WordPress è una piattaforma CMS per siti web molto diffusa sin dalla sua nascita nel 2003. Tuttavia, la popolarità comporta il rischio di minacce alla sicurezza. All'inizio del 2023, è essenziale fare il punto sullo stato attuale della sicurezza di WordPress.
Fonte dell'immagine: WordFence
Tra il 2021 e il 2022 si sono verificati cambiamenti significativi nelle prime cinque categorie di vulnerabilità divulgate. Un cambiamento degno di nota è che la divulgazione di informazioni ha superato il caricamento di file ed è diventata la quinta categoria di vulnerabilità più diffusa. Ciò evidenzia l'importanza fondamentale di proteggere i dati sensibili e riservati. Inoltre, si è registrato un notevole aumento delle vulnerabilità CSRF, che sono più che raddoppiate e ora occupano una posizione più alta rispetto alle vulnerabilità di bypass delle autorizzazioni, che hanno anch'esse registrato un quasi raddoppio dal 2021 al 2022.
Fonte dell'immagine: WordFence
Esaminando la distribuzione delle vulnerabilità segnalate, è evidente che i plugin rappresentano la stragrande maggioranza delle vulnerabilità segnalate. È importante riconoscere che ci sono molti più plugin che temi disponibili, il che naturalmente influenza questa statistica. Tuttavia, ciò sottolinea che la piattaforma principale di WordPress è relativamente più sicura e che qualsiasi problema di sicurezza nell'ecosistema WordPress può essere attribuito ai plugin e ai temi.
Ecco alcune rapide statistiche sulla sicurezza di WordPress da tenere in considerazione, che approfondiremo di seguito:
Nonostante i numerosi sforzi per migliorare la sicurezza nel corso degli anni, WordPress rimane vulnerabile agli attacchi a causa di versioni software obsolete e password deboli. Infatti, secondo un rapporto di Sucuri, quasi il 74% dei siti WordPress violati utilizzava software obsoleto al momento dell'attacco. Inoltre, i plugin e i temi presentano potenziali vulnerabilità se non vengono aggiornati regolarmente.
Detto questo, negli ultimi anni sono stati apportati notevoli miglioramenti per aumentare la sicurezza di WordPress. Tra questi, gli aggiornamenti automatici dei file principali e dei plugin e il miglioramento dei requisiti per le password degli utenti.
Considerate questo fatto: nel 2022 è stata fatta una scoperta scioccante sulla sicurezza dei plugin dei siti web più diffusi. È stato scoperto che 26 di questi plugin contenevano bug di sicurezza critici che non sono mai stati corretti. Tutti i siti web che utilizzano questi plugin rischiano di essere violati e di veder compromesse le informazioni sensibili.
Questa rivelazione dimostra che i proprietari di siti web non possono permettersi di essere compiacenti riguardo alla sicurezza dei loro siti. Con le minacce informatiche che diventano ogni giorno più sofisticate, le aziende devono adottare tutte le misure necessarie per proteggere se stesse e i propri clienti. Ciò include l'aggiornamento regolare del software e la garanzia che qualsiasi vulnerabilità venga affrontata rapidamente.
Nel 2022 abbiamo registrato un aumento significativo delle segnalazioni di bug di sicurezza per i plugin di WordPress. In particolare, sono stati segnalati 328 bug in più rispetto all'anno precedente, portando a 4.528 il numero totale di bug di sicurezza confermati nel nostro database. Si tratta di un aumento molto più significativo rispetto al 2021, quando erano stati segnalati solo 1.382 bug di sicurezza. Questi numeri dimostrano l'importanza di monitorare e aggiornare regolarmente i plugin per individuare le vulnerabilità di sicurezza il prima possibile.
Essendo uno dei sistemi di gestione dei contenuti (CMS) più diffusi al mondo, WordPress è spesso preso di mira dai criminali informatici che cercano di sfruttare le vulnerabilità nel codice della piattaforma. Nel corso degli anni WordPress ha implementato diverse misure di sicurezza per contrastare questa minaccia, tra cui gli aggiornamenti automatici e il miglioramento delle politiche sulle password. Tuttavia, la divulgazione responsabile è uno dei modi più efficaci per rendere più sicuro l'ecosistema WordPress.
La divulgazione responsabile è diventata più comune negli ultimi anni e l'ecosistema WordPress ha beneficiato in modo significativo di questa tendenza. Molti ricercatori di sicurezza che scoprono vulnerabilità nei plugin, nei temi o nella piattaforma principale di WordPress scelgono ora di segnalarle al team di sicurezza di WordPress, che può quindi collaborare con gli sviluppatori di plugin e temi per rilasciare una patch.
Uno dei vantaggi della divulgazione responsabile è che consente agli sviluppatori di rilasciare una correzione per la vulnerabilità prima che diventi ampiamente nota. Questo aiuta a prevenire che i criminali informatici sfruttino la vulnerabilità per compromettere i siti WordPress. Quando le vulnerabilità vengono divulgate pubblicamente prima che sia disponibile una correzione, si parla di sfruttamento "zero-day".
La divulgazione responsabile consente inoltre agli utenti di WordPress di applicare le patch alle vulnerabilità in modo tempestivo, riducendo il rischio che i loro siti vengano violati. Quando una vulnerabilità viene scoperta e segnalata attraverso la divulgazione responsabile, il team di sicurezza di WordPress può lavorare rapidamente per rilasciare una patch. I proprietari dei siti possono quindi aggiornare i loro plugin, temi o la piattaforma principale di WordPress per applicare la patch e ridurre il rischio di siti compromessi.
La comunità di WordPress ha riconosciuto l'importanza della divulgazione responsabile e diverse iniziative stanno promuovendo questa pratica. Ad esempio, il WordPress Security Team ha un indirizzo e-mail dedicato ai ricercatori di sicurezza per segnalare le vulnerabilità. Molti sviluppatori di plugin e temi includono ora una politica di divulgazione responsabile sui loro siti web.
In conclusione, la divulgazione responsabile è una pratica essenziale per rafforzare la sicurezza dell'ecosistema WordPress. Segnalando in modo responsabile ed etico le vulnerabilità al team di sicurezza di WordPress, i ricercatori di sicurezza possono aiutare gli sviluppatori a rilasciare rapidamente le patch, riducendo il rischio di sfruttamento zero-day. Anche gli utenti di WordPress possono beneficiare della divulgazione responsabile applicando tempestivamente le patch ai loro siti, riducendo il rischio di compromissione degli stessi. La comunità di WordPress deve continuare a promuovere e incoraggiare la divulgazione responsabile per garantire che la piattaforma rimanga sicura e affidabile per anni.
