nei motori di ricerca.

Quindi, il malware esegue l’avvelenamento SEO sfruttando un elenco di parole contenente le parole cercate di tendenza.

La popolazione del sito compromesso con le liste di parole ei relativi risultati di query viene attivata contattando il PHP principale utilizzando uno specifico User-Agent su un percorso “{nome_malw} / {} malw_name .php? vm = {keyword}”. I ricercatori di CSE CybSec ZLab hanno scoperto circa 18.100 siti Web compromessi.

Mentre i ricercatori stavano analizzando la campagna di malvertising EvilTraffic, si sono resi conto che la maggior parte dei siti Web compromessi utilizzati nelle prime settimane degli attacchi sono stati ripuliti negli ultimi giorni. solo in una settimana, il numero di siti Web compromessi è sceso da circa 35k a 18k.

Secondo Alexa Traffic Rank, hitcpm.com è classificato al numero 132 nel mondo e lo 0,2367% degli utenti Internet globali lo visita. Di seguito sono riportate alcune statistiche sul traffico relative a hitcpm.com fornite da hypestat.com

  • Visitatori unici giornalieri 1.183.500
  • Visitatori unici mensili 35.505.000
  • Pagine per visita 1.41
  • Visualizzazioni di pagina giornaliere 1.668.735

L’analisi del traffico mostra un aumento esponenziale del traffico nel mese di ottobre 2017. Gli esperti hanno scoperto che truffatori dietro l’operazione EvilTraffic ha utilizzato un software dannoso per dirottare il traffico, agisce come un browser hijacker.

Il malware viene distribuito attraverso vari metodi, come ad esempio:

  • Allegato di posta indesiderata
  • Download di programmi freeware tramite un sito inaffidabile
  • Aprire file torrent e fare clic su collegamenti dannosi
  • Giocando a giochi online
  • Visitando siti Web compromessi

Lo scopo principale del malware è quello di dirottare i browser cambiando browser impostazioni come DNS, impostazioni, homepage ecc. per reindirizzare il maggior numero possibile di traffico verso il sito del dispatcher.

Ulteriori dettagli tecnici su questa campagna, inclusi gli IoC, sono disponibili nel rapporto intitolato “Decine di migliaia di siti Web compromessi coinvolti in una nuova massiccia campagna di malvertising”

WordPress fa del tuo computer uno schiavo segreto degli hacker

Durante l’ultimo mese, i media per la sicurezza delle informazioni hanno prestato molta attenzione al malware di criptovaluta. Stiamo iniziando a vedere attacchi che tentano di caricare malware di data mining e di pulizia dei siti che sono già infetti.

Questo articolo spiega cos’è il mining di criptovaluta, come verificare se hai questo problema e cosa fare al riguardo.

Attacchi minerari di criptovaluta su WordPress

Per quelli di voi che non lo sanno possiamo dire che le criptovalute sono valute digitali che possono fungere da alternativa alle valute tradizionali. Gli esempi includono Bitcoin, Litecoin, Ethereum e Monero, tra molti altri.

Il mining di criptovaluta è una serie di elaborate operazioni fatte da computer che contribuisce alle operazioni della rete di criptovaluta mentre soprattutto genera nuova valuta a vantaggio di chi lo gestisce.

Ci vuole una grande quantità di risorse informatiche per generare entrate significative. Le persone interessate al mining di criptovalute devono generalmente investire in costose attrezzature e risolvere il consumo energetico e il calore generato dall’hardware.

Di recente sono emerse piattaforme online che consentono ai proprietari di siti Web di sfruttare la potenza di calcolo dei visitatori del loro sito Web per creare la criptovaluta con operazioni di mining non dichiarate e fatte svolgere a danno dei visitatori.

I proprietari di siti web registrano semplicemente un account magari per scaricare un software gratuitamente e così facendo aggiungono JavaScript al loro sito. Il rovescio della medaglia è che le loro risorse informatiche vengono poi sfruttate. È molto discutibile pensare che i visitatori del sito web pirata vedranno questa pratica in modo favorevole, ma sarà interessante osservarne l’evoluzione.

Abbiamo visto il primo attacco su un sito WordPress che tentava di incorporare il codice di mining di criptovaluta il 17 settembre. Il volume di attacchi è stato finora molto basso e poco sofisticato.

Gli attacchi finora  analizzati stanno tutti tentando di sfruttare le vulnerabilità di sicurezza note che esistono da molto tempo, quindi un sito ben aggiornato dovrebbe essre meno vulnerabile.

Abbiamo anche visto alcuni tentativi di inserire codice di mining utilizzando account di amministratore di WordPress compromessi, nonché alcuni attacchi che utilizzano account FTP compromessi, quindi attenti al phishing.

Come gli hacker traggono profitto dal malware di minig di criptovaluta

Gli hacker stanno incorporando il codice Javascript maligno sui siti Web che hanno compromesso. Per esempio il malware Coinhive fornisce un modo per estrarre una criptovaluta nota come Monero. Monero si differenzia da altre criptovalute come Bitcoin, in quanto non consente ai miners che utilizzano GPU o altri hardware specializzati un vantaggio computazionale significativo.

Ciò significa che è adatto per l’uso nei browser Web, eseguendo come JavaScript su CPU consumer, quindi è un attacco che mira all’utilizzatore non professionale del web, attenzione.

I proprietari dei siti che inseriscono il codice Coinhive sui propri siti Web guadagnano Monero perchè il malware Coinhive utilizza le risorse computazionali dei visitatori del sito per estrarre Monero.

Un utente malintenzionato può inserire il codice Coinhive su migliaia di siti Web e guadagnare Monero dall’attività di mining che avviene nei browser dei visitatori deli siti che ha infettato.

Ricerche recenti hanno concluso che un utente malintenzionato in grado di raggiungere una media di 1.000 utenti simultanei in tutti i siti infetti genererebbe 2.398 dollari di entrate mensili.

Pensiamo che questi attacchi cresceranno in numero molto rapidamente, data la loro redditività. Gli attacchi che tentano di incorporare malware crittografici sono attualmente poco sofisticati, ma ci aspettiamo di vedere un aumento della sofisticazione degli attacchi quando si scoprirà che questa è un’impresa redditizia.

Prevediamo inoltre che questi attacchi siano indirizzati a siti Web con traffico più elevato, dal momento che il potenziale di profitto aumenta notevolmente con un numero maggiore di visitatori di siti concorrenti.

Come verificare se il tuo sito è infetto da malware di minigdi criptovaluta

Fai sempre attenzione se molti dei tuoi visitatori iniziano a riportare scarso rendimento dal loro browser o computer mentre visitano il tuo sito.

Oppure registri rallentamenti o strani malfunzionamenti. Alcuni hacker hanno modificato le impostazioni del miners in modo che utilizzi solo una parte della potenza della CPU disponibile, o in modo che sia possibile eseguire solo un’istanza dello script minatore alla volta (anche se è aperta in più schede).

Però molti malware di mining sono ancora impostati per utilizzare il 100% delle risorse disponibili, quindi un forte calo delle prestazioni può essere un allarme.

Cambiamenti nei modelli di business degli attaccanti

Nuovi modelli di business stanno emergendo costantemente per gli aggressori. Storicamente, gli aggressori hanno utilizzato siti Web compromessi per generare contenuti di spam o e-mail spam.

Nell’ultimo decennio, il virus ransomware ha guadagnato popolarità tra gli aggressori, in quanto consente loro di estorcere denaro alle vittime.

Più recentemente, l’utilizzo di risorse computazionali rubate per la criptovaluta è emerso come un modo per hackers di trarre profitto da sistemi compromessi.

Questo modello di business emergente si è fatto strada nell’ecosistema WordPress come un modo per gli aggressori di trarre profitto da siti web WordPress compromessi e dalle risorse dei pc di proprietà dei visitatori del sito web.

È imperativo che i proprietari dei siti WordPress attivino un firewall ed effettuino una scansione malware sui loro siti per rilevare rapidamente questa nuova minaccia per garantire che le risorse dei loro visitatori non vengano dirottate sulla produzione di criptovaluta per “conto terzi”  a favore di  criminali.

Cosa fare se il tuo sito è infetto da malware di minig di criptovaluta

Ovviamente hai fatto copie di backup che ti consigliamo sempre di tenere aggiornate. Dopodichè esistono plugin come  Anti Malware Security and Brute Force Firewall che possono anlizzare il tuo sito.

Inoltre Google stessa provvedreà ad avvisarti dell’infezione suggerendoti posssibili rimedi, via email o attraverso Search Console, poi starà a te pulire i file infetti oppure utilizzare una copia di backup recente.

Attento comunque è in arrivo una penalizzazione per i siti infettati che avrà un impatto su circa il 5% delle query (a seconda della lingua).

Google ci sta dicendo che NON si limiterà ad inserire un “link di avvertimento” all’interno degli snippet delle SERP, ma potrebbe decidere di eliminare dai risultati di ricerca le pagine colpite da hacked spam.

WordPress sotto attacco Brute Force: mai così prima, la campagna è iniziata alle 3 del mattino

Questo articolo è stato pubblicato in WordPress Security il 18 dicembre 2017 da Mark Maunder

Una massiccia campagna di attacchi brute force* indirizzata ai siti WordPress è iniziata il 18 Dicembre  mattina alle 3:00 Ora del Pacifico. L’attacco è ampio in quanto utilizza un gran numero di IP di attacco, ed è anche nel profondo che ogni IP sta generando un enorme numero di attacchi.

Questa è la campagna più aggressiva che vista fino ad oggi, con un picco di oltre 14 milioni di attacchi all’ora. La campagna di attacco è stata così severa che abbiamo dovuto ampliare la nostra infrastruttura di registrazione per far fronte al volume al momento del lancio, il che rende chiaro che questo è l’attacco con il volume più alto che abbiamo visto nella storia di Wordfence, dal 2012.

La campagna continua aumentare di volume nell’ultima ora mentre pubblichiamo questo post. La nostra infrastruttura ha automaticamente inserito nella lista nera gli IP partecipanti in tempo reale e li ha distribuiti ai nostri clienti Premium. Tutto questo è successo in un momento di bassa attenzione questa stamattina presto. Continuiamo a monitorare la campagna e stiamo analizzando la sua origine e chi ci sta dietro.

Ciò che sappiamo in questo momento: l’attacco ha raggiunto il picco massimo di 14,1 milioni di attacchi all’ora. Il numero totale di IP coinvolti in questo momento è di oltre 10.000. Stiamo visualizzando fino a 190.000 siti WordPress mirati all’ora.

Questa è la campagna più aggressiva che abbiamo mai visto dal volume di attacco orario. Una possibile spiegazione per questo nuovo massiccio aumento degli attacchi di forza bruta: il 5 dicembre è emerso un enorme database di credenziali hackerate che contiene oltre 1,4 miliardi di coppie nome utente / password.

Circa il 14% del database contiene credenziali che non sono mai state viste prima. Il database è anche ricercabile e facile da usare. Storicamente, gli attacchi di forza bruta indirizzati a WordPress non hanno avuto molto successo. Questo nuovo database fornisce nuove credenziali che, se abbinate a un nome utente di WordPress, possono fornire una percentuale di successo più elevata per gli attaccanti che scelgono i siti che non dispongono di alcuna protezione.

Proteggersi

Se non lo hai già fatto, installa Wordfence immediatamente sul tuo sito. Perfino la versione gratuita di Wordfence fornisce un’eccellente protezione della forza bruta limitando i tentativi di accesso e nascondendo i nomi utente mentre impiega una varietà di altri meccanismi per respingere gli attaccanti. Si consiglia vivamente di eseguire l’aggiornamento a Wordfence Premium per beneficiare della funzionalità di lista nera in tempo reale che blocca il traffico da questi IP dannosi. Spargi la Parola Questo è il più alto attacco di forza bruta del volume che abbiamo visto fino ad oggi. Potrebbe anche utilizzare le nuove credenziali fornite nel database rilasciato il 5 dicembre, in modo che possa raggiungere un tasso di successo più alto del normale. Si prega di diffondere la parola tra la comunità di WordPress per creare consapevolezza di questa nuova minaccia. Puoi suggerire le seguenti azioni ai tuoi altri proprietari di siti WordPress: Installa un firewall come Wordfence che blocca in modo intelligente gli attacchi brute force. Assicurati di avere password complesse su tutti gli account utente, in particolare l’amministratore. Wordfence Premium offre funzionalità di controllo della password. Cambia il tuo nome utente amministratore da predefinito ‘admin’ a qualcosa di più difficile da indovinare. Elimina tutti gli account non utilizzati, in particolare gli account admin che non usi. Questo riduce la tua superficie d’attacco. Abilita l’autenticazione a due fattori su tutti gli account admin. Wordfence Premium offre due fattori. Abilitare una lista nera IP per bloccare gli IP coinvolti in questo attacco. Wordfence Premium fornisce una lista nera IP in tempo reale. Monitorare i tentativi di accesso configurando gli avvisi quando un amministratore accede al tuo sito web. Wordfence (versione gratuita) fornisce questo. Non riutilizzare una password su più servizi. In questo modo se hai una password da una violazione dei dati in questo nuovo database, non sarà la stessa password amministratore di WordPress. È possibile utilizzare un gestore di password come 1password per gestire molte password tra i servizi.

 

*Gli attacchi di forza bruta o “Brute-force” in campo informatico sono piuttosto semplici da capire. Avendo un programma protetto da password, un hacker che vuole decifrarla comincia a provare, in serie, ogni combinazione di caratteri, simboli lettere o numeri fino a che non viene trovata la chiave giusta.

Ovviamente questi tentativi non vengono fatti a mano, ma in modo automatico con un programma per computer che è tanto più veloce quanto potente è il computer utilizzato. L’attacco “a forza bruta” inizia partendo con chiavi da un carattere, poi con due e cosi via fino a quando trova la password.

Internet Facile – Gutemberg, il plugin che fa bello WordPress

Presento un progetto di pluguin gestito da WordPress.org in fase di sviluppo, servirà per realizzare post con una migliore impaginazione, maggiori possibilità di impaginazione del testo ed immagini, ma soprattutto favorirà il posizionamento del sito sui motori di ricerca.

Descrizione

L’obiettivo dell’editor di blocchi è quello di rendere l’aggiunta di contenuti multimediali a WordPress semplice e divertente.

Questo è un software beta.

La nuova esperienza di creazione di post e pagine renderà la scrittura di “rich post”, (essenzialmente sono  articoli che hanno migliori possibilitàdi comparire in posizioni avvantaggiate nei risultati organici di Google) senza sforzo, rendendo più semplice fare ciò che oggi potrebbe richiedere codice di accesso, HTML personalizzato o “tesori nascosti”.

WordPress supporta già una grande quantità di “blocks”, ma non li affronta molto bene, né dà loro molto in termini di opzioni di layout.

Abbracciando la natura a blocchi dei contenuti dei rich posts, verranno visualizzati i blocchi che già esistono, oltre a fornire opzioni di layout più avanzate per ciascuno di essi.

Questo ti permetterà di comporre facilmente post bellissimi come questo esempio. Vi consiglio di dare un occhiata, ha possibilità di gestione del testo in relazione alle immagini e delle immagini stesse no comuni in moltoi yemi di WordPress.

Gutenberg è costruito da molti contributori e volontari.

È possibile visualizzare l’elenco completo dei contributori nel file GitHub CONTRIBUTORS.md che aggiorniamo continuamente.

Puoi seguire su github.com/WordPress/gutenberg e sul tag #editor sul blog make.wordpress.org.

Leggi anche: Internet Facile – Come scoprire se un sito è fatto in WordPress