Piero Bosio Social Web Site Personale

900.000 siti WordPress a rischio per 24 ore per un bug di WPvivid Backup & Migration📌 Link all'articolo : https://www.redhotcyber.com/post/900-000-siti-wordpress-a-rischio-per-24-ore-per-un-bug-nel-plugin-wpvivid-backup-migration/#redhotcyber #news #cybersecurity #hacking #wordpress #vulnerabilita #sicurezzainformatica #backup #migrazione #codiceremoto #sitiweb #cves

@frank this has now cleaned up and added as one of the snippets that are available in the @activitypub.blog plugin by @pfefferle , see https://github.com/Automattic/wordpress-activitypub/tree/trunk/snippets/blockless-activitypub

@activitypub.blog @byte found the bug! your comment is now properly added!

one thing I wantto do here as soon as I can, is to properly add people on lists! I LOVE lists! The first one I made is for comics authors and artists! See you soon! Hugs for all!

Just an #AskFedi session. I currently installed my GoToSocial instance on VPS and now I'm conflicted about how to organize the project better. GoToSocial is needed to interact with Fediverse users, as the other platforms miss some activities. ⁃ WriteFreely: very good, minimal to write, but it has no space for search or comments. It's OK just for the stories.⁃ WordPress: it has federation through plugin, comments appearing on the site, but not yet usable as a fediverse actor for common interaction, with an ordinary client. Icecubes, Mona, Phanpy, Enafore, Tweesecake, Elk, etc. And "enable mastodon apps" is still buggy.⁃ As I have contents both in Italian and English, I currently have to choose: do I federate the English and Italian WordPress sites where real world and long-form fictions are published, and have just an unified project's instance on GoToSocial where I personally talk (me and my other co-worker) both in Italian and English? I honestly am very conflicted. #activitypub #gotosocial #WordPress

@pfefferle AndStatus on Android has AP C2S support. Not sure how mature though.@mediaformat

@elettrona @mediaformat I am also searching for a plush Wapuu!!! Where have you found one?

#wordpress news for dev, designers, business folks. https://wp.feedland.org/Click on the orange XML icon in the upper right corner for the list of feeds. Always want to add more sites to the list.

@renatozechetto@mastodon.art idk about reaching people here in the fediverse to get eyes on your Wordpress site. I’ve been on the fediverse for almost three years and my music endeavors have been mixed. I get people to link to my Linktree site fairly often, but my Wordpress site where I have tried to sell music and paintings is a bit of a dud. One reason is that most of my followers are fellow musicians and artists, while what you need to do is find hashtags that appeal to your target audience and use those hashtags to boost your posts. Also, follow as many people as possible, only about half of people you follow will follow back, if my experience translates. Also, the audience here in the fediverse is a bit skimpy, with about 11 million users and only about 10% of those are actively using the fediverse.

@pfefferle olha isso @ton

RE: https://fsoc.lol/2026/01/26/looking-for-self-hosting-companions/Still figuring out the best way to interact with the #fediverse. I think at the moment and the way #mastodon integrates with #wordpress it's best to primarily use the infosec.exchange account and limit @site to community / website updates.Anybody else on their #selfhosting journey? Or interested in following along?

@jansenspott @freuwesen hmmm. Ich dachte eigentlich WordPress würde dann auch alle Antworten darauf löschen 🤔

@aufkurztrip aber vielleicht hab ich ne idee... ich probier mal bissle rum...

Il tuo sito WordPress non è una vetrina: è già una botnet (GrayCharlie docet)📌 Link all'articolo : https://www.redhotcyber.com/post/il-tuo-sito-wordpress-non-e-una-vetrina-e-gia-una-botnet-graycharlie-docet/#redhotcyber #news #cybersecurity #hacking #malware #ransomware #netsupportrat #wordpress #javascript

Account admin compromessi: exploit attivo colpisce il plugin Modular DS di WordPress📌 Link all'articolo : https://www.redhotcyber.com/post/account-admin-compromessi-exploit-attivo-colpisce-il-plugin-modular-ds-di-wordpress/#redhotcyber #news #cybersecurity #hacking #wordpress #vulnerabilita #sicurezzainformatica #plugin

... und übrigens. #wordpress und #fediverse sind DAS Feature! Das funktioniert inzwischen super reibungslos und mich wundert, dass das noch nicht vollkommen explodiert ist. Was geht ab? #activitypub

Si parla di:ToggleLa vulnerabilità CVE-2026-23550Il trucco con l’header OriginImpatto e rispostaI ricercatori hanno scoperto una vulnerabilità critica nel plugin Modular DS per WordPress che ha permesso a hacker di compromettere oltre 40.000 siti con un metodo sorprendentemente semplice.La vulnerabilità CVE-2026-23550Il plugin Modular DS, installato su decine di migliaia di siti WordPress, presentava una falla di privilege escalation classificata con un punteggio CVSS di 10.0, il massimo livello di severità. Questa debolezza, identificata come CVE-2026-23550 e catalogata nel database di Positive Technologies, riguardava le versioni 2.5.1 e 2.5.2 e derivava da una mancanza di autenticazione adeguata nell’endpoint API /apimodular-connector/login. Gli attaccanti potevano inviare una richiesta GET a questo endpoint senza credenziali, sfruttando parametri come login, server-information e manager per elevare i privilegi e ottenere accesso amministrativo completo, inclusi moduli per il login, la gestione del server e i backup.Patchstack ha rilevato le prime exploitation il 13 gennaio 2026 alle 02:00 UTC, con richieste anomale provenienti da IP come 45.11.89.19 e 185.196.0.11, che puntavano proprio a quell’endpoint vulnerabile. La tecnica non richiedeva payload complessi né exploit zero-day elaborati: bastava una semplice chiamata HTTP per bypassare i controlli e iniettare un account amministratore, permettendo l’esecuzione di comandi arbitrari sul server sottostante.Il trucco con l’header OriginGli hacker hanno affinato l’attacco aggiungendo un header HTTP "Origin: mo.", una stringa apparentemente innocua che il plugin Modular DS interpretava come indicatore di una richiesta legittima proveniente dal dominio “originmo”. Questo header, combinato con la mancanza di validazione sull’API apimodular-connector, convinceva il sistema a trattare la chiamata come interna, eludendo ulteriori verifiche di sicurezza. In pratica, l’attaccante simulava una richiesta dal pannello di controllo del plugin stesso, ottenendo accesso istantaneo a funzionalità sensibili come la gestione dei backup e le informazioni sul server.Tale approccio, definito il “metodo più pigro” dagli analisti, ha colpito siti vulnerabili in modo massivo perché non necessitava di scansioni personalizzate o tool avanzati: una semplice modifica all’header in una richiesta GET standard era sufficiente per compromettere l’intero ambiente WordPress. Positive Technologies ha dettagliato come questo meccanismo permettesse non solo l’elevazione di privilegi ma anche l’inserimento di backdoor persistenti, con potenziali ramificazioni su database e file system.Impatto e rispostaL’exploit ha interessato circa 40.000 installazioni attive del plugin, esponendo siti a rischi di defacement, furto dati e ulteriore propagazione di malware tramite i manager di backup integrati. Patchstack ha rilasciato una patch urgente nella versione 2.5.2, che introduce validazioni rigorose sugli header Origin e sull’autenticazione API, bloccando richieste non autorizzate attraverso controlli nonce e verifica IP whitelisting.Gli amministratori di WordPress devono verificare immediatamente la presenza del plugin Modular DS, aggiornarlo alla versione corretta e monitorare i log di accesso per endpoint sospetti come /apimodular-connector/.Questa discussione è aperta anche su Feddit in @informatica

@pfefferle Looks amazing! So this is the best place to download it? https://wordpress.org/plugins/activitypub/ / https://github.com/Automattic/wordpress-activitypub@fsoc

@nonno kein problem, danke dir!also eigentlich schickt das plugin einfach den kompletten HTML code und sharkey scheint da ein paar elemente raus zu nehmen.browser.pub visualisiert ganz schön, was das plugin so alles verschickt und wie es aussehen könnte: https://browser.pub/https%3A%2F%2Fwww.mikapi.de%2Fgenuss%2Fviel-mehr-aroma-in-einem-brot-geht-nicht%2F

Happy new year 🎉We’ve just shipped a new patch release (7.8.3 & 7.8.4) of the #WordPress #ActivityPub plugin, bringing a range of fixes and improvements.* Improved compatibility with Akismet, ClassicPress and Polylang* Fixed visibility default handling for old post* Improved the handling of Hashtags* Fix Follow requests from PixelfedThanks @maxheadroom @jeremy and @linos for your contributions!https://github.com/Automattic/wordpress-activitypub/releases/tag/7.8.3#Fediverse #Automattic