Sicurezza di WordPress basata su fatti e statistiche

Pubblicato: 2022-12-12

WordPress è un obiettivo comune per gli hacker malintenzionati a causa dell'enorme numero di persone che lo utilizzano. Alcune stime stimano il numero totale di siti Web WordPress su Internet a 455 milioni. Ciò significa che WordPress esegue il 43,1% di tutti i siti Web su Internet.

Statistiche interessanti

Scoprire quanti siti Web vengono violati è complicato. Ci sono diverse ragioni per questo. Gli incidenti di hacking sono notoriamente sottostimati. A meno che non siano obbligati dalla legge a divulgare gli incidenti, molti amministratori e proprietari di siti Web sono riluttanti a farlo. Molti non sanno di essere stati violati, rendendo impossibile la segnalazione.

Tolti questi avvertimenti, l'IT Governance, un fornitore di soluzioni per la gestione del rischio informatico e della privacy, ha segnalato circa 5,1 miliardi (con una B) di violazioni solo nel 2021. Questa cifra include tutte le violazioni. Guardando un altro rapporto, questa volta di Sophos, 30.000 siti Web (in media) vengono violati ogni giorno. Ciò equivale a 11 milioni di siti Web violati ogni anno. Sappiamo che il 43% di tutti i siti Web esegue WordPress, il che ci consente di stimare che 4,7 milioni di siti Web WordPress vengono violati ogni anno. Sono quasi 13.000 siti Web WordPress violati ogni giorno.

È un numero molto elevato, il che fa sorgere la domanda, perché WordPress viene violato così tanto? Questo è esattamente ciò che vedremo in questo articolo, basato su fatti e statistiche.

WordPress: quanto è sicuro, davvero?

WordPress è un progetto open source con molte persone in tutto il mondo che ci lavorano attivamente. La community di WordPress è molto forte e comprende alcune delle persone più intelligenti e impegnate che tu abbia mai incontrato. Con così tante persone coinvolte che trascurano il processo di sviluppo, WordPress tende ad essere molto sicuro.

La forza di WordPress può anche essere la sua rovina, come ci mostreranno le statistiche quando approfondiremo il modo in cui i siti Web WordPress vengono violati.

I maggiori punti di forza e di debolezza di WordPress

Nessun sistema è perfetto, e questo vale anche per il core di WordPress. Il core di WordPress rappresenta i file core prima che vengano apportate modifiche (come plug-in, temi e configurazioni). In effetti, WordPress Core ha costituito lo 0,58% di tutte le vulnerabilità nel 2021, secondo il rapporto sulle statistiche di hacking di WordPress di Sucuri. Questo è poco più della metà dell'uno percento di tutti gli incidenti.

I prossimi sono temi e plug-in, in quest'ordine. In effetti, i temi costituiscono il 6,61% di tutte le vulnerabilità, mentre i plug-in costituiscono un enorme 92,81%.

Sucuri suddivide ulteriormente temi e plug-in in base al fatto che siano gratuiti o premium. Mentre temi e plug-in premium costituiscono l'8,62% di tutte le vulnerabilità di terze parti, le loro controparti gratuite rappresentano il 91,38%.

Perché i buoni plugin costano denaro

Ci sono molte ragioni per cui questo è il caso. Plugin e temi sono disponibili in tutte le forme e dimensioni, dagli sviluppatori rispettabili a quelli loschi. La verità è che, se fatto bene, lo sviluppo di plugin non è economico. Gli sviluppatori professionisti a tempo pieno devono essere pagati pur mantenendo buone infrastrutture e anche le strutture di test accumulano fatture.

Questo non vuol dire che tutti i plugin gratuiti rappresentino una minaccia per la sicurezza, tutt'altro. Molti sviluppatori dedicano il loro tempo libero alla produzione di plugin gratuiti di buona qualità. Tuttavia, se desideri un plug-in ampiamente testato e supportato, un plug-in premium è probabilmente la strada da percorrere.

Vulnerabilità di WordPress – i numeri

Il numero di vulnerabilità note di WordPress aumenta di anno in anno. In effetti, WPScan ha aggiunto 1.437 nuove vulnerabilità al suo database e 514 l'anno prima. Solo nel novembre del 2022 sono state aggiunte 64 nuove vulnerabilità.

Considerando la distribuzione delle vulnerabilità di cui abbiamo discusso in precedenza, questi numeri reggono quando si guarda al numero di plugin di WordPress disponibili. Il repository di WordPress.org elenca oltre 60.000 plugin disponibili al momento della scrittura, con altri aggiunti ogni giorno. I plugin possono anche essere acquistati direttamente dagli sviluppatori o scaricati da fonti non ufficiali.

A causa del panorama di vulnerabilità di WordPress in continua evoluzione, gli attacchi mirati sono l'eccezione piuttosto che la regola. Man mano che le vecchie vulnerabilità vengono corrette e ne vengono introdotte di nuove, gli hacker possono avere difficoltà a tenere il passo. Inoltre, rende gli attacchi mirati molto dispendiosi in termini di tempo, motivo per cui la maggior parte degli attacchi è automatizzata.

Gli attacchi automatizzati utilizzano uno strumento per scansionare automaticamente molti siti Web, generando avvisi ogni volta che viene rilevata una vulnerabilità. Per questo motivo, la maggior parte degli attacchi sono indiscriminati piuttosto che il risultato di un rancore. Ma quali strumenti utilizzano gli hacker per tali attacchi automatizzati? Scopriamolo.

Come vengono violati i siti Web WordPress

WordPress può essere violato in molti modi diversi: gli hacker possono essere molto creativi nel perseguire obiettivi. Ciò rende impossibile e pericoloso elencare tutti i modi in cui un sito Web WordPress può essere violato, poiché potrebbe fornire un falso senso di sicurezza. Tuttavia, possiamo guardare un esempio che illustra il processo che un hacker potrebbe tipicamente intraprendere per hackerare un sito Web WordPress.

WPScan – Uno scanner di vulnerabilità di WordPress

wpscan
Interfaccia WPScan: scansione di sicurezza di WordPress

Uno strumento comune che viene spesso utilizzato dagli hacker si chiama WPScan. È uno strumento gratuito che è prontamente disponibile online. È uno scanner di vulnerabilità che analizza i siti Web di WordPress e identifica problemi noti e configurazioni non sicure. Quando avvii una scansione di sicurezza predefinita di WordPress con WPScan, scoprirai immediatamente:

  • La versione WordPress
  • Plugin installati, la loro versione e il percorso in cui sono installati
  • Temi installati, la loro versione e il percorso in cui sono installati

WPScan include altre funzioni, come le scansioni dell'enumerazione degli utenti di WordPress. Queste scansioni identificano ed enumerano tutti gli utenti registrati su un sito Web WordPress, fornendo agli hacker informazioni su come funziona WordPress. Armato di queste informazioni, l'hacker può quindi lanciare un attacco secondario, come un attacco di forza bruta della password di WordPress per ottenere l'accesso al tuo sistema.

Qui, è importante notare perché la sicurezza della password di WordPress è così cruciale per la sicurezza generale del tuo sito Web WordPress. Una password debole rende relativamente facile il passaggio di un attacco di forza bruta. Allo stesso modo, è importante assicurarsi che tutti gli account utilizzino password sicure. Un account collaboratore compromesso potrebbe non essere in grado di infliggere molti danni, ma attraverso l'escalation dei privilegi su un sito Web compromesso, un utente malintenzionato può ottenere privilegi amministrativi per provocare il caos.

Perché gli hacker hackerano

Una volta che un malintenzionato è riuscito ad accedere al tuo sito Web WordPress, ci sono diverse azioni che può intraprendere, come ad esempio:

  • Crea un nuovo account con privilegi di amministratore
  • Reimposta la password degli account esistenti per assicurarti che altri utenti non possano riottenere l'accesso al loro WordPress
  • Cambia il ruolo di un account dormiente esistente
  • Modificare il contenuto per iniettarlo con codice dannoso
  • Manomettere i file del codice sorgente di WordPress per aggiungere codice dannoso, come backdoor
  • Aggiungi reindirizzamenti nei file htaccess

Proteggi il tuo WordPress dagli attacchi

Come abbiamo visto, i malintenzionati possono adottare diversi approcci per violare un sito Web WordPress. È ovvio, quindi, che la protezione di un sito Web WordPress richieda un approccio più olistico rispetto alla semplice garanzia che gli utenti dispongano di una password.

  • Ricerca : se stai cercando un provider di hosting WordPress o un nuovo plug-in, assicurati di dedicare del tempo a verificarli prima. I forum possono aiutarti a dare una rapida occhiata a come i clienti si sentono riguardo ai prodotti o ai servizi, mentre i plugin dovrebbero avere aggiornamenti frequenti e un ottimo supporto clienti.
  • Test : la scelta del miglior plug-in per il tuo WordPress non deve essere un gioco d'ipotesi. I fornitori di plug-in più affidabili offrono una prova gratuita dei loro plug-in premium. Ciò ti consente di testarli prima di impegnarti.

Una volta che hai capito la tua configurazione, dovrai assicurarti che sia configurata correttamente per la massima sicurezza. La configurazione di un WordPress sicuro non è un lavoro una tantum, ma un processo continuo che include:

  • Password sicure : una politica di password forte per WordPress può aiutarti a garantire che gli attacchi di forza bruta scadano nel tempo prima che abbiano successo. Usa un sano mix di lettere maiuscole e minuscole, numeri e caratteri speciali. Inoltre, imposta una politica di scadenza della password per assicurarti che le password vengano cambiate frequentemente.
  • 2FA – 2FA, abbreviazione di autenticazione a due fattori, aggiunge un ulteriore livello di autenticazione al tuo login WordPress. Quando si utilizza 2FA, anche se un attacco di forza bruta ha successo, senza accesso allo smartphone, gli hacker non saranno in grado di accedere.
  • Aggiornamento : mantieni WordPress, plugin e temi sempre aggiornati. L'implementazione degli aggiornamenti di WordPress può essere eseguita in diversi modi, come mostra questo recente sondaggio. Questo può aiutarti a bilanciare i requisiti amministrativi e di sicurezza senza sudare.
  • Monitor : tieni d'occhio l'attività dell'utente e del sistema con un plug-in di sicurezza come WP Activity Log. Questo ti aiuterà a identificare tempestivamente comportamenti sospetti e a spegnerlo prima che il danno sia fatto.

Questo non è affatto un elenco esaustivo, ma è un buon punto di partenza. La sicurezza di WordPress è un argomento in evoluzione, che richiede una manutenzione costante. Seguire un blog sulla sicurezza di WordPress è un modo per rimanere aggiornati e qualcosa che puoi leggere mentre sorseggi il tuo caffè mattutino.

Mantenere WordPress sicuro

La sicurezza di WordPress è un ciclo piuttosto che un processo con un inizio e una fine. Richiede attenzione e modifiche costanti per rispondere alle minacce in continua evoluzione. Anche se questo può sembrare un lavoro eccessivo, come spesso accade, la manutenzione è meglio della riparazione. Dedicando qualche ora al mese, puoi ridurre drasticamente i rischi per la sicurezza, aiutandoti a garantire che il tuo sito web continui a crescere.