Tag: Wordpress

Leave a reply

Compilare WPScan 2.9.4-dev su Debian Jessie

Per chi come me si ritrova WPScan alla versione 2.9.2 e vuole aggiornarla all’ultima versione attuale, quindi alla 2.9.4-dev (anche se l’ultima versione stabile è la 2.9.3), e quindi con nuove funzionalità, lo può fare con meno sbattimenti rispetto a prima per quanto riguarda la versione di Ruby, la versione consigliata dal team di WPScan è l’ultima stabile, cioè la 2.4.2.

Mi riferisco a questo articolo, che oramai è da considerare obsoleto: https://www.freenixsecurity.net/it/2017/04/14/wpscan-come-trovare-vulnerabilita-in-wordpress/

La guida in questione è ancora su Debian Jessie, perchè su Stretch sto ancora risolvendo dei piccoli grandi problemi in modo da poter sfornare le distro. L’unica distro derivata da Debian Stretch attualmente è SparkyLinux.
(altro…)




Leave a reply

I blog? compiono 20 anni!

La data di oggi è stata omologata come quella in cui cade la nascita dei blog. Il primo blog della fu Scripting News di Dave Winer (lo sviluppatore di Fargo nonché colui che contribuì ad inventare il sistema dei feed RSS) che, guarda caso, già nel 1994 aveva le idee chiare scrivendo questo pezzo:Bill Gates contro Internet Proprio in tema con Freenix, ah ah!

Secondo il mio parere di modesto blogger, lo strumento blog sarebbe ancora valido, ma i tempi e le persone sono cambiate.

A dover capire questo deve essere chi scrive, in quanto chi legge lo ha già capito da tempo.

La sensazione di tutte le persone è di avere meno tempo a disposizione, mentre le pagine da leggere sono in aumento: facile capire come andrà a finire…

Quindi considero i blog ormai superflui? Giammai, non sarei coerente con me stesso e con i miei lettori.

Pensiamo a quei paesi in cui le informazioni libere raggiungono le persone comuni passando dai blog come unica via percorribile.

Quello che voglio dire è che non ci si può meravigliare, come invece vedo fare molte volte, che le persone non leggano gli articoli.

Ci si deve già considerare onorati delle visite: che tutti leggano e capiscano gli articoli è veramente utopia!

Del resto, molti contenuti presenti nei blog potrebbero benissimo stare in una semplice pagina Facebook, che io ritengo il principale avversario dei blog.

Un esempio per chiarire il mio ragionamento: mi piace uno scrittore, Paolo Longarini che ha sia un blog che una pagina fb ( Servitevi da Soli) in cui scrive ogni paio di giorni i suoi pezzi.

Dove pensate che lo segua? Su Facebook! Molto più immediato: notifica della nuova uscita, commenti al pezzo e via. Ma che dire se scrivesse  nel blog e postasse solo il link in fb? Sarei costretto, volentieri, a leggere il blog.

Ecco il punto: la strategia! Che naturalmente, richiede di avere obbiettivi ben chiari in mente. Quale dovrebbe essere l’obbiettivo di un blog? Al giorno d’oggi  una risposta unica non c’è, ma chiaramente, chi vuole farsi un brand scriverà diversamente da chi vuole informare dei suoi servizi o prodotti. A chi poi vorrebbe guadagnare con i click…  auguro le migliori fortune!

Quindi si deduce che, perché un blog abbia buon seguito, deve avere caratteristiche veramente spiccate, ma anche offrire dei servizi per il lettore. Questi possono essere canali Youtube guide, manuali pdf, link ad articoli utili(non è che i lettori aprono solo la nostra di pagina) oppure, niente di tutto questo, ma argomenti attuali, dai contenuti affidabili e che siano utili a chi legge. Facile a dirsi e difficile a farsi, ma questo deve essere la base di ogni blogger che voglia crearsi un seguito di lettori. Anche se questa ricerca della verità e dell’accuratezza andasse  a discapito della frequenza di pubblicazione, sarebbe comunque da preferire.

In conclusione ritengo che il blog dimostri tutti i suoi 20 anni, ma che noi blogger possiamo tenere fresco il nostro prodotto  sfornando pagine attuali, utili ai lettori e che rispecchino l’autore.




Leave a reply

WordPress Core <= 4.7.4 Potential Unauthorized Password Reset (0day)

Aggiornate immediatamente WordPress alla versione 4.7.5 , c’è una pericolosa vulnerabilità che permette di redirezionare la mail di recupero del vostro account su una mail malevola, consentendo quindi il recupero del link per l’impostazione della nuova password.
(altro…)




Leave a reply

OpenSSL, Altervista e WordPress

Come ben sapete, OpenSSL è integrato in altervista in maniera del tutto gratuita. L’unicoproblema è la visualizzazione dei CMS come WordPressd dopo che l’abbiamo abilitato.

La visualizzazione del sito diventa pessima, persino sul pannello di amministrazione del WordPress stesso.

Chiedendo spiegazioni sul forum di Altervista ho trovato una buo anima che mi ha risposto e non smetterò mai di ringraziare.

Si fa chiamare helpdesk32, e per correttezza e riconoscenza pubblico l’url del suo blog http://helpdesk32.altervista.org/

Mi ha dato delle dritte non indifferenti da utiizzare per rendere il mio blog utilizzabile con l’HTTPS di Altervista.
(altro…)




Leave a reply

WPScan – Enumerazione degli utenti, ma come fa?

In un precedente articolo vi ho parlato di come si installa WPScan, un Vulnerability Scanner per WordPress scritto in ruby, ecco l’articolo: http://www.freenixsecurity.net/it/2017/04/14/wpscan-come-trovare-vulnerabilita-in-wordpress/

In questo articolo parleremo dell’enumerazione degli utenti, e vi spiego pure come farlo manualmente.
(altro…)




Leave a reply

WordPress 4.7.4 wp-comments-post.php $comment Persistent XSS – FIXED

Vi ricordate quando vi parlai di una vulnerabilità 0day che non volevo rivelare in pubblico per via della sua pericolosità e la segnalai alla mail security@wordpress.org ?

Mi riferisco a questo articolo: http://www.freenixsecurity.net/it/2017/04/22/0day-in-wordpress-4-7-4-e-versioni-precedenti/

Bene ho trovato il fix, ma va applicato a mano.

E’ una Persistent XSS (Cross Site Scripting) nei commenti degli articoli e delle pagine di WordPress, una vulnerabilità che permette di iniettare codice javascript, e non è da sottovalutare affatto.

Con questa vulnerabilità un attacker può anche redirezionare l’admin su una pagina malevola, o alla creazione di un nuovo admin, oppure iniettare un cookie grabber.

Ecco l’advisory compreso di fix: http://www.freenixsecurity.net/files/vulnerabilities/web_applications/wordpress/WordPress_4.7.4_wp-comments-post.php_$comment_Persisten_Cross_Site_Scripting.txt




Leave a reply

WordPress 4.7.4 rss-functions.php Full Path Disclosure – FIXED

Sicuramente a tutti voi è capitato di ritrovarvi con WPScan davanti all’errore:

[!] Full Path Disclosure (FPD) in 'http://example.com/wp-includes/rss-functions.php':

Tutte le versioni di WordPress sono infette, compresa l’ultima (4.7.4), ma non preoccupatevi ho scritto il fix.
(altro…)




Leave a reply

0day in WordPress 4.7.4 e versioni precedenti

Con l’aiuto di nebulasit, un mio carissimo amico che si occupa anche lui di sicurezza informatica, abbiamo trovato una vulnerabilità 0day in WordPress 4.7.4 (attualmente è l’ultima versione) e tutte le versioni precedenti.

La vulnerabilità è stata testata sulle versioni 4.7.3 e 4.7.4 e purtroppo funziona.
(altro…)




Leave a reply

WPScan – Come trovare vulnerabilità in WordPress

WPScan è un ottimo tool integrato nelle maggiori distribuzioni GNU-Linux orientate al penetration testing, come Kali Linux, BackBox e così via…

E’ scritto in ruby, ed ovviamente può essere installato su qualsiasi versione GNU-Linux.

Ora vi mostrerò come installarlo su Debian Jessie in pochi e semplici passaggi.
(altro…)




Leave a reply

SEO #00 – Introduzione al SEO

Da adesso si parla di una nuova rubrica, molto importante per i blogger, i webmaster in generale e le aziende. Ma cominciamo prima di tutto a fare un pò di chiarezza sulla terminologia.

Premetto che tutte queste informazioni che vi sto dando gli “esperti SEO” o sedicenti tali (spesso non conoscono neanche loro tutti questi aspetti) se le fanno pagare fior di quattrini, ma io credo che la conoscenza deve essere gratuita, la prestazione no. Nel senso, se volete studiare il materiale deve essere a disposizione, e dovete essere liberi di poter studiare, se invece volete che un altro faccia questo lavoro, beh li ovviamente vi tocca pagare, e mi sembra giusto. Il tempo è denaro, ed io personalmente non guadagno mica facendo altri lavori se non quelli legati all’informatica ed all’elettronica. Però l’informazione deve essere gratuita e fruibile da tutti!!!
(altro…)