Accueil Tags Affecte

Tag: affecte

Comment la mise à jour utile du contenu de Google a affecté le référencement des actualités dans 12 pays différents

0

Ce message a été sponsorisé par Trisolute News Dashboard. Les opinions exprimées dans cet article sont celles du sponsor.

Vous vous demandez pourquoi la visibilité de certains de vos articles a soudainement chuté cette année ?

Cela pourrait-il faire partie d’une tendance plus large?

Sur 25 août 2022, Google a commencé à déployer une mise à jour qui pourrait être assez intéressante pour les éditeurs d’actualités et leur visibilité. Sur 12 septembreils ont déployé une autre mise à jour principale.

Ces mises à jour principales ont été nommées « Mises à jour utiles du contenu ».

Aujourd’hui, nous allons vous montrer comment les éditeurs d’actualités du monde entier en ont été impactés.

Qu’est-ce que la mise à jour de contenu utile ?

La mise à jour du contenu utile de Google est une mise à jour de l’algorithme qui se concentre sur :

  • Éliminer le contenu écrit dans le seul but d’obtenir un bon classement.
  • Déprioriser les articles qui ne contiennent aucun contenu informatif ou utile pour le lecteur.
  • Récompenser le contenu qui est utile aux lecteurs.

Google met fréquemment à jour son algorithme afin de mieux faire correspondre le contenu aux internautes, et parfois, la visibilité des éditeurs est fortement impactée.

Quelles catégories Google la mise à jour de contenu utile a-t-elle affectée ?

Dans cet article, nous présenterons les éditeurs du monde entier qui ont été touchés par la mise à jour du contenu utile.

Nous avons examiné chacune des catégories de Google pour voir si nous trouverions quelque chose d’extraordinaire au moment de l’exécution des mises à jour et avons sélectionné un ou deux pays par catégorie où les changements étaient particulièrement évidents.

Ces catégories étaient :

  • Meilleures histoires.
  • Nouvelles spécifiques au pays.
  • Nouvelles du monde.
  • Actualité économique.
  • Actualités scientifiques et technologiques.
  • Nouvelles du divertissement.
  • Nouvelles sportives.
  • Infos santé.
  • Actualités du covid19.

Toutes les données présentées dans cet article sont extraites du tableau de bord des actualités de Trisolute.

Comment nous avons découvert l’impact de la mise à jour utile du contenu

Nous voulions nous assurer d’examiner les éditeurs les plus visibles pour les mots-clés généralement les plus récents et les plus dignes d’intérêt basés sur Google Actualités et tendances afin d’obtenir les résultats les plus percutants pour le paysage des éditeurs.

Tous les classements sont basés sur un intervalle d’exploration de 15 minutes en temps quasi réel, nous avons donc utilisé les paramètres de filtre suivants sur le tableau de bord KPI → Mobile News Box :

  • Plage de dates : 25 juillet 2022 – 25 septembre 2022 (semaine 30 – semaine 38).
  • Les 10 meilleurs concurrents.
  • Tous les types de classement.
  • Ensemble de mots-clés généraux.

Avec ces paramètres de filtrage, nous avons examiné individuellement différents pays du monde entier.

Regardons:

Meilleures histoires

Mexique

Ici, on peut observer que les deux éditeurs, El Financiero et Infobae, ont évidemment été concernés par les mises à jour :

Alors qu’El Financiero a montré une augmentation de sa visibilité après la mise à jour d’août, Infobae a chuté de visibilité par la suite.

Après la mise à jour de septembre, El Financiero a également affiché une baisse visible.

Comment la mise à jour utile du contenu de Google a affecté le référencement des actualités dans 12 pays différents

Les deux lignes pointillées verticales marquent respectivement les deux mises à jour.

Le verdict:

Les éditeurs semblent avoir été légèrement plus touchés par la mise à jour d’août que par la mise à jour de septembre, à la fois positivement et négativement.

Nouvelles spécifiques au pays

Suisse

20 Minutes et Blick ont ​​tous deux gagné en visibilité après la mise à jour d’août.

Puis, en semaine 36 (5 septembre – 11 septembre), 20 Minutes a connu son pic de visibilité, alors que Blick avait déjà commencé à baisser.

De la semaine 36 à la semaine 37, la semaine où la deuxième mise à jour a eu lieu, les deux éditeurs ont affiché une baisse extrême.

Comment la mise à jour utile du contenu de Google a affecté le référencement des actualités dans 12 pays différents

Le verdict:

Alors que les éditeurs semblaient avoir bénéficié de la mise à jour d’août dans cette catégorie, la mise à jour de septembre a entraîné une baisse de leur visibilité.

Nouvelles du monde

Colombie

Pour Columbia, il y a eu une augmentation de la visibilité après la mise à jour d’août, en particulier pour El Tiempo et Semana, tandis que la visibilité d’El Espectador a presque stagné.

Cependant, la visibilité a chuté pour les trois éditeurs avant la mise à jour de septembre et est restée à un niveau presque constant après celle-ci.

Seul El Espectador a pu retrouver de la visibilité après la deuxième mise à jour.

Comment la mise à jour utile du contenu de Google a affecté le référencement des actualités dans 12 pays différents

Le verdict:

Les deux mises à jour ont causé beaucoup de turbulences dans la visibilité des éditeurs.

Actualité économique

Pérou

Ici, nous pouvons observer qu’entre les deux mises à jour, CNN a vu des pertes de visibilité, mais celles-ci se sont à nouveau égalisées vers la mise à jour de septembre.

RPP a également pu augmenter sa visibilité au début, mais l’a perdue avant et après la mise à jour de septembre.

Pour El Comercio, il y a eu une reprise à court terme après la mise à jour d’août, mais elle s’est à nouveau aplatie.

Comment la mise à jour utile du contenu de Google a affecté le référencement des actualités dans 12 pays différents

Le verdict:

La première mise à jour semble avoir eu un effet plus fort et plus négatif sur les éditeurs au Pérou que la seconde.

Actualités scientifiques et technologiques

France

Dans la catégorie Science & Technologie, les éditeurs en France ont largement pu maintenir voire renforcer leur visibilité après la mise à jour d’août.

Cependant, Jeuxvideo et Gamekult ont perdu leur visibilité après la mise à jour de septembre – seul Le Monde a augmenté sa visibilité après les deux mises à jour.

Comment la mise à jour utile du contenu de Google a affecté le référencement des actualités dans 12 pays différents

Le verdict:

Pour la plupart des éditeurs français, les deux mises à jour de Google dans la catégorie Science & Technologie ont entraîné une perte de visibilité.

Nouvelles du divertissement

Australie

Dans la catégorie Divertissement australien, la visibilité de News.com.au a augmenté avant la mise à jour d’août, pour ensuite afficher une baisse extrême qui a duré jusqu’à la semaine de la mise à jour de septembre.

Cela a conduit à un nouvel aplatissement de la courbe de visibilité.

Comment la mise à jour utile du contenu de Google a affecté le référencement des actualités dans 12 pays différents

Le verdict:

La première mise à jour d’août semble avoir eu un impact significativement négatif sur les éditeurs australiens de la catégorie Divertissement, tandis que la deuxième mise à jour de septembre a eu un impact plus positif.

Royaume-Uni

Pour les éditeurs au Royaume-Uni, les deux mises à jour ont montré des influences significatives sur la visibilité, comme on peut le voir ci-dessous pour le Daily Mail et le Mirror.

Les deux éditeurs ont montré une augmentation de leur visibilité jusqu’à la semaine 34.

Ensuite, lorsque la mise à jour d’août a eu lieu, leurs deux visibilités ont considérablement chuté.

Pour le Daily Mail, le graphique baisse continuellement, même jusqu’à la mise à jour de septembre, mais pour le Mirror, cette deuxième mise à jour les a fait baisser encore plus en termes de visibilité.

Comment la mise à jour utile du contenu de Google a affecté le référencement des actualités dans 12 pays différents

Le verdict:

Ici, la première mise à jour d’août a eu un effet significatif sur la visibilité des éditeurs ; le second n’a eu qu’un effet modéré.

Nouvelles sportives

Canada

Dans la catégorie Sports canadiens, TSN a maintenu sa visibilité lors de la mise à jour d’août, mais l’a légèrement perdue la semaine précédant et pendant la mise à jour de septembre. Cependant, ils l’ont récupéré après la mise à jour.

La visibilité de CBC, en revanche, est allée dans l’autre sens : avant la mise à jour d’août, leur visibilité a considérablement augmenté, puis a légèrement diminué lors de la mise à jour de septembre et la semaine suivante.

Comment la mise à jour utile du contenu de Google a affecté le référencement des actualités dans 12 pays différents

Le verdict:

La mise à jour d’août a eu un impact plus important sur la visibilité des éditeurs dans la catégorie Sports, pour certains immédiatement au moment de la mise à jour, et pour d’autres dans les semaines suivantes.

Infos santé

L’Autriche

Dans la catégorie Santé, les éditeurs autrichiens Der Standard et ORF ont pu augmenter considérablement la visibilité après la mise à jour d’août et ont également apporté cette augmentation à la mise à jour de septembre avec de légères fluctuations.

En revanche, Kurier et Vienna.at ont perdu leur visibilité après la mise à jour d’août, mais ont également pu rattraper cela après la mise à jour de septembre.

Comment la mise à jour utile du contenu de Google a affecté le référencement des actualités dans 12 pays différents

Le verdict:

Pour les éditeurs en Autriche, la mise à jour d’août semble avoir eu le plus grand impact sur leur visibilité dans la catégorie Santé, négative pour certains éditeurs et positive pour d’autres.

États-Unis

Dans la catégorie US Health, les progressions semblent avoir été identiques entre NPR et The New York Times, car initialement, les deux ont perdu de la visibilité après la mise à jour d’août.

Cependant, NPR a continué à perdre de la visibilité jusqu’à la mise à jour de septembre et après cela, sa visibilité a légèrement augmenté à nouveau.

Pour le New York Times, en revanche, les choses sont devenues un peu plus turbulentes : d’abord, ils ont retrouvé de la visibilité entre les deux mises à jour, pour la perdre de manière significative dans la semaine de la mise à jour de septembre, et la retrouver dans la semaine suivant la mise à jour. .

Comment la mise à jour utile du contenu de Google a affecté le référencement des actualités dans 12 pays différents

Le verdict:

La mise à jour d’août semble avoir eu un impact négatif sur la visibilité des éditeurs dans la catégorie Santé, tandis que la deuxième mise à jour de septembre a eu un effet positif.

Actualités du covid-19

Brésil

Dans la catégorie COVID-19 au Brésil, les trois éditeurs Globo, Abril et UOL ont montré peu ou pas de changements dans leur visibilité au cours de la semaine de la mise à jour d’août.

Cependant, au cours de la semaine 36, qui marque la semaine précédant immédiatement la mise à jour de septembre, Abril et Globo ont perdu leur visibilité, tandis que UOL a augmenté.

Pour Globo, cette baisse s’est poursuivie tout au long de la mise à jour de septembre alors que l’UOL continuait d’augmenter ; seul Abril a pu se rattraper et aplanir la courbe.

Comment la mise à jour utile du contenu de Google a affecté le référencement des actualités dans 12 pays différents

Le verdict:

Les principaux éditeurs brésiliens semblent avoir été nettement plus touchés par la mise à jour de septembre que par la mise à jour d’août.

Allemagne

Dans la catégorie allemande COVID-19, DER SPIEGEL a particulièrement gagné en visibilité dans la semaine précédant la mise à jour d’août, puis l’a lentement perdue tout au long de celle-ci.

Grâce à la mise à jour de septembre, la tendance pour DER SPIEGEL a ensuite remonté.

Le tableau est différent pour Die Zeit : ici, l’éditeur a perdu de la visibilité dans la semaine précédant la mise à jour d’août et l’a retrouvée tout au long. Ils ont également pu maintenir cette visibilité avec de légères réductions du temps entre les mises à jour.

Cependant, ils ont ensuite considérablement perdu leur visibilité via la mise à jour de septembre.

Comment la mise à jour utile du contenu de Google a affecté le référencement des actualités dans 12 pays différents

Le verdict:

Ici, les deux mises à jour semblent avoir eu un impact sur la visibilité simultanément.

Principales conclusions sur la façon dont la mise à jour utile du contenu de Google a affecté les éditeurs

Pour les principaux éditeurs de la plupart des pays, la première mise à jour de contenu utile en août semble avoir eu un impact plus important sur leur visibilité que la seconde en septembre. On ne peut pas dire clairement que la visibilité des éditeurs n’a été impactée que négativement par les mises à jour, puisque certains en ont clairement profité.

Voici quelques autres plats à emporter intéressants que nous avons remarqués :

  • Les éditeurs d’Argentine, d’Australie, du Canada et d’Allemagne ont montré des changements notables de visibilité autour des mises à jour dans toutes les catégories de Google.
  • La catégorie des actualités spécifiques à un pays était la seule catégorie dans laquelle les éditeurs de tous les pays présentaient des anomalies d’une manière ou d’une autre.
  • Dans la catégorie Business News, le Brésil est le seul pays qui n’a montré aucun changement notable dans la visibilité des principaux éditeurs.
  • Les catégories Actualités spécifiques à un pays, Actualités économiques, Actualités scientifiques et technologiques, Actualités sur le divertissement et Actualités sur la santé ont été les plus touchées par la mise à jour.
  • La BBC a été affectée par les 10 premiers classements de la catégorie Monde dans quatre pays (Australie, Canada, Mexique et Pérou) et a donc été l’éditeur le plus touché dans cette analyse.

Vous souhaitez en savoir plus sur votre visibilité dans Google Actualités ? Planifiez une démo gratuite.

RÉSERVER UNE DÉMO


Crédits image

Image en vedette : Image par Trisolute News Dashboard. Utilisé avec autorisation.

WordPress Ultimate Addons for Elementor La vulnérabilité affecte +1 million

0

Les éditeurs du plugin Ultimate Addons for Elementor ont informé les clients d’une vulnérabilité affectant deux de leurs plugins.

Voici l’entrée dans le journal des modifications liée au plugin Elementor corrigé que Brainstorm Force a corrigé en mars 2021 :

  • Version 1.30.0 – Corrigé – 30 mars 2021

    Options autorisées renforcées dans l’éditeur pour appliquer de meilleures politiques de sécurité.

Brainstorm Force Elementor Plugin Vulnérabilités

Les éditeurs du plugin Ultimate Addons for Elementor ont informé les clients d’une vulnérabilité affectant deux de leurs plugins.

Les deux plugins concernés sont des addons pour le populaire plugin de création de pages Elementor. Les addons sont des plugins tiers qui étendent les fonctionnalités et les fonctionnalités du plugin Elementor Page Builder.

Les plugins addon présentant des vulnérabilités sont publiés par un tiers, Brainstorm Force.

Les plugins concernés pour Elementor sont :

  • Addons ultimes pour Elementor
  • Elementor – Modèle d’en-tête, de pied de page et de blocs

Un e-mail envoyé par Brainstorm Force a indiqué qu’ils avaient été informés des vulnérabilités par l’équipe de sécurité de Wordfence et qu’ils avaient répondu en quelques heures.

D’après le mail :

« Dans chacune de ces mises à jour, nous avons corrigé une vulnérabilité signalée comme étant utilisée par l’équipe de Wordfence.

Ceux-ci sont très similaires à ceux que l’équipe Elementor a récemment corrigés dans leur version 3.1.2.

Capture d’écran de l’e-mail Brainstorm Force

Capture d'écran de l'e-mail de Brainstorm Force

La vulnérabilité Elementor à laquelle Brainstorm Force a fait référence est connue sous le nom de vulnérabilité de script intersite stockée, une vulnérabilité qui avait la possibilité de permettre à des pirates malveillants d’organiser une prise de contrôle complète du site.

(Lis: La vulnérabilité de WordPress Elementor affecte +7 millions)

Vulnérabilité de script intersite stocké

Brainstorm Force n’a pas explicitement indiqué que l’exploit corrigé était une vulnérabilité de script intersite stocké. Ils ont seulement comparé l’exploit corrigé à celui qui a été corrigé par le logiciel de création de pages Elementor.

Une vulnérabilité de script intersite stocké est une vulnérabilité dans laquelle un script malveillant est téléchargé directement sur le site Web. Ce type de vulnérabilité est généralement considéré comme plus grave qu’un autre type de vulnérabilité de script intersite (XSS) appelé XSS réfléchi qui dépend du clic sur un lien.

Avec une vulnérabilité XSS stockée, il n’est pas nécessaire de cliquer sur un lien, la vulnérabilité existe sur le site Web concerné.

Wordfence n’a pas publié de détails

Wordfence n’a pas publié les détails de la vulnérabilité. À ce jour, la seule description de la vulnérabilité a été fournie par Brainstorm Force comme étant similaire à la vulnérabilité du constructeur de pages Elementor.

Mais Brainstorm Force n’a pas explicitement déclaré que les vulnérabilités de leurs plugins sont des exploits Stored XSS. Seulement qu’ils étaient similaires à la vulnérabilité Elementor qui était une vulnérabilité XSS.

Versions corrigées des modules complémentaires Elementor

The Elementor – Modèle d’en-tête, de pied de page et de blocs

Le modèle Elementor – En-tête, pied de page et blocs a été mis à jour le 31 mars 2021 vers la version 1.5.8.

Selon le journal des modifications qui documente le contenu des mises à jour, cette mise à jour l’a renforcé contre une vulnérabilité.

Voici ce que le journal des modifications a documenté :

« 1.5.8
Correctif : options autorisées renforcées dans l’éditeur pour appliquer de meilleures politiques de sécurité. »

Le fait que l’éditeur ait eu besoin de durcissement donne un indice ce suggère que la vulnérabilité peut en être une qui nécessite qu’un pirate ait des privilèges de niveau abonné.

Mais cela n’a pas encore été confirmé officiellement pour le moment.

Addons ultimes pour Elementor

Le plugin Ultimate Addons for Elementor a également été mis à jour le 31 mars 2021 vers la version 1.30.0.

La raison donnée pour ce qui a été corrigé est exactement la même que pour le modèle Elementor – En-tête, pied de page et blocs.

Selon le journal des modifications Ultimate Addons for Elementor :

« Options renforcées autorisées dans l’éditeur pour appliquer de meilleures politiques de sécurité. »

Mettre à jour immédiatement

Il est fortement recommandé à tous les éditeurs utilisant ces deux plugins de mettre à jour leurs versions immédiatement.

Les dernières versions corrigées du logiciel sont :

  • The Elementor – Modèle d’en-tête, de pied de page et de blocs 1.5.8
  • Addons ultimes pour Elementor 1.30.0

La vulnérabilité du plugin WordPress Autoptimize affecte +1 million de sites

0

Le plugin d’optimisation WordPress Autoptimize a récemment été mis à jour pour corriger une vulnérabilité Stored XSS. Les éditeurs qui utilisent le plugin sont invités à mettre à jour immédiatement pour réduire la possibilité d’une exposition à un événement de piratage.

Vulnérabilité XSS stockée

Une vulnérabilité XSS (Stored Cross-Site Scripting) se produit lorsque le logiciel présente une faille qui permet à un pirate de télécharger un fichier malveillant qui peut ensuite attaquer quelqu’un d’autre qui visite le site.

Il existe différents types de vulnérabilités XSS stockées et il n’est pas clair de quel type il s’agit.

Cependant, selon l’endroit où le fichier malveillant est téléchargé, ce type de vulnérabilité peut être particulièrement problématique lorsqu’une personne disposant de privilèges de niveau administrateur visite le site et reçoit la charge utile, ce qui peut entraîner une prise de contrôle totale du site.

Selon le National Institute of Standards and Technology du gouvernement des États-Unis, un site Web du Département américain du commerce, voici comment un exploit de script intersite est défini :

«Une vulnérabilité qui permet aux attaquants d’injecter du code malveillant dans un site Web par ailleurs bénin.

Ces scripts acquièrent les autorisations des scripts générés par le site Web cible et peuvent donc compromettre la confidentialité et l’intégrité des transferts de données entre le site Web et le client.

Les sites Web sont vulnérables s’ils affichent des données fournies par l’utilisateur à partir de demandes ou de formulaires sans nettoyer les données afin qu’elles ne soient pas exécutables. « 

C’est ce qu’on appelle une vulnérabilité XSS « stockée » car le fichier malveillant est stocké sur le site Web lui-même. Parmi les différents types de XSS

Note de vulnérabilité

Les vulnérabilités sont évaluées à l’aide d’une norme open source appelée Common Vulnerability Scoring System (CVSS). Un score de vulnérabilité est communément appelé à l’aide de CVSS version 3.1.

Voici comment la norme de vulnérabilité est décrite :

« Le Common Vulnerability Scoring System (CVSS) est un cadre ouvert pour communiquer les caractéristiques et la gravité des vulnérabilités logicielles. « 

La vulnérabilité affectant Autoptimize est appelée une vulnérabilité Authenticated Stored XSS, ce qui signifie qu’un pirate doit être connecté au site afin de profiter de la faille.

Cela peut être une raison contributive pour laquelle le niveau de gravité de la vulnérabilité Autoptimize WordPress Plugin a été évalué comme moyen, avec un score de 5,4 sur une échelle de 1 à 10.

Optimiser automatiquement le journal des modifications

Un journal des modifications est un journal de toutes les modifications apportées par un logiciel à chaque mise à jour. Il indique généralement une version, parfois la date de la version et les modifications contenues dans la mise à jour.

Selon le journal des modifications officiel d’Autoptimize, la dernière version est la 2.8.4 qui corrige la vulnérabilité.

« 2.8.4
correctif pour une vulnérabilité XSS authentifiée »

Bien qu’il s’agisse d’une vulnérabilité classée comme moyenne, il est toujours recommandé à tous les éditeurs qui utilisent ce plugin de le mettre à jour immédiatement afin de rester en sécurité.

Citations

Documentation de la vulnérabilité Autoptimize sur le site de sécurité de Patchstack

Journal officiel des modifications de l’optimisation automatique

La vulnérabilité de WooCommerce affecte des millions de sites WordPress

0

WooCommerce a annoncé avoir corrigé une vulnérabilité critique affectant des millions d’utilisateurs. Les éditeurs utilisant le plugin WooCommerce ou le plugin WooCommerce Blocks sont fortement invités à mettre à jour leurs plugins s’ils ne l’ont pas déjà fait automatiquement.

Mise à jour automatique forcée de WooCommerce

La vulnérabilité connue sous le nom de vulnérabilité d’injection SQL est si grave que WooCommerce envoie automatiquement la mise à jour aux éditeurs concernés.

Bien que les mises à jour soient automatiques, certains éditeurs signalent que certains de leurs sites n’ont pas encore reçu la mise à jour.

Il est donc important de vérifier et de mettre à jour manuellement si le site n’a pas encore été mis à jour vers la version la plus élevée de votre branche de version WooCommerce.

Vulnérabilité d’injection SQL WooCommerce

En général, une injection SQL est une vulnérabilité qui permet à un pirate malveillant d’affecter la base de données d’une manière qui lui fait afficher des informations ou se comporte différemment d’une manière qu’elle n’est pas censée, comme en général, par exemple, de pouvoir manipuler le base de données en révélant un mot de passe.

Selon WooCommerce :

« Si un magasin a été affecté, les informations exposées seront spécifiques à ce que ce site stocke, mais pourraient inclure des informations sur les commandes, les clients et les informations administratives. »

L’annonce de WordFence a noté qu’il s’agit d’une vulnérabilité Blind SQL Injection.

WordFence a expliqué l’impact :

« Cette vulnérabilité a permis à des attaquants non authentifiés d’accéder à des données arbitraires dans la base de données d’une boutique en ligne.

L’équipe de Wordfence Threat Intelligence a pu développer des preuves de concept pour les injections aveugles basées sur le temps et les booléens et a publié une première règle de pare-feu pour nos clients Premium dans les heures suivant le correctif.

Les sites WooCommerce ont-ils été compromis ?

Il n’y a actuellement aucune preuve d’attaques généralisées compromettant les sites WooCommerce.

WordFence a déclaré:

« Wordfence Threat Intelligence a trouvé des preuves extrêmement limitées de ces tentatives et il est probable que ces tentatives aient été très ciblées. »

Succursales de version du logiciel WooCommerce

Ce que l’on entend par branche de version est le numéro associé à la version qu’un éditeur utilise.

Un éditeur peut utiliser une très ancienne version 3.x, une version 4.x et la dernière version 5.x. Chacune de ces versions, 3, 4 et 5 sont considérées comme une branche.

Les versions 4.x et 5.x de WooCommerce sont appelées des branches du logiciel et la version 5 est considérée comme une avancée majeure par rapport à la version 4.

Certains éditeurs peuvent trouver perturbant la mise à jour de la version 4.x vers la version 5.x.

Pour s’adapter à ces éditeurs, WooCommerce a publié un correctif qui ferme la vulnérabilité pour chaque branche.

Donc, si un site a la version 4.x de WooCommerce, il est encouragé à mettre à jour au moins la version 4.8.1, qui est la toute dernière version de la branche 4.x WooCommerce.

Néanmoins, bien que la dernière version des anciennes branches soit corrigée, l’annonce officielle recommande la mise à jour vers la toute dernière version de WooCommerce, actuellement la version 5.5.1.

L’annonce a noté:

« … nous vous recommandons fortement de vous assurer que vous utilisez les dernières versions de WooCommerce et WooCommerce Blocks (5.5.1). »

Cette déclaration a peut-être causé par inadvertance une petite confusion quant à la mise à jour de la branche de version que les éditeurs doivent mettre à jour.

Certains éditeurs se demandaient s’ils utilisaient la version 4.x, s’ils étaient sûrs ou devraient-ils mettre à jour vers la dernière version de la branche la plus élevée de WooCommerce, actuellement la version 5.5.1 ?

C’est ce que quelqu’un a demandé dans la section des commentaires de l’annonce officielle :

“Est-ce que la version 4.8.1 de Woocommerce. en sécurité maintenant ou pas ? »

Quelqu’un de WooCommerce a répondu avec la déclaration suivante :

« Comme cette vulnérabilité critique concerne le plugin WooCommerce, nous vous recommandons fortement de vous assurer qu’il est d’abord à jour.

La version que vous mentionnez, 4.8.1, contient le correctif de sécurité, vous n’avez donc rien d’autre à faire ici jusqu’à ce que vous soyez prêt à mettre à jour vers la dernière version (5.5.1).

Citations

Annonce officielle de WooCommerce
Vulnérabilité critique détectée dans WooCommerce le 13 juillet 2021 – Ce que vous devez savoir

Rapport WordFence et analyse de la vulnérabilité
Vulnérabilité critique d’injection SQL corrigée dans WooCommerce

Comment le marketing de contenu affecte les décisions d’achat, l’affinité avec la marque et la confiance

0

Une nouvelle étude de Conductor illustre l’impact de l’éducation sur les décisions d’achat et l’affinité avec la marque.

Selon les données d’enquête de Conductor, si le parcours du client dans l’entonnoir de vente commence par un contenu éducatif, il est 131 % plus susceptible d’acheter.

Comment le marketing de contenu affecte les décisions d'achat, l'affinité avec la marque et la confiance

Lorsque les participants à l’étude ont été invités à choisir entre 4 marques différentes pour acheter, 83,6 % ont choisi la marque qui proposait du contenu éducatif.

Après avoir été interrogés une semaine plus tard, 48 % des participants ont choisi la marque qui a publié du contenu éducatif.

De plus, à une semaine de la lecture du contenu, le nombre de participants ayant identifié la marque comme digne de confiance est passé de 64% à 73%.

Il y a également eu une augmentation du nombre de participants qui ont évalué leur expérience avec la marque comme positive – de 66 % à 74 %.

Comment le marketing de contenu affecte les décisions d'achat, l'affinité avec la marque et la confiance

« Les éditeurs ne sont pas autorisés à encourager les utilisateurs à cliquer sur les annonces Google de quelque manière que ce soit. Cela inclut la mise en œuvre des publicités de manière à ce qu’elles puissent être confondues avec d’autres contenus du site, tels qu’un menu, une navigation ou des liens de téléchargement.

Conductor poursuit en soulignant que le contenu éducatif crée un impact durable, par rapport à d’autres efforts de marketing qui ont tendance à s’estomper dès qu’une marque passe à autre chose.

Pour en savoir plus, le rapport de recherche complet peut être téléchargé ici.

Comment la divergence entre Facebook et Instagram affecte vos dépenses médias

0

De nos jours, un spécialiste du marketing vous dira que les données démographiques des utilisateurs de Facebook et d’Instagram ne sont pas les mêmes.

Bien qu’elles soient gérées au sein de la même interface de gestionnaire de publicités, la réalité est que ces deux avenues commencent à avoir moins en commun.

En surface, c’est généralement une histoire de « Instagram biaise les jeunes ». C’est certainement vrai, mais il est intéressant (et important !) de noter qu’il existe également des objectifs très différents pour les utilisateurs sur ces plates-formes.

Ces différences sont essentielles dans la façon dont les résultats se jouent dans la publicité sur les plateformes.

Dans le passé, Instagram était une case de placement qui était cochée, et peu d’attention y était accordée. L’inventaire était plus petit, donc s’en occuper n’entraînait pas nécessairement plus de valeur; c’était juste de la sauce si ça marchait.

À présent? Nous constatons des performances très différentes dans les deux canaux, non seulement en termes d’âge, mais également de formats publicitaires.

Qu’est-ce que tout cela signifie pour les annonceurs ?

Examinons à la fois ce que nous savons des utilisateurs de chaque plate-forme, puis une étude de cas sur la façon dont nous voyons ces vérités se manifester.

Répartition de l’âge entre les plates-formes

Maintenant, ces graphiques semblent légèrement différents car l’un contient le sexe et l’autre non. Cependant, les plats à emporter ici sont très clairs.

Tout d’abord, voici la répartition des utilisateurs par âge pour Instagram dans le monde, au 19 octobre 2019.

Répartition des utilisateurs d'Instagram dans le monde en octobre 2019

En d’autres termes, sur l’ensemble de leurs utilisateurs, 71,2 % ont moins de 34 ans.

Regardons maintenant Facebook. (Ces chiffres varient un peu car ils sont répartis par âge.)

Répartition des utilisateurs de Facebook dans le monde en octobre 2019

Même si l’on prend le meilleur scénario des pourcentages masculins, leur répartition pour l’ensemble des 34 ans et moins s’élève à seulement 37,2 %.

Sans aucun doute : le discours sur le fait qu’Instagram est en grande partie plus jeune est vrai.

Raisons d’utilisation entre les deux

Allons au-delà de cela pendant une minute, car pour beaucoup, cela semble être une connaissance commune. Il existe des différences intéressantes dans les motivations derrière Pourquoi les utilisateurs sont sur ces plateformes.

Tout d’abord, restons avec Instagram et regardons le raisonnement d’utilisation ici :

Principales raisons d'utilisation d'Instagram selon les utilisateurs aux États-Unis

Comme avec de nombreux réseaux sociaux, il y a une grande composante amis/famille.

La partie à laquelle il faut prêter attention est après cela:

  • 47% suivent pour le divertissement.
  • 34% le font pour suivre des marques et des entreprises.

Ceci est particulièrement intéressant, car cela met en évidence la manière dont les publicités Instagram peuvent être les plus efficaces, et peut-être même un meilleur retour : les utilisateurs s’attendent à entendre parler des marques, et ils veulent en être divertis.

Juxtaposez cela aux raisons d’utilisation de Facebook :

Principales raisons d'utilisation de Facebook selon les utilisateurs aux États-Unis

Aïe !

Ils veulent vraiment rester en contact avec leurs amis et leur famille, et peut-être se divertir. Ils ne concernent pas votre marque.

Comment cela fonctionne-t-il de manière fonctionnelle dans les annonces ?

Cette dynamique a commencé à se manifester sur tous les types de comptes l’année dernière.

Il y avait des plaintes générales concernant des cycles de vente plus longs, moins d’engagement des utilisateurs et un ROAS généralement plus faible pour Facebook de la part des spécialistes du marketing et des marques.

De nombreux annonceurs n’ont pas abordé Instagram séparément dans ces conversations, mais c’est une discussion valable. Cela se réalise particulièrement avec l’avènement de nouvelles unités publicitaires et la façon dont Facebook choisit de les distribuer.

Il y a eu deux ajouts majeurs à la plate-forme Instagram qui ont ensuite été déployés sur Facebook :

  • Annonces d’histoire.
  • Les sondages.

Le succès de l’utilisation organique de Story sur Instagram est indéniable, et ce graphique ne passe que l’année dernière à cette époque :

Utilisateurs actifs quotidiens d'Instagram Stories

Des histoires ont ensuite été ajoutées à Facebook. Leur croyance en sa croissance du côté de Facebook était si féroce que la refonte de leur application a placé les histoires au premier rang de l’expérience.

Cependant, de manière anecdotique, de nombreux annonceurs ne voient pas la traction des publicités là-bas comme dans les histoires Instagram. Le taux d’adoption était de 300 millions en mars dernier, toujours à la traîne des 500 millions d’utilisateurs d’Instagram.

Bien qu’il s’agisse d’un nombre formidable, c’est vraiment là que la différence dans la raison pour laquelle les utilisateurs sont sur les plates-formes semble apparaître, et elle se combine avec la distribution plus faible chez les plus jeunes pour faire de Facebook Stories un paysage publicitaire plus difficile que le terrain fertile que nous sommes. trouver à plusieurs reprises dans Instagram Stories.

Une étude sur la démographie et les placements pour les histoires

Nous avons vu la dynamique des publicités Instagram avec les données démographiques sur l’âge se dérouler de manière assez constante au cours des deux dernières années.

Mais à partir de l’année dernière, nous avons commencé à voir le passage aux histoires devenir apparent. Pas seulement du point de vue de l’inventaire et de l’adoption sur Instagram, mais aussi en termes de performances publicitaires supérieures.

Le modèle de Stories surpassant Feed a été perceptible à la fois à petite et à grande échelle.

Voici un exemple du début de 2019. Cette dépense s’est déroulée sur quelques semaines, au cours desquelles nous avons simplement fait vérifier les histoires Instagram en tant que placement publicitaire.

Nous avons désigné une création distincte pour maximiser l’expérience à l’écran, mais nous avons confié à Facebook l’allocation budgétaire :

Comment Facebook &  La divergence d'Instagram a un impact sur vos dépenses médiatiques

Cela est devenu un phénomène courant, menant aux étapes suivantes sur le chemin :

Dans quelle mesure devrions-nous nous concentrer sur un processus de création entièrement distinct pour les histoires Instagram ? Et puis si nous devrions allouer le budget manuellement pour obtenir autant d’inventaire que possible.

Dans certains cas, nous avons constaté que les stories fonctionnaient bien avec la création, mais que l’allocation budgétaire était dispersée.

Une fois que nous avons pris le contrôle de l’attribution du budget, nous avons pu maximiser davantage le volume et le faire évoluer efficacement :

Comment Facebook &  La divergence d'Instagram a un impact sur vos dépenses médiatiques

La clé pour rendre ce type de résultats possible est de comprendre les deux facteurs décrits au début de cet article :

  • C’est un biais d’âge différent.
  • Ils veulent quelque chose de différent de la plateforme.

Les utilisateurs d’Instagram veulent et s’attendent à entendre parler des marques, combinés au désir de se divertir.

Les placements d’histoire atteignent ces objectifs à la pelle.

L’expérience plein écran est immersive et les éléments interactifs tels que les sondages sont là spécifiquement pour attirer les utilisateurs à s’engager.

Dépenses à grande échelle : ce que font les publicités Facebook Story

Cela pose évidemment la question des Facebook Story Ads.

Naturellement, Facebook se concentre sur leur adoption comme une grande partie de l’interaction des utilisateurs sur la plate-forme.

Malheureusement, obtenir de la traction sur eux a été plus difficile.

Dans presque tous les cas, nous rencontrons un faible inventaire, un faible engagement et un faible (ou aucun) volume de conversion.

Votre kilométrage peut varier, mais comparé aux publicités Instagram Story, ils ne sont pas dans la même ligue.

Nous avons récemment mis cela à l’épreuve dans un grand achat d’annonces pendant les vacances. L’achat était axé sur les installations d’applications, en particulier pour tenter de conquérir un concurrent principal.

Lorsque les résultats sont arrivés, nous avons cumulé les performances du flux par rapport à l’histoire, et la différence a été marquée.

Répartition des dépenses

  • Histoires Facebook : 6 706 $
  • Flux : 601 102 $
  • Histoires Instagram : 145 367 $

CPM

  • Histoires Facebook : 16,63 $
  • Flux : 15,94 $
  • Histoires Instagram : 12,70 $

Et c’est ainsi que le coût par installation a ébranlé les trois :

Comment Facebook &  La divergence d'Instagram a un impact sur vos dépenses médiatiques

Bien qu’il ne s’agisse que d’une petite partie de l’achat, Facebook Stories a pris beaucoup de retard sur les installations tout en ayant le CPM le plus élevé.

Les flux étaient encore assez élevés en termes de coût, même si leur volume était beaucoup plus important, mais en fin de compte, Instagram Story Ads a continué à gagner.

Qu’est-ce que cela signifie pour les annonceurs ?

Non, le flux n’est pas mort.

Non, cela ne signifie pas que Facebook Story Ads ne fonctionnera jamais.

Cela signifie que les besoins et les attentes des utilisateurs sont différents. Il ne s’agit pas seulement de groupes d’âge et d’endroits où ils se retrouvent, il s’agit également de les rencontrer à l’intersection de leurs intérêts et de leurs tendances d’engagement.

Facebook s’inspire d’Instagram et les déploie sous forme d’offres, mais ne vous attendez pas au même taux d’adoption.

Tout comme nous verrons probablement la base d’utilisateurs d’Instagram se répercuter sur les données démographiques plus anciennes au fil du temps, attendez-vous à ce que la courbe d’adoption fonctionne de la même manière sur les nouveaux types de blocs d’annonces et d’expériences.

La clé sera lorsque ce changement se produira. Les données nous montrent qu’en ce moment, cela ne se produit pas encore.

En tant que spécialistes du marketing, notre travail consiste à observer ces changements se produire, car ils seront lents.

Le succès de Story Ad ne s’est pas produit du jour au lendemain, mais ceux qui l’ont regardé et l’ont vu se sont déplacés et ont rapidement fusionné dans cette voie.

La plupart des marques ne rendent toujours pas justice à l’unité d’annonces et supposent qu’elles ne fonctionnent pas. Ce sont les moments d’or pour capitaliser sur eux en tant que marque car la concurrence est loin derrière où vous pouvez être.

D’un autre côté, comprendre que le succès des publicités sur une plate-forme n’engendre pas automatiquement le succès sur l’autre. Le moment est venu de les traiter comme les deux plates-formes publicitaires différentes qu’elles sont.

Instagram n’est plus seulement une case à cocher dans l’interface publicitaire de Facebook, et il ne devrait pas en être ainsi dans votre plan marketing non plus.

Davantage de ressources:

  • 13 fonctionnalités des publicités Facebook que tout spécialiste du marketing devrait connaître
  • 7 conseils inattendus qui rendront vos publicités Facebook plus efficaces
  • 4 stratégies pour augmenter la qualité des publicités sur Facebook

Crédits image

Graphiques de statistiques en poste : Statista
Captures d’écran des données et des études de cas : prises par l’auteur, janvier 2020

Comment savoir que Core Web Vitals affecte votre classement de recherche

0

John Mueller de Google a répondu à une question sur la façon de savoir si la mise à jour de l’expérience de la page a affecté votre classement. Mueller a expliqué ce qu’il faut surveiller pour savoir si les facteurs de classement Core Web Vitals ont un impact sur le classement des sites et quand ce n’est pas le cas.

Le site a perdu 20 % du classement dans la mise à jour de l’expérience de la page

Une personne a partagé que son site avait perdu 20 % de son trafic de recherche organique après que Google a annoncé que la mise à jour de l’expérience de sa page était en cours de déploiement.

La baisse du trafic s’est fait sentir immédiatement.

Ils ont demandé si la résolution des principaux problèmes Web Vitals aiderait à retrouver le trafic et combien de temps il faudrait pour que le signal de classement affecte leur trafic.

« Est-il prudent de suggérer que le site retrouvera du trafic après que nous ayons … résolu les problèmes avec les éléments vitaux du Web ?

Et aussi, combien de temps cela prendra-t-il, devons-nous attendre… une autre énorme mise à jour ?

Comment savoir si la mise à jour de l’expérience de page a affecté un site

John Mueller de Google a expliqué clairement comment savoir si les changements de classement sont dus à la mise à jour de l’expérience de la page.

Mueller a d’abord demandé si le changement se faisait sentir immédiatement après la fin de la mise à jour et la personne qui posait la question a affirmé que c’était le cas, que le changement se faisait sentir immédiatement.

Muller a répondu

« Je ne pense pas que ce serait lié.

La raison pour laquelle je ne pense pas que cela soit lié est que nous avons commencé à déployer cette mise à jour, je pense, en juillet et qu’elle s’est terminée fin août.

Mais le déploiement s’est fait essentiellement par page.

Cela signifie que si nous voyions que votre site Web était lent pour les éléments vitaux du Web, vous verriez un changement progressif au fil du temps… de juillet à août.

Si vous voyez une baisse exacte à cette date, il semble que ce soit probablement autre chose.

Je ne pense donc pas que cela proviendrait des éléments vitaux du Web de base. « 

Les gains et les pertes de la mise à jour sont progressifs

La personne posant la question a demandé à John Mueller si cet effet progressif sur les classements était également le même pour les sites qui ont connu une augmentation du trafic à partir de la mise à jour de l’expérience de la page.

John hocha la tête et affirma que c’est ainsi que les effets positifs de la mise à jour seraient ressentis.

Les mises à jour se font automatiquement

Après avoir confirmé comment les mises à jour sont vécues, il a ensuite expliqué comment les mises à jour se produisent automatiquement.

« Les mises à jour se font automatiquement.

C’est donc quelque chose dans la console de recherche, vous verrez que les données sont toujours retardées, je pense, de 28 jours, mais c’est comme progressivement mis à jour.

Ce n’est pas qu’il doive attendre une mise à jour plus importante.

Mises à jour de l’expérience de la page Google

John Mueller a partagé de bonnes informations sur la façon dont les mises à jour de Page Experience sont ressenties. Ceci est utile pour diagnostiquer les changements soudains dans les classements, car nous savons maintenant que l’effet de classement, à la fois positif et négatif, se fait sentir progressivement.

Cette rétroaction est importante car elle montre que corréler une observation avec des changements de classement est délicat.

Plusieurs fois, un éditeur ou un référenceur peut voir que quelque chose s’est passé, suivi d’une baisse du classement. Mais parfois ce ne sont que des coïncidences.

Il est donc bon de garder l’esprit ouvert et de ne pas cesser de chercher d’autres causes.

Il peut être inutile de supposer que la raison la plus évidente, celle qui ressort bien en vue, est l’explication d’un changement de classement.

Mueller a également confirmé que l’avancement de ces mises à jour n’a pas besoin d’une « plus grande mise à jour » afin de rafraîchir les facteurs de classement.

Citation

Comment savoir si la mise à jour de l’expérience de page affecte les classements

Regardez John Mueller répondre à la question à 14:40 minutes

L’exploitation du plug-in de cache WordPress affecte +1 million de sites Web

0

Le plugin WordPress populaire WP Fastest Cache a été découvert par les chercheurs en sécurité de Jetpack comme ayant plusieurs vulnérabilités qui pourraient permettre à un attaquant d’assumer tous les privilèges d’administrateur. Les exploits affectent plus d’un million d’installations WordPress.

Description des vulnérabilités du plug-in de cache le plus rapide de WP

WP Fastest Cache est un plugin WordPress utilisé par plus d’un million de sites Web WordPress. Le plugin crée une version HTML statique du site Web.

Plusieurs vulnérabilités ont été découvertes :

  • Injection SQL authentifiée
  • XSS stocké via Cross-Site Request Forgery

Injection SQL authentifiée

L’injection SQL authentifiée permet aux utilisateurs connectés d’accéder aux informations de niveau administrateur via la base de données.

Une vulnérabilité d’injection SQL est une attaque dirigée contre la base de données, où sont stockés les éléments du site Web, y compris les mots de passe.

Une attaque par injection SQL réussie pourrait entraîner une prise de contrôle complète du site Web.

Le bulletin de sécurité Jetpack décrit la gravité de la vulnérabilité :

« S’il est exploité, le bug d’injection SQL pourrait permettre aux attaquants d’accéder à des informations privilégiées de la base de données du site concerné (par exemple, les noms d’utilisateur et les mots de passe hachés).

Il ne peut être exploité que si le plugin classic-editor est également installé et activé sur le site.

XSS stocké via Cross-Site Request Forgery

Les vulnérabilités XSS (Cross-site Scripting) sont une vulnérabilité assez courante qui résulte d’une faille dans la façon dont les entrées du site Web sont validées. Partout où un utilisateur peut entrer quelque chose sur un site Web, comme un formulaire de contact, peut être vulnérable à une attaque XSS si l’entrée n’est pas filtrée.

Désinfecté signifie restreindre ce qui peut être téléchargé à une entrée attendue limitée, comme du texte et non des scripts ou des commandes. Une entrée défectueuse permet à un attaquant d’injecter des scripts malveillants qui peuvent ensuite être utilisés pour attaquer les utilisateurs qui visitent le site, comme l’administrateur, et faire des choses comme télécharger des fichiers malveillants sur leur navigateur ou intercepter leurs informations d’identification.

La contrefaçon de requête intersite se produit lorsqu’un attaquant trompe un utilisateur, comme un administrateur connecté, pour qu’il visite le site et exécute diverses actions.

Ces vulnérabilités dépendent du plugin de l’éditeur classique installé et du fait que l’attaquant dispose d’une sorte d’authentification de l’utilisateur, ce qui le rend plus difficile à exploiter.

Mais ces vulnérabilités sont toujours sérieuses et Jetpack recommande aux utilisateurs de mettre à jour leur plugin vers au moins la version 0.95 de WP Fastest Cache.

La version 0.95 de WP Fastest Cache est sortie le 14 octobre 2021.

Selon Jetpack :

« S’il est exploité, le bug d’injection SQL pourrait permettre aux attaquants d’accéder à des informations privilégiées de la base de données du site concerné (par exemple, les noms d’utilisateur et les mots de passe hachés).

L’exploitation réussie de la vulnérabilité CSRF & Stored XSS pourrait permettre aux acteurs malveillants d’effectuer toute action que l’administrateur connecté qu’ils ont ciblé est autorisé à faire sur le site ciblé.

Avertissement de recherche sur la sécurité Jetpack

Les chercheurs en sécurité de Jetpack recommandent à tous les utilisateurs du plugin WordPress WP Fastest Cache de mettre à jour leur plugin immédiatement.

Les chercheurs en sécurité de Jetpack ont ​​publié :

« Nous vous recommandons de vérifier quelle version du plugin WP Fastest Cache votre site utilise, et si elle est inférieure à 0.9.5, mettez-la à jour dès que possible ! »

Citation

Lisez l’annonce de sécurité de Jetpack à propos du plugin WP Fastest Cache

Vulnérabilités multiples dans le plugin WP Fastest Cache

La vulnérabilité du plugin WordPress OptinMonster affecte +1 million de sites

0

Les chercheurs en sécurité WordPress de Wordfence ont signalé qu’une faille dans le plugin OptinMonster WordPress a été trouvée pour permettre aux pirates de télécharger des scripts malveillants pour attaquer les visiteurs du site et conduire à des prises de contrôle complètes du site. Le fait de ne pas effectuer une vérification de sécurité de base expose plus d’un million de sites à des événements de piratage potentiels.

Les chercheurs de Wordfence ont commenté :

« … nous avons détaillé une faille dans le plugin OptinMonster qui a permis une chaîne d’exploitation dangereuse qui a permis à des attaquants non authentifiés de récupérer les données sensibles d’un site et d’obtenir un accès non autorisé aux comptes d’utilisateurs OptinMonster, qui pourraient être utilisés pour ajouter des scripts malveillants à des sites vulnérables. ”

Absence de vérification de la capacité des points de terminaison REST-API

Cette vulnérabilité n’est pas due au fait que les pirates sont vraiment intelligents et trouvent un moyen intelligent d’exploiter un plugin WordPress parfaitement codé. Plutôt l’inverse.

Selon des chercheurs en sécurité de la célèbre société de sécurité WordPress Wordfence, l’exploit était dû à une défaillance de l’implémentation de l’API REST de WordPress dans le plugin OptinMonster WordPress qui a entraîné «vérification de capacité insuffisante.”

Lorsqu’elle est correctement codée, REST-API est une méthode sécurisée pour étendre les fonctionnalités de WordPress en permettant aux plugins et aux thèmes d’interagir avec un site WordPress pour gérer et publier du contenu. Il permet à un plugin ou à un thème d’interagir directement avec la base de données du site Web sans compromettre la sécurité… s’il est correctement codé.

La documentation WordPress REST-API indique :

« … la chose la plus importante à comprendre à propos de l’API est qu’elle active l’éditeur de blocs et les interfaces de plugins modernes sans compromettre la sécurité ou la confidentialité de votre site. »

L’API REST de WordPress est censée être sécurisée.

Malheureusement, tous les sites Web utilisant OptinMonster ont vu leur sécurité compromise en raison de la façon dont OptinMonster a implémenté l’API REST WordPress.

La majorité des terminaux REST-API sont compromis

Les points de terminaison REST-API sont des URL qui représentent les publications et les pages d’un site WordPress qu’un plugin ou un thème peut modifier et manipuler.

Mais selon Wordfence, presque tous les points de terminaison REST-API d’OptinMonster étaient mal codés, compromettant la sécurité du site Web.

Wordfence a commenté à quel point l’implémentation REST-API d’OptinMonster est médiocre :

« … la majorité des points de terminaison REST-API ont été implémentés de manière non sécurisée, ce qui permet à des attaquants non authentifiés d’accéder à de nombreux points de terminaison sur des sites exécutant une version vulnérable du plug-in.

… presque tous les autres points de terminaison REST-API enregistrés dans le plugin étaient vulnérables au contournement d’autorisation en raison d’une vérification insuffisante des capacités permettant aux visiteurs non authentifiés, ou dans certains cas aux utilisateurs authentifiés avec des autorisations minimales, d’effectuer des actions non autorisées.

Non authentifié signifie un attaquant qui n’est enregistré d’aucune façon sur le site Web attaqué.

Certaines vulnérabilités nécessitent qu’un attaquant soit enregistré en tant qu’abonné ou contributeur, ce qui rend un peu plus difficile l’attaque d’un site, surtout si un site n’accepte pas les inscriptions d’abonnés.

Cette vulnérabilité n’avait aucune barrière de ce type, aucune authentification n’était nécessaire pour exploiter OptinMonster, ce qui est le pire scénario par rapport aux exploits authentifiés.

Wordfence a mis en garde contre la gravité d’une attaque contre un site Web utilisant OptinMonster :

« … tout attaquant non authentifié pourrait ajouter du JavaScript malveillant à un site exécutant OptinMonster, ce qui pourrait finalement conduire à la redirection des visiteurs du site vers des domaines malveillants externes et à la prise en charge complète des sites dans le cas où JavaScript serait ajouté pour injecter de nouveaux comptes d’utilisateurs administratifs ou écraser le plugin code avec un webshell pour obtenir un accès par porte dérobée à un site.

Plan d’action recommandé

Wordfence a informé les éditeurs d’OptinMonster et une dizaine de jours plus tard a publié une version mise à jour d’OptinMonster qui a comblé toutes les failles de sécurité.

La version la plus sécurisée d’OptinMonster est la version 2.6.5.

Wordfence recommande à tous les utilisateurs d’OptinMonster de mettre à jour leur plugin :

« Nous recommandons aux utilisateurs de WordPress de vérifier immédiatement que leur site a été mis à jour vers la dernière version corrigée disponible, qui est la version 2.6.5 au moment de cette publication. »

WordPress propose une documentation sur les meilleures pratiques pour REST-API et affirme qu’il s’agit d’une technologie sécurisée.

Donc, si ces types de problèmes de sécurité ne sont pas censés se produire, pourquoi continuent-ils à se produire ?

La documentation WordPress sur les meilleures pratiques pour l’API REST indique :

« … il active l’éditeur de blocs et les interfaces de plugins modernes sans compromettre la sécurité ou la confidentialité de votre site. »

Avec plus d’un million de sites affectés par cette vulnérabilité, il faut se demander pourquoi, si les meilleures pratiques existent, ce type de vulnérabilité s’est produit sur le très populaire plugin OptinMonster.

Bien que ce ne soit pas la faute de WordPress lui-même, ce genre de chose a une incidence négative sur l’ensemble de l’écosystème WordPress.

Citation

Lisez le rapport sur OptinMonster sur Wordfence

1 000 000 de sites affectés par les vulnérabilités d’OptinMonster

Google : Combien de temps faut-il pour que le fichier de désaveu affecte les classements

0

John Mueller de Google a été interrogé lors d’un hangout pendant les heures de bureau sur un mauvais résultat de l’utilisation de l’outil de désaveu de lien de Google. Ils ont téléchargé un fichier de désaveu et en quelques jours, leur classement s’est effondré. Mueller a répondu aux différentes questions, puis a abordé le délai entre le téléchargement du désaveu et les changements de classement, révélant ainsi combien de temps il faut à Google pour intégrer le contenu d’un désaveu dans l’algorithme.

L’outil de désaveu a provoqué un effondrement du classement en quelques jours ?

La personne qui a posé la question a posé plusieurs questions qui reflétaient diverses théories sur les raisons pour lesquelles un fichier de désaveu pourrait déclencher un effondrement complet des classements.

La principale de ces idées était de savoir si l’utilisation du désaveu est en soi un signal négatif et combien de temps faut-il pour se débarrasser d’une «marque noire» pour l’utilisation de l’outil de désaveu.

Voici la question :

« L’utilisation de l’outil de désaveu lève-t-elle un drapeau dans l’algorithme et déclenche-t-elle une pénalité légère sur un site Web pour avoir éventuellement participé à la création de liens dans le passé ?

Nous avons utilisé cet outil pour supprimer des centaines de liens indésirables et notre site s’est effondré quelques jours plus tard.

Devrions-nous supprimer l’outil de désaveu et combien de temps faudra-t-il pour qu’un site revienne à un trafic et à un classement normaux ?

Ou y a-t-il une marque noire permanente contre ce site Web pour l’utilisation de l’outil de désaveu ? »

John Mueller de Google discute de l’effet de classement de l’outil de désaveu

Outil de désaveu de Google John Mueller et effet de classement

Aucune pénalité pour l’utilisation de l’outil de désaveu

John Mueller de Google a affirmé qu’il n’y avait aucune pénalité pour l’utilisation de l’outil de désaveu.

« Non, il n’y a aucune sorte de pénalité ou de drapeau noir ou de marque ou quoi que ce soit associé à l’utilisation de l’outil de désaveu. »

Il est ensuite allé affirmer que l’outil de désaveu est un outil technique permettant d’indiquer les liens que l’éditeur ne souhaite pas voir associés à son site dans les systèmes de Google et c’est tout.

Il a également assuré à l’éditeur que les liens dans un outil de désaveu n’indiquent pas un mauvais comportement passé, car ce ne sont souvent que des liens qui inquiètent les éditeurs.

« Et cela ne signifie pas que vous avez créé ces liens. Cela peut être quelque chose que vous avez trouvé où vous craignez vraiment que Google obtienne la mauvaise image pour votre site Web.

Pas besoin d’utiliser l’outil de désaveu pour les liens aléatoires

Mueller a ensuite rassuré l’éditeur (comme il l’a fait à plusieurs reprises) sur le fait que l’outil de désaveu n’a pas besoin d’être utilisé pour les liens aléatoires qui sont découverts.

Il a recommandé l’utilisation de l’outil pour les liens dont l’éditeur pourrait être responsable.

« Mais si vous voyez quelque chose où vous dites, eh bien, je ne l’ai certainement pas fait et si quelqu’un de Google regardait manuellement mon site Web, il pourrait supposer que j’ai fait cela, alors il pourrait être logique d’utiliser le outil de désaveu.

Un fichier de désaveu n’est pas un aveu de culpabilité de création de liens

Mueller a de nouveau rassuré l’éditeur sur le fait que le dépôt du désaveu n’est pas considéré par Google comme un aveu d’actes répréhensibles passés en termes de création de liens.

« … cela ne veut pas dire que vous l’avez fait ou ce n’est pas une sorte de signe que oh vous admettez que vous admettez que vous faisiez des jeux de liens dans le passé. »

Il a ensuite assuré qu’il n’y avait aucune sorte de souvenir des actes répréhensibles passés une fois qu’un site avait été nettoyé d’une action manuelle.

« De notre point de vue, si vous avez résolu un problème, vous avez résolu ce problème. Avec certains types de problèmes, il faut un peu plus de temps pour que les choses se règlent simplement parce que nous devons retraiter tout ce qui est associé au site Web et cela prend un peu de temps.

Mais ce n’est pas le cas qu’il y ait une sorte de rancune dans nos algorithmes qui retienne un site.

L’outil Disavow a-t-il un impact sur les SERP en quelques jours ?

C’est la partie que je trouve personnellement la plus intéressante. De nombreuses personnes ont affirmé que l’outil de désaveu fonctionne parce que, dans leur expérience réelle, ils ont vu les classements changer quelques jours après le téléchargement d’un fichier de désaveu, ce qui prouve que l’outil de désaveu fonctionne vraiment pour améliorer les résultats de recherche.

Qui peut contester la preuve trouvée dans ce genre de pudding, n’est-ce pas ?

Un SEO fait ça, les classements Google sautent, une simple corrélation, non ?

…Droit?

Oui? Non?

Voici ce que dit John Mueller à propos du temps qu’il faut pour traiter les données de Disavow Tool dans les classements :

« En ce qui concerne ce cas particulier, où vous dites que vous avez soumis un dossier de désaveu et que le classement a chuté ou que la visibilité a chuté, surtout quelques jours plus tard, je suppose que ce n’est pas lié.

Donc, en particulier avec le fichier de désaveu, ce qui se passe, c’est que nous prenons ce fichier en compte lorsque nous retraiterons le type de liens pointant vers votre site Web. Et c’est un processus qui se déroule progressivement sur une période de temps où je m’attendrais à ce qu’il ait un effet au cours de… je ne sais pas… peut-être trois, quatre, cinq, six mois… une sorte d’étape par étape. cette direction.

Donc, si vous dites que vous avez vu un effet en quelques jours et que c’était un effet très fort, je suppose que cet effet n’a aucun rapport avec le dossier de désaveu. … on dirait que vous n’avez toujours pas compris ce qui pourrait en être la cause.

Ce n’est pas parce que c’est évident que c’est la réponse

Ce n’est pas parce que vous voyez quelque chose d’évident qui saute aux yeux que c’est la raison de ce que vous essayez de comprendre.

Évident signifie seulement qu’il est facilement visible, c’est tout.

En attendant, la véritable explication pourrait être quelque chose qui n’est pas facile à voir.

Dans ce cas, la personne a déposé un désaveu et le classement a changé en quelques jours et il n’y avait aucune corrélation, aucune.

Juste une coïncidence.

Mueller a confirmé qu’il faut des mois pour que les données d’un fichier de désaveu se frayent un chemin à travers l’algorithme jusqu’au classement et que cela se produise progressivement. Progressivement signifie en petits lots.

Citation

Combien de temps faut-il pour que l’outil de désaveu fonctionne

Question à 17:57 minutes et réponse à 20:50 minutes :

Chrome 84 gère différemment les cookies tiers – comment cela affecte les éditeurs

0

Google Chrome 84 déploie une gestion restrictive des cookies tiers qui peut empêcher la configuration des cookies tiers. Cela peut entraîner une perte de revenus ou des pannes de fonctions du site Web. C’est ce que les éditeurs doivent rechercher.

Pourquoi les cookies tiers sont-ils un problème ?

Tous les cookies tiers ne sont pas concernés. Les seuls cookies tiers concernés sont ceux servis via le protocole HTTP non sécurisé et les cookies qui n’ont pas l’attribut SameSite approprié.

Il s’agit de l’attribut dont un cookie tiers a besoin pour s’installer sur le site d’un éditeur :

MêmeSite=Aucun ; Sécurisé

Cela indique au navigateur qu’il est correct de définir le cookie et que le cookie est envoyé via le protocole sécurisé HTTPS.

Chrome 84 aide à résoudre un problème de sécurité

Cette modification contribuera à renforcer la sécurité du site d’un éditeur. Cela aidera à bloquer les exploits de falsification de requêtes intersites.

Voici comment Google l’explique :

« L’une des propriétés culturelles du Web est qu’il a tendance à être ouvert par défaut. Cela fait partie de ce qui a permis à tant de personnes de créer leur propre contenu et applications là-bas.

Cependant, cela a également entraîné un certain nombre de problèmes de sécurité et de confidentialité.

Les attaques de falsification de requêtes intersites (CSRF) reposent sur le fait que les cookies sont attachés à toute requête d’origine donnée, quel que soit l’initiateur de la requête.

Par exemple, si vous visitez evil.example alors il peut déclencher des demandes à your-blog.exampleet votre navigateur se fera un plaisir de joindre les cookies associés.

Si votre blog ne fait pas attention à la façon dont il valide ces demandes, alors evil.example pourraient déclencher des actions telles que la suppression de messages ou l’ajout de leur propre contenu.

Comment les cookies tiers bloqués affectent les éditeurs

Les cookies tiers peuvent se connecter à un navigateur et savoir si la personne est connectée à un autre service et si tel est le cas, permettre à cet identifiant d’exister sur le site de l’éditeur sans que le visiteur du site ne se reconnecte.

Un cookie tiers permet à un visiteur du site de partager plus facilement une page Web par e-mail ou via un compte de réseau social.

Les cookies tiers alimentent également des fonctionnalités telles que les applications de chat en direct. Les cookies permettent à l’application de se rappeler si le visiteur du site a interagi avec l’application de chat.

Surtout, un cookie tiers permet à un annonceur de montrer l’annonce la plus pertinente sur votre site aux visiteurs de votre site.

Si le cookie tiers ne parvient pas à s’installer, cela peut entraîner l’affichage de publicités moins pertinentes sur votre site, ce qui peut entraîner une baisse des revenus pour l’éditeur.

Comment savoir si les cookies ne sont pas configurés dans Chrome 84 ?

Chrome Dev Tools vous avertira des cookies tiers qui ne sont pas configurés. Mais vous devez avoir téléchargé Chrome 84.

Si la gestion des cookies de mise à jour n’est pas déployée sur votre version de Chrome 84, essayez de télécharger Chrome Canary.

Chrome Canary est la version bêta de Chrome de Google qui a déjà installé les futures fonctionnalités de Chrome.

J’ai utilisé Chrome Canary afin de générer les captures d’écran de cet article. 🙂

Tout ce que vous avez à faire est d’ouvrir la console de développement Chrome en cliquant sur CTRL Option J sur un appareil Apple ou CTRL Maj sur un système d’exploitation Windows.

Vous pouvez également cliquer sur le menu à trois points situé en haut à droite de votre navigateur Chrome et sélectionner Plus d’outils > Outils de développement.

Capture d’écran de l’avertissement des outils de développement Chrome concernant l’attribut de cookie manquant :

Capture d'écran de l'avertissement de la console des développeurs Chrome concernant les cookies tiers

Fondamentalement, les éditeurs n’ont pas grand-chose à faire pour résoudre un problème par eux-mêmes. Le problème existe sur le site des fournisseurs de services.

Mais les éditeurs doivent être conscients de beaucoup de choses.

Le fait de ne pas vérifier si les cookies tiers ne sont pas configurés peut entraîner une perte de revenus et une mauvaise expérience utilisateur.

C’est une bonne idée de vérifier vos cookies pour voir si certains ne sont pas configurés. Si ce n’est pas le cas, vous pouvez essayer de mettre à jour l’endroit où vous obtenez votre code, de contacter le réseau publicitaire ou de passer à un autre service.

Voici ce que dit Web.dev à propos du changement à venir concernant la gestion des cookies tiers :

« Si vous comptez sur des services qui fournissent du contenu tiers sur votre site, vous devez également vérifier auprès du fournisseur qu’il met à jour ses services. Vous devrez peut-être mettre à jour vos dépendances ou extraits pour vous assurer que votre site adopte le nouveau comportement.

Capture d’écran des cookies problématiques comme indiqué dans les outils de développement Chrome :

capture d'écran des cookies bloqués

Vérifiez vos cookies tiers

C’est une bonne idée de vérifier vos cookies tiers pour voir si quelque chose ne va pas. Je vous encourage à télécharger Chrome Canary pour vérifier votre site avec la Chrome Dev Console.

Je trouve que Chrome Canary est un bon navigateur pour vérifier les résultats de la recherche lorsque vous avez également besoin d’un deuxième avis. Chaque spécialiste du marketing de recherche devrait envisager de le télécharger juste pour l’avoir à portée de main.

Citation

Annonce officielle de Google :
Nouveau dans Chrome 84

La vulnérabilité SEO All In One affecte +3 millions de sites

0

Les chercheurs en sécurité de Jetpack ont ​​découvert deux vulnérabilités graves dans le plugin All In One SEO. Les vulnérabilités pourraient permettre à un pirate d’accéder aux noms d’utilisateur et aux mots de passe et également d’exécuter des exploits d’exécution de code à distance.

Les vulnérabilités dépendent les unes des autres pour réussir. La première est appelée Privilege Escalation Attack, qui permet à un utilisateur disposant d’un faible niveau de privilège d’accès au site Web (comme un abonné) d’élever son niveau de privilège à un niveau avec plus de privilèges d’accès (comme un administrateur de site Web).

Les chercheurs en sécurité de Jetpack décrivent la vulnérabilité comme grave et avertissent des conséquences suivantes :

« Si elle est exploitée, la vulnérabilité SQL Injection pourrait permettre aux attaquants d’accéder à des informations privilégiées de la base de données du site concerné (par exemple, les noms d’utilisateur et les mots de passe hachés). »

Escalade de privilège authentifiée

L’un des exploits est une vulnérabilité d’escalade de privilèges authentifiée qui exploite l’API REST de WordPress, permettant à un attaquant d’accéder aux noms d’utilisateur et aux mots de passe.

L’API REST est un moyen pour les développeurs de plugins d’interagir avec l’installation de WordPress de manière sécurisée pour activer des fonctionnalités qui ne compromettent pas la sécurité.

Cette vulnérabilité exploite les endpoints de l’API REST de WordPress (URL représentant les publications, etc.). Les attaques contre l’API REST sont de plus en plus un point faible de la sécurité de WordPress.

Mais ce n’est pas la faute de WordPress car l’API REST est conçue dans un souci de sécurité.

La faute, si les doigts doivent être pointés, incombe entièrement aux plugins.

Dans le plug-in All In One SEO, le problème résidait dans les contrôles de sécurité qui vérifiaient si un utilisateur accédant à un point de terminaison API disposait des informations d’identification de privilège appropriées.

Selon Jetpack :

« Les vérifications de privilèges appliquées par All In One SEO pour sécuriser les points de terminaison de l’API REST contenaient un bogue très subtil qui aurait pu accorder aux utilisateurs disposant de comptes à faibles privilèges (comme les abonnés) un accès à chaque point de terminaison enregistré par le plug-in.

… Puisqu’il ne tenait pas compte du fait que WordPress traite les routes de l’API REST comme des chaînes insensibles à la casse, changer un seul caractère en majuscule contournerait complètement la routine de vérification des privilèges.

Hum… n’est-ce pas ?

Injection SQL authentifiée

Le deuxième exploit est une injection SQL authentifiée. Cela repose sur un attaquant ayant d’abord des informations d’identification d’utilisateur, même une aussi faible qu’un abonné au site Web.

Une injection SQL est l’exploitation d’une entrée avec une série inattendue de codes ou de caractères qui active ensuite l’exploit, comme fournir un accès.

Le site à but non lucratif Open Web Application Security Project (OWASP) définit une injection SQL comme suit :

  1. « Une donnée involontaire entre dans un programme à partir d’une source non fiable.
  2. Les données sont utilisées pour construire dynamiquement une requête SQL »

Jetpack note que la vulnérabilité d’escalade de privilèges permet à un attaquant de monter ensuite l’attaque par injection SQL authentifiée.

« Bien que ce point de terminaison n’ait pas été conçu pour être accessible aux utilisateurs disposant de comptes à faibles privilèges, le vecteur d’attaque d’escalade de privilèges susmentionné leur a permis d’abuser de cette vulnérabilité. »

Mise à jour du plugin SEO recommandée

Cette vulnérabilité affecte les versions 4.0.0 à 4.1.5.2. La dernière version à ce jour, 4.1.5.3 est la version la plus sûre à mettre à jour. Les chercheurs en sécurité de Jetpack recommandent de mettre à jour vers la dernière version.

Citations

Lisez le rapport de vulnérabilité Jetpack :

Vulnérabilités graves corrigées dans All In One SEO Plugin Version 4.1.5.3

Lire ce qu’est une injection SQL

Injection SQL

La mise à jour des avis sur les produits Google de décembre affecte plus que les sites en anglais ?

0

La mise à jour des avis sur les produits de Google a été annoncée pour être déployée en anglais. Aucune mention n’a été faite quant à savoir si ou quand il serait déployé dans d’autres langues. Mueller a répondu à une question pour savoir s’il se déployait dans d’autres langues.

Mise à jour des avis sur les produits Google de décembre 2021

Le 1er décembre 2021, Google a annoncé sur Twitter qu’une mise à jour de Product Review serait déployée et se concentrerait sur les pages Web en anglais.

L’objectif de la mise à jour était d’améliorer la qualité des avis affichés dans la recherche Google, en ciblant spécifiquement les sites d’avis.

Un Googleur tweeté une description des types de sites susceptibles d’être rétrogradés dans les classements de recherche :

« Principalement pertinent pour les sites qui publient des articles sur les produits.

Pensez à des sites comme « meilleurs téléviseurs à moins de 200 $ ».com.

L’objectif est d’améliorer la qualité et l’utilité des avis que nous montrons aux utilisateurs. »

Google a également publié un article de blog avec plus de conseils sur la mise à jour de l’examen des produits qui a introduit deux nouvelles meilleures pratiques que l’algorithme de Google rechercherait.

La première pratique exemplaire consistait à exiger la preuve qu’un produit avait effectivement été manipulé et examiné.

La deuxième meilleure pratique consistait à fournir des liens vers plusieurs endroits où un utilisateur pouvait acheter le produit.

L’annonce sur Twitter indiquait qu’elle était en cours de déploiement sur les sites Web en anglais. Le billet de blog ne mentionnait pas les langues dans lesquelles il était déployé et le billet de blog ne précisait pas non plus que la mise à jour de l’examen du produit était limitée à la langue anglaise.

Mueller de Google réfléchit à la mise à jour des avis sur les produits

Capture d'écran de John Mueller de Google essayant de se rappeler si la mise à jour de l'évaluation des produits de décembre affecte plus que la langue anglaise

La mise à jour de l’évaluation du produit cible plus de langues ?

La personne qui posait la question avait à juste titre l’impression que la mise à jour de l’examen du produit n’affectait que les résultats de recherche en anglais.

Mais il a affirmé qu’il voyait une volatilité de la recherche en allemand qui semble être liée à la mise à jour de l’examen des produits de Google de décembre 2021.

Voici sa question :

« Je voyais également des mouvements dans la recherche allemande.

Je me demandais donc si cette mise à jour des critiques de produits pouvait également avoir un effet sur les sites Web dans d’autres langues… car nous avons eu beaucoup de mouvement et de volatilité au cours des dernières semaines.

… Ma question est la suivante : est-il possible que la mise à jour des avis sur les produits affecte également d’autres sites ?

Jean Mueller a répondu :

« Je ne sais pas… comme les autres langues ?

Mon hypothèse était que c’était mondial et dans toutes les langues.

Mais je ne sais pas ce que nous avons annoncé spécifiquement dans le billet de blog.

Mais généralement, nous essayons de pousser l’équipe d’ingénierie à prendre une décision à ce sujet afin de pouvoir la documenter correctement dans le billet de blog.

Je ne sais pas si cela s’est produit avec la mise à jour des avis sur les produits. Je ne me souviens pas du billet de blog complet.

Mais c’est… de mon point de vue, cela ressemble à quelque chose que nous pourrions faire dans plusieurs langues et qui ne serait pas lié à l’anglais.

Et même si c’était l’anglais au départ, cela semble être quelque chose de pertinent à tous les niveaux, et nous devrions essayer de trouver des moyens de l’étendre également à d’autres langues au fil du temps.

Je ne suis donc pas particulièrement surpris que vous voyiez des changements en Allemagne.

Mais je ne sais pas non plus ce que nous avons réellement annoncé en ce qui concerne les lieux et les langues concernés.

La mise à jour des avis sur les produits affecte-t-elle plus de langues ?

Alors que l’annonce tweetée spécifiait que la mise à jour des critiques de produits était limitée à la langue anglaise, le billet de blog officiel ne mentionnait aucune de ces limitations.

John Mueller de Google a exprimé son opinion que la mise à jour des avis sur les produits est quelque chose que Google pourrait faire en plusieurs langues.

Il faut se demander si le tweet était destiné à communiquer que la mise à jour se déployait d’abord en anglais, puis dans d’autres langues.

Il n’est pas clair si la mise à jour des avis sur les produits a été déployée à l’échelle mondiale dans d’autres langues. Espérons que Google clarifiera cela bientôt.

Citations

Article de blog Google sur la mise à jour des avis sur les produits

Mise à jour des avis produits et de votre site

Consignes relatives aux avis sur les nouveaux produits de Google

Rédigez des critiques de produits de haute qualité

John Mueller discute si la mise à jour des avis sur les produits est mondiale

Regardez Mueller répondre à la question à 14:00 Minute Mark

Comment la syndication de contenu affecte les performances de votre contenu original

0

Cette semaine Poser une question SEO vient de Marcus dans l’East Yorkshire. Il demande:

Si j’écris un contenu unique et que je le publie sur le site Web de mon entreprise, je donne également le même contenu à un site Web tiers qui renvoie vers moi via un lien hypertexte de suivi, cela dévalue-t-il les performances potentielles du contenu sur mon propre site Web ou cela ne l’affecte-t-il pas car il s’agit de la source d’origine ? Ou recommanderiez-vous de fournir une nouvelle version du même contenu au site Web tiers ?

La syndication de contenu peut être délicate.

D’une part, vous souhaitez que votre contenu soit lu par le plus grand nombre de personnes possible.

Mais d’un autre côté, vous voulez qu’autant de personnes que possible viennent sur votre site Web.

Lorsque vous mettez votre contenu sur le site de quelqu’un d’autre, vous courez le risque qu’il lise votre contenu, mais ne visite jamais votre site.

Mais si le contenu n’est pas sur l’autre site, les gens peuvent ne jamais voir le contenu du tout.

Et cela ne tient même pas compte des ramifications SEO du contenu syndiqué.

Pour répondre à la question, nous devons aller à la réponse éprouvée à de nombreuses questions SEO :

Ça dépend.

Pénalité de contenu dupliqué ?

Malgré ce que vous avez pu entendre, il n’existe pas de pénalité de contenu dupliqué.

Vous ne recevrez jamais de pénalité manuelle de la part de Google pour avoir du contenu en double sur votre site Web ou pour quelqu’un d’autre ayant le même contenu que vous sur son site.

Mais il y a certainement des ramifications pour le contenu dupliqué.

Lorsque Google détecte la même copie sur deux pages différentes, l’algorithme doit décider quelle version du contenu sera classée pour une requête spécifique.

Il existe de nombreux facteurs qui entrent dans le classement de la page et ces facteurs sont tous pondérés différemment – et la pondération de ces facteurs semble changer fréquemment.

Il y a de fortes chances que votre page soit surclassée par un site au contenu identique à ce qui se trouve sur votre site.

Et parce que Google veut que les SERPs aient de la diversité, si l’autre site vous surclasse pour une requête spécifique, il y a de fortes chances que votre site n’apparaisse pas du tout sur la première page pour cette même requête.

Google connaît-il la source d’origine ?

Il peut être difficile pour Google de connaître la source d’origine d’un élément de contenu, à moins que vous n’ayez la possibilité de dire à Google la source d’origine.

Le scraping de contenu est un vrai problème.

Certaines études estiment que jusqu’à 30 % de tout le contenu sur le Web est du contenu en double.

Et il existe de nombreux sites qui récupèrent simplement le contenu qui se classe et le publient sur leur propre site dans l’espoir de pouvoir surpasser la source d’origine.

La bonne nouvelle est que Google veut classer le contenu original en premier, même si cela ne se produit pas toujours.

Si vous syndiquez correctement votre contenu, vous pouvez indiquer à Google où se trouve le contenu d’origine de plusieurs manières.

La meilleure façon est de s’assurer que tout site qui syndique votre contenu renvoie à la version originale entourée d’une déclaration à l’effet que « l’article original est apparu ici ».

Assurez-vous que vos partenaires de syndication renvoient à l’URL d’origine exacte et évitez tout paramètre.

Avoir un lien vers le contenu original est également bon pour votre profil de lien – donc si vous pouvez le faire, faites-le.

Pour plus de protection, vous pouvez également demander à toute personne syndiquant votre contenu de placer une balise sans index sur la page où réside le contenu.

Cela indiquera à Google de ne pas indexer le contenu syndiqué et de le classer au-dessus de l’original.

Cependant, il y a des inconvénients à cette tactique.

Le contenu syndiqué n’apparaîtra pas dans les SERP et vous ne tirerez peut-être pas autant d’avantages des liens pointant vers votre site.

Si vous rencontrez des problèmes avec le contenu dupliqué sur votre propre site, renseignez-vous sur la canonisation.

Mais sachez que la canonisation ne fonctionne pas pour les problèmes de contenu dupliqué causés par la syndication.

Davantage de ressources:

  • Principes de base de la syndication de contenu : qui, quoi, où, quand, pourquoi et comment
  • Comment résoudre les problèmes de contenu en double : le guide complet
  • Comment vérifier le contenu en double lors d’un audit SEO

La vulnérabilité du plugin ACF WordPress affecte jusqu’à +2 millions de sites

0

Vulnérabilité d’autorisation manquante …permet à un attaquant distant authentifié d’afficher les informations sur la base de données sans l’autorisation d’accès. Ce type de vulnérabilité permet à un attaquant d’accéder au site à des niveaux habituellement réservés aux utilisateurs disposant de privilèges d’administrateur.

Plugin WordPress des champs personnalisés avancés (ACF)

Le plugin ACF WordPress est un outil de développement populaire qui permet aux développeurs d’ajouter des champs personnalisés à l’écran d’édition ainsi que de personnaliser les sections pour les utilisateurs, les publications, les médias et d’autres domaines.

L’outil ACF permet aux développeurs d’étendre les thèmes WordPress de plusieurs façons, ce qui explique pourquoi il existe des millions d’installations actives.

Vulnérabilité d’autorisation manquante

Une vulnérabilité d’autorisation manquante se produit lorsqu’un logiciel tel qu’un plugin WordPress ne vérifie pas l’autorisation d’un utilisateur lors de l’accès à des informations spécifiques.

Ce type de vulnérabilité peut entraîner l’exposition d’informations sensibles et des attaques d’exécution de code à distance.

Attaquant authentifié à distance

Cette vulnérabilité particulière exploite une vérification d’autorisation manquante pour les utilisateurs qui ont un certain niveau d’authentification.

Cela signifie que les utilisateurs disposant au moins d’un niveau d’authentification d’éditeur, d’auteur ou de contributeur peuvent accéder aux privilèges de niveau administrateur afin d’afficher les informations de la base de données.

Selon les informations les plus récentes du centre de coordination de l’équipe japonaise d’intervention en cas d’urgence informatique :

« Le plugin WordPress « Advanced Custom Fields » fourni par Delicious Brains contient une vulnérabilité d’autorisation manquante…

Les utilisateurs de ce produit (éditeur, auteur, contributeur) peuvent consulter les informations de la base de données sans autorisation d’accès. »

La base de données nationale des vulnérabilités des États-Unis lui a attribué un numéro de référence CVE, CVE-2022-23183

Journal des modifications ACF

Un journal des modifications est un journal détaillant toutes les modifications apportées à chaque version d’un logiciel.

Il est difficile de dire lesquelles des modifications détaillées dans le journal des modifications sont liées à la correction de la vulnérabilité car le journal des modifications ACF ne dit pas explicitement que quelque chose est un correctif de sécurité, il les étiquette simplement comme un « Réparer.”

Le journal des modifications du plugin ACF WordPress ne note pas explicitement qu’un problème de sécurité a été résolu.

Une partie du journal des modifications ACF indique simplement :

« Correctif – ACF valide désormais l’accès aux valeurs de champ de la page d’options lors de l’accès via les clés de champ de la même manière que les noms de champ. Voir plus
Correction – L’API REST valide désormais correctement les champs pour les demandes de mise à jour POST »

Le lien « Afficher plus » mène à un explicatif sur le site Web d’ACF qui dit :

« … Les appels à get_field() ou the_field() sur les options WordPress non-ACF renverront également null. Cependant, l’utilisation de ces fonctions pour récupérer n’importe quelle méta de publication, d’utilisateur ou de terme renverra la valeur, que la méta soit ou non un champ ACF.

… Dans ACF 5.12.1, ces restrictions s’appliquent désormais correctement lors de l’utilisation d’une clé de champ pour accéder à une valeur d’option, de la même manière que l’utilisation du nom de champ.
« Utilisation des fonctions ACF pour récupérer des données depuis l’extérieur d’ACF. »

La vulnérabilité des champs personnalisés avancés est corrigée

La vulnérabilité ACF affecte toutes les versions antérieures à Advanced Custom Fields 5.12.1 et Advanced Custom Fields Pro 5.12.1.

Le centre de coordination de l’équipe d’intervention d’urgence informatique du Japon recommande à tous les utilisateurs du plug-in de mettre immédiatement à jour les versions ACF 5.12.1.