Statistiche sulla sicurezza di WordPress: quanto è davvero sicuro WordPress?
Pubblicato: 2023-11-01WordPress è davvero sicuro? Questa è probabilmente una domanda nella mente di molti nuovi utenti, soprattutto quando sentono dire che si tratta di un progetto open source. Quindi, esistono statistiche sulla sicurezza di WordPress che possano fornire una risposta?
In effetti ce ne sono, e in questo post abbiamo cercato di raccogliere quanti più numeri significativi possibile su questo argomento. Di seguito, esamineremo i report e le statistiche del settore riguardanti la sicurezza del core di WordPress, dei temi e dei plugin, delle informazioni di accesso e degli ambienti di hosting.
Alla fine, vogliamo che tu non solo abbia una buona idea della situazione della sicurezza di WordPress, ma sappia anche esattamente dove si trovano i rischi in modo da poterli affrontare.
Statisticamente, WordPress è il bersaglio più popolare per gli hacker
Il primo dato che conta quando si parla di sicurezza di WordPress è il 43%. Secondo W3Techs, questa è la quota mondiale di siti web che utilizzano WordPress. Da notare che non si tratta della sua quota di mercato nei sistemi di gestione dei contenuti (che è più alta) ma del totale dei siti web su Internet.
È un numero piuttosto grande. Ed è importante perché, sebbene come fan di WordPress questo sia qualcosa di cui essere orgogliosi, comporta anche uno svantaggio: l’esposizione.
L’enorme numero di siti Web in esecuzione su WordPress significa che la piattaforma è un obiettivo primario per gli hacker. Infatti, nel rapporto di ricerca sulle minacce del 2022 di Sucuri, i siti WordPress rappresentavano il 96,2% di tutti i siti Web infetti.
Non sembra davvero sicuro, vero?
Quando vedi statistiche del genere isolatamente, il tuo primo pensiero potrebbe essere che WordPress abbia effettivamente un problema di sicurezza. Altrimenti perché rappresenterebbe una così grande maggioranza di hack riusciti?
Ecco perché abbiamo iniziato con il primo numero. WordPress è semplicemente un obiettivo molto più importante e redditizio. Scegliere un sistema che ti consenta di provare ad attaccare letteralmente centinaia di milioni di siti Web anziché uno con una base di utenti molto più piccola è molto più economico ed efficiente. Apparentemente questo è anche ciò che pensano gli hacker.
La cattiva notizia è che spesso ci riescono. Ogni anno centinaia di migliaia di siti Web WordPress vengono violati con successo. La buona notizia è, come vedrai di seguito, che non è perché WordPress è intrinsecamente pericoloso. In effetti, molti di questi hack di successo sono del tutto evitabili. Basta sapere come proteggersi.
Statistiche sulla vulnerabilità del core di WordPress
Nel tentativo di rispondere se WordPress è sicuro o meno, iniziamo con le statistiche sulla sicurezza del software principale di WordPress.
La maggior parte dei siti Web compromessi non sono stati aggiornati
Secondo il rapporto Sucuri, la maggior parte dei siti Web WordPress compromessi non sono aggiornati. Nel 2022 più della metà degli utenti infettati da malware non utilizzavano l'ultima versione di WordPress.
Non è una sorpresa, alcune versioni precedenti del CMS presentano problemi di sicurezza ben noti che sono stati divulgati pubblicamente. Quindi, se continui a gestire il tuo sito web su uno di essi, stai semplicemente invitando qualcuno a trarne vantaggio.
Infatti, le edizioni di WordPress con maggiori problemi di sicurezza sono tutte fino alla versione 4.0. Da allora il numero delle vulnerabilità è costantemente diminuito.
Anche il rapporto Sucuri riflette questo. Rispetto ai numeri precedenti, la percentuale di siti WordPress violati perché non aggiornati è diminuita.
In effetti, WordPress ha registrato la percentuale più bassa di infezioni dovute a versioni obsolete tra tutti i CMS in cui si sono imbattuti.
Ciò è avvenuto per due anni consecutivi e durante questo periodo la quota di WordPress è leggermente diminuita. Ecco il 2021 per il confronto.
Questo è un problema dell’utente, non un problema di WordPress
Quindi, in che modo lo stato degli utenti di WordPress mantiene aggiornati i loro siti Web? Beh, molti no. Ecco le versioni di WordPress in esecuzione sui siti Web in natura monitorati da WordPress.org.
Come puoi vedere, solo il 60% circa utilizza la versione più recente. Tuttavia, la buona notizia è che almeno la stragrande maggioranza è su WordPress 4.0 o versioni successive, dove la situazione delle vulnerabilità migliora notevolmente. Inoltre, tre quarti sono stati aggiornati all'ultima versione principale, il che rappresenta un miglioramento rispetto a prima. Nel 2016, tale quota era solo del 50% circa.
Uno dei motivi sono probabilmente gli aggiornamenti automatici introdotti nella versione 5.6. Non è più necessario fare affidamento sugli utenti per fare clic manualmente sul pulsante Aggiorna . I siti web possono invece installare automaticamente nuove versioni di WordPress, il che sembra aver contribuito a questa tendenza positiva.
L'infrastruttura di sicurezza di WordPress funziona
Nonostante la riluttanza degli utenti ad aggiornare i propri siti web, il sistema di sicurezza del core di WordPress fa molto bene il suo lavoro. Il team di sicurezza di WordPress trova e risolve rapidamente i problemi in ogni nuova versione di WordPress.
Nel 2023, avevamo già tre rilasci di sicurezza che risolvevano 20-30 potenziali vulnerabilità. WordPress 6.0.3 da solo conteneva 16 correzioni di sicurezza. Nel 2022 sono stati rilasciati anche quattro rilasci di sicurezza nel progetto, che hanno risolto 26 bug di sicurezza in totale.
Inoltre, questa vigilanza si estende ad altre parti dell’ecosistema. Elementor ha riscontrato una vulnerabilità critica che è stata rapidamente risolta, Ninja Forms ha ricevuto un aggiornamento forzato da WordPress.org e BackupBuddy ha corretto anche un difetto di sicurezza di elevata gravità e ha distribuito la versione aggiornata ai suoi utenti.
Quindi, anche se WordPress presenta problemi di sicurezza proprio come ogni altro software, dispone di misure di sicurezza che rispondono rapidamente ad essi. Uno dei maggiori ostacoli che rimangono è convincere gli utenti ad applicare le soluzioni.
Statistiche sul tema WordPress e sulla sicurezza dei plugin
Essendo il CMS più popolare, WordPress è dotato di un numero enorme di estensioni, molte delle quali gratuite. Al momento in cui scriviamo, solo nella directory WordPress sono presenti quasi 60.000 plugin e più di 11.000 temi.
Senza contare le migliaia di altri plugin disponibili in altre parti del web, spesso come soluzioni premium. Questa è la cosa bella di WordPress, qualunque cosa tu stia cercando, molto probabilmente esiste già una soluzione là fuori.
Allo stesso tempo, ogni estensione che installi sul tuo sito è un potenziale punto di ingresso per un utente malintenzionato. Temi e plugin sono responsabilità dei singoli sviluppatori. Non sono testati rigorosamente come il core di WordPress e, pertanto, hanno maggiori probabilità di contenere difetti di sicurezza. Inoltre, a volte gli sviluppatori semplicemente smettono di supportare il loro lavoro e questo diventa obsoleto.
Pertanto, non sorprende che svolgano un ruolo importante nelle statistiche sulla sicurezza di WordPress, in particolare i plugin. Infatti, secondo WPScan.com, contengono la stragrande maggioranza delle vulnerabilità di WordPress.
Patchstack è arrivato a numeri simili.
Apparentemente soprattutto i plugin gratuiti sono un problema. Sucuri riferisce che temi e plugin premium rappresentano l'8,62% di tutte le vulnerabilità di terze parti, mentre le estensioni gratuite rappresentano il 91,38%.
Anche in questo caso un problema comune è che i proprietari di siti web utilizzano versioni obsolete con noti problemi di sicurezza. Sucuri riferisce inoltre che il 36% di tutti i siti Web compromessi presentavano almeno un plugin o un tema vulnerabile durante la riparazione.
Le estensioni più popolari rappresentano la maggior parte degli hack
Interessante è anche la distribuzione di quali plugin e temi causano problemi. Secondo Sucuri, i componenti vulnerabili più comunemente rilevati includevano versioni obsolete di Contact Form 7 (27,44%), Freemius Library (20,85%) e WooCommerce (14,51%). Ce ne sono alcuni altri.
Quindi, perché permettiamo ancora l’esistenza di questi plugin se stanno facendo un lavoro così scadente a livello di sicurezza? Qui vale la stessa cosa che per WordPress in generale. Non è necessariamente che questi plugin siano più insicuri, sono semplicemente molto popolari. Il solo Contact Form 7 ha oltre cinque milioni di installazioni.
Inoltre, questi sviluppatori fanno davvero un buon lavoro nel risolvere i problemi di sicurezza una volta che diventano noti. Il problema si verifica solo quando gli utenti non li applicano. Inoltre, sono in corso sforzi per colmare le lacune dei plugin. C'è stata una recente proposta per un Plugin Checker simile al plugin per il controllo dei temi che è in lavorazione.
Allora, cosa impariamo da questo? Mantieni aggiornati i tuoi temi e plugin proprio come il resto del tuo sito WordPress.
Vulnerabilità di accesso
Le credenziali di accesso sono un altro fattore nei siti Web che subiscono un attacco hacker di successo. Nomi utente e password deboli rappresentano un serio rischio per la sicurezza. Vengono facilmente compromessi tramite attacchi di forza bruta e credential stuffing.
Quando accade qualcosa del genere, non importa quanto sia aggiornato il tuo sito o la sicurezza dei tuoi plugin e temi. Una volta che qualcuno ha pieno accesso al tuo sito, ci sono pochi limiti a ciò che può fare.
Caso in questione, Sucuri ha riscontrato utenti amministratori di WordPress dannosi nel 32,69% dei siti Web infetti. Solo per divertimento, ecco i nomi utente e le e-mail che hanno utilizzato di più.
D'altronde questa è una delle parti maggiormente sotto il controllo diretto degli utenti. Ad esempio, WordPress viene fornito con un generatore automatico di password sicure. Perchè non approfittarne?
Tuttavia, devi fare lo stesso per altri account relativi al tuo sito web come hosting e credenziali FTP. Inoltre, esistono misure aggiuntive per proteggere la tua pagina di accesso come la limitazione dei tentativi di accesso e l'autenticazione a due fattori.
Statistiche sulla sicurezza dell'hosting
Anche l’ambiente di hosting e le tecnologie in esso presenti svolgono un ruolo nella sicurezza, in particolare la versione PHP su cui è in esecuzione WordPress. Ad esempio, PHP 7 ha introdotto funzionalità di sicurezza migliori rispetto al suo predecessore PHP 5.
Inoltre, gli sviluppatori PHP hanno una politica di fine vita piuttosto rigorosa per le loro versioni precedenti. Al momento in cui scrivo, qualsiasi cosa prima della 8.0 non riceve più supporto o correzioni di sicurezza ed è quindi meglio evitare a lungo termine.
Qui, WordPress non sembra così bello. Mentre la stragrande maggioranza dei siti WordPress funziona almeno su PHP 7.0 e quasi la metà su 7.4, solo poco più di un quarto utilizza le versioni supportate attivamente.
C'è addirittura il 6% che gira ancora su versioni PHP 5.x, che non vedono alcun supporto da anni. Quindi, se non l'hai ancora fatto, aggiorna la tua versione PHP.
Statistiche sulla sicurezza di WordPress in breve
Nessun CMS è sicuro al 100%, infatti nulla di connesso al web lo è. Tuttavia, nonostante ciò che potresti sentire altrove, le statistiche sulla sicurezza di WordPress sono nel complesso molto buone. Sì, ci sono problemi che devono essere risolti, ma la maggior parte di essi viene affrontata attivamente.
Se vuoi contribuire a migliorare ulteriormente i numeri, puoi farlo seguendo queste migliori pratiche:
- Mantieni aggiornati WordPress, i suoi plugin e temi
- Utilizza solo estensioni provenienti da fonti affidabili
- Utilizza password e credenziali complesse per tutto ciò che riguarda il tuo sito web
- Prendi in considerazione l'utilizzo di un firewall e/o CDN
- Limita i tentativi di accesso
- Utilizza un certificato SSL per crittografare il traffico sul tuo sito web, inclusa la dashboard
- Scegli un host che ti consenta di mantenere aggiornata la tua versione PHP
Se li segui, dovresti avere statistiche di sicurezza positive almeno per il tuo sito WordPress.
Quali statistiche sullo stato della sicurezza di WordPress trovi più interessanti? Fateci sapere nei commenti qui sotto!