Versione delle 11:01, 26 apr 2022 modifica Pacman74 (discussione \| contributi) 89 modifiche →Temi: web minuscolo ← Differenza precedente		Versione delle 11:11, 26 apr 2022 modifica annulla Pacman74 (discussione \| contributi) 89 modifiche Uniformata tutta la voce con "web" (minuscolo) Differenza successiva →
Riga 405: In un'intervista del giugno 2007, Stefan Esser, il fondatore del PHP Security Response Team, ha parlato in modo critico del track record di sicurezza di WordPress, citando problemi con l'architettura dell'applicazione che hanno reso inutilmente difficile scrivere codice protetto dalle vulnerabilità di SQL injection, come così come altri problemi<ref>{{cita web\|urlarchivio=https://web.archive.org/web/20121013080700/http://blogsecurity.net/wordpress/interview-280607\|url=http://blogsecurity.net/wordpress/interview-280607/\|titolo=Interview with Stefan Esser\|editore=BlogSecurity\|data=28 giugno 2007\|accesso=15 giugno 2010}}</ref>. Nel giugno 2013 è stato rilevato che alcuni dei 50 plug-in di WordPress più scaricati erano vulnerabili agli attacchi ~~Web~~web comuni come SQL injection e XSS. Un'ispezione separata dei primi 10 plugin di [[Commercio elettronico\|e-commerce]] ha mostrato che sette di loro erano vulnerabili<ref>{{cita web\|nome=Robert\|cognome=Westervelt\|url=http://www.crn.com/news/security/240156883/popular-wordpress-e-commerce-plugins-riddled-with-security-flaws.htm\|titolo=Popular WordPress E-Commerce Plugins Riddled With Security Flaws – Page: 1\|editore=CRN\|data=18 giugno 2013\|accesso=11 marzo 2015\|urlarchivio=https://web.archive.org/web/20150320025904/http://www.crn.com/news/security/240156883/popular-wordpress-e-commerce-plugins-riddled-with-security-flaws.htm}}</ref>. Nel tentativo di promuovere una migliore sicurezza e di semplificare l'esperienza di aggiornamento in generale, in WordPress 3.7 sono stati introdotti aggiornamenti automatici in background<ref>{{cita web\|url=https://codex.wordpress.org/Configuring_Automatic_Background_Updates\|titolo=Configuring Automatic Background Updates « WordPress Codex\|editore=Codex.wordpress.org\|accesso=30 giugno 2014\|urlarchivio=https://web.archive.org/web/20140628074829/http://codex.wordpress.org/Configuring_Automatic_Background_Updates}}</ref>. Riga 413: Gli sviluppatori possono anche utilizzare strumenti per analizzare potenziali vulnerabilità, tra cui WPScan, WordPress Auditor e WordPress Sploit Framework sviluppato da 0pc0deFR. Questi tipi di strumenti ricercano le vulnerabilità note, come CSRF, LFI, RFI, XSS, SQL injection e l'enumerazione degli utenti. Tuttavia, non tutte le vulnerabilità possono essere rilevate dagli strumenti, quindi è consigliabile controllare il codice di plugin, temi e altri componenti aggiuntivi di altri sviluppatori. Nel marzo 2015, è stato segnalato da molti esperti di sicurezza e SEO, tra cui Search Engine Land, che un plug-in SEO per WordPress chiamato Yoast, utilizzato da oltre 14 milioni di utenti in tutto il mondo, ha una vulnerabilità che può gli hacker a fare una Blind SQL injection<ref>{{CVE\|2015-2292}} {{Cita web \|url=http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2292 \|titolo=Copia archiviata \|accesso=gennaio 25, 2021 \|urlarchivio=https://web.archive.org/web/20170614212804/http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2292 \|urlmorto=sì }}, Retrieved on July 7, 2017</ref><ref>Common Vulnerabilities and Exposures {{CVE\|2015-2293}}{{Cita web \|url=http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2293 \|titolo=Copia archiviata \|accesso=gennaio 25, 2021 \|urlarchivio=https://web.archive.org/web/20170615040555/http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2293 \|urlmorto=sì }}, Retrieved on July 7, 2017</ref>. Per risolvere il problema, è stato introdotto una versione più recente (1.7.4) dello stesso plug-in<ref>Barry Schwartz [http://searchengineland.com/yoast-wordpress-seo-plugin-vulnerable-to-hackers-216656 "Yoast WordPress SEO Plugin Vulnerable To Hackers"] {{Webarchive\|url=https://web.archive.org/web/20160211201247/http://searchengineland.com/yoast-wordpress-seo-plugin-vulnerable-to-hackers-216656\|data=11 febbraio 2016}}, Retrieved on February 13, 2016.</ref>. Nel gennaio 2017, i revisori della sicurezza di Sucuri hanno identificato una vulnerabilità nell'API REST di WordPress che consentirebbe a qualsiasi utente non autenticato di modificare qualsiasi articolo o pagina all'interno di un sito con WordPress 4.7 o versioni successive. I revisori hanno informato silenziosamente gli sviluppatori di WordPress ed entro sei giorni WordPress ha rilasciato una patch ad alta priorità alla versione 4.7.2, che ha risolto il problema<ref>{{Cita news\|url=https://make.wordpress.org/core/2017/02/01/disclosure-of-additional-security-fix-in-wordpress-4-7-2/\|titolo=Disclosure of Additional Security Fix in WordPress 4.7.2\|data=1º febbraio 2017\|pubblicazione=Make WordPress Core\|accesso=16 febbraio 2017\|lingua=en\|urlarchivio=https://web.archive.org/web/20170216141000/https://make.wordpress.org/core/2017/02/01/disclosure-of-additional-security-fix-in-wordpress-4-7-2/}}</ref><ref>{{Cita news\|url=https://blog.sucuri.net/2017/02/content-injection-vulnerability-wordpress-rest-api.html\|titolo=Content Injection Vulnerability in WordPress 4.7 and 4.7.1\|data=1º febbraio 2017\|pubblicazione=Sucuri Blog\|accesso=16 febbraio 2017\|lingua=en\|urlarchivio=https://web.archive.org/web/20170216131416/https://blog.sucuri.net/2017/02/content-injection-vulnerability-wordpress-rest-api.html}}</ref>. L'avviso di fingerprinting di [[Canvas (elemento HTML)\|Canvas]] viene in genere fornito da Tor Browser per i siti ~~Web~~web basati su WordPress. A partire da WordPress 5.2, il requisito minimo per la versione PHP è PHP 5.6<ref name=":02">{{cita web\|url=https://wordpress.org/about/requirements/\|titolo=WordPress › About » Requirements\|accesso=21 maggio 2019\|sito=wordpress.org\|urlarchivio=https://web.archive.org/web/20190521083933/https://wordpress.org/about/requirements/}}</ref>, che è stato rilasciato il 28 agosto 2014, e che non è stato supportato dal gruppo PHP e non ha ricevuto alcuna patch di sicurezza dal 31 dicembre 2018<ref name="eol">{{cita web\|url=https://php.net/eol.php\|titolo=Unsupported Branches\|sito=php.net\|accesso=21 maggio 2019\|urlarchivio=https://web.archive.org/web/20190515084927/https://www.php.net/eol.php}}</ref>. Pertanto, WordPress consiglia di utilizzare PHP versione 7.3 o successiva<ref name=":02"/>. In assenza di modifiche specifiche al codice di formattazione predefinito, i siti ~~Web~~web basati su WordPress utilizzano l'elemento Canvas per rilevare se il browser è in grado di eseguire correttamente il rendering delle emoji. Poiché [[Tor (software)\|Tor Browser]] {{chiarire\|attualmente\|quando?}} non discrimina tra questo uso legittimo dell'API Canvas e il tentativo di eseguire il fingerprinting, avverte che il sito ~~Web~~web sta tentando di "estrarre i dati dell'immagine di Canvas HTML5". Gli sforzi in corso cercano soluzioni alternative per rassicurare i sostenitori della privacy pur mantenendo la capacità di verificare la corretta capacità di rendering delle emoji<ref>{{cita web\|url=https://core.trac.wordpress.org/ticket/42428\|titolo=Bug report #42428: wp-emoji pops up privacy hanger in Firefox with privacy.resistFingerprinting turned on\|autore=<!--Not stated-->\|sito=Make WordPress Core\|accesso=4 febbraio 2020}}</ref>. === Attacchi hacker ===

WordPress: differenze tra le versioni