Le statistiche evidenziano la principale fonte di vulnerabilità di WordPress

Sappiamo tutti che molti siti WordPress vengono hackerati ogni anno. È perché WordPress è un sistema insicuro? È un problema globale di WordPress o deriva dalle azioni di quei webmaster? Come e perché sta accadendo?

Che tu stia gestendo un blog personale, un sito Web aziendale o un sito di e-commerce su WordPress, la sicurezza del tuo sito Web dovrebbe essere una priorità. Ci possono essere molte ragioni per cui la sicurezza del tuo sito è compromessa. I motivi più comuni sono password deboli, errori degli utenti, software obsoleto e aggiornamenti di sicurezza mancanti.

In questo articolo utilizziamo le ultime statistiche del database delle vulnerabilità di WPScan per evidenziare quali sono i componenti WordPress più vulnerabili e per sottolineare l'importanza di eseguire software aggiornati e installare le patch di sicurezza necessarie.

Puoi anche trovare alcune statistiche e fatti interessanti sulle vulnerabilità di WordPress, oltre ad alcuni consigli. Entriamo subito.

Tabella dei contenuti

• Che cos'è il database delle vulnerabilità di WPScan?
• Panoramica delle vulnerabilità di WordPress, plugin e temi
  • Perché ci sono così tante vulnerabilità principali di WordPress?
  • Tipo di vulnerabilità nel core di WordPress, plugin e temi
  • Statistiche delle vulnerabilità principali di WordPress
  • I 10 plugin WordPress più vulnerabili
  • I 10 temi WordPress più vulnerabili
• Cosa ci dicono queste vulnerabilità di WordPress?
• Come garantire la sicurezza di WordPress (migliori pratiche di sicurezza)

Che cos'è il database delle vulnerabilità di WPScan?

Prima di immergerci nelle statistiche, spieghiamo da dove abbiamo ottenuto questi numeri. Tutti i dati vengono recuperati dal database delle vulnerabilità di WPScan, una versione esplorabile online dei file di dati di WPScan.

WPScan è uno scanner di sicurezza della scatola nera di WordPress automatizzato open source. Questo scanner utilizza questi dati per rilevare le vulnerabilità note di WordPress core, plug-in e temi nei siti Web WordPress.

Ad oggi il database delle vulnerabilità di WPScan contiene 21.755 vulnerabilità, 4.154 delle quali sono vulnerabilità uniche.

Panoramica delle vulnerabilità di WordPress, plugin e temi

Secondo il WPScan Vulnerability Database, circa l'80% delle vulnerabilità note che hanno registrato si trovano nel software di base di WordPress. Ma ecco il kicker: le versioni con il maggior numero di vulnerabilità sono tutte risalenti a WordPress 3.X.

Finora ci sono 17.467 vulnerabilità del software core di WordPress nel database delle vulnerabilità di WPScan. Poi ci sono 3.846 (17%) vulnerabilità dei plugin di WordPress e 442 (3%) vulnerabilità dei temi WordPress.

Perché ci sono così tante vulnerabilità principali di WordPress?

Il numero di vulnerabilità nel core di WordPress è gonfiato nel database delle vulnerabilità a causa delle numerose versioni di WordPress. Di seguito è riportata una spiegazione del motivo per cui ciò accade;

Una vulnerabilità di cross-site scripting si trova in un componente di WordPress versione 5.4.2. Questo componente è stato utilizzato in WordPress dalla versione 3.7. Pertanto anche tutte le precedenti versioni rilasciate di WordPress sono vulnerabili.

Pertanto nel database delle vulnerabilità di WPScan ci sarà una vulnerabilità unica e 256 vulnerabilità!

Quindi il core di WordPress in quanto tale non è insicuro. È molto importante sottolineare che il core di WordPress ha fatto molta strada ed è un software molto migliore e più sicuro di quanto non sia mai stato.

Tipo di vulnerabilità nel core di WordPress, plugin e temi

I tipi di vulnerabilità più popolari nel core, nei plugin e nei temi di WordPress sono Cross-site Scripting e SQL Injection.

Ciò non sorprende considerando che queste 2 vulnerabilità sono state elencate nell'elenco OWASP Top 10 dei problemi di sicurezza Web più comuni sin dal suo inizio.

Statistiche delle vulnerabilità principali di WordPress

Il grafico sottostante evidenzia le prime 10 versioni core di WordPress più vulnerabili, con le versioni 3.7.1 e 3.8.1 in testa al gruppo con 92 vulnerabilità ciascuna. Al secondo posto, con 91 vulnerabilità c'è WordPress versione 3.9.

Tuttavia, da allora WordPress è diventato decisamente più sicuro. Diamo un'occhiata al numero di vulnerabilità nelle ultime 5 versioni di WordPress. Come puoi vedere la differenza è abbastanza grande.

I 10 plugin WordPress più vulnerabili

Ecco alcuni fatti sui 10 plugin WordPress più vulnerabili:

NextGEN Gallery, NinjaForms e WooCommerce guidano il gruppo con 22 vulnerabilità ciascuno.

Siamo rimasti sorpresi di vedere All In One WP Security & Firewall, un plug-in di sicurezza di WordPress tra i primi 10 plug-in WordPress più vulnerabili. Non sto dicendo che tali plugin siano a prova di proiettile. Anche se mi aspetto che un plug-in scritto da addetti alla sicurezza abbia meno vulnerabilità, o almeno non sia nell'elenco dei primi 10.

I 10 temi WordPress più vulnerabili

Il grafico sottostante evidenzia i primi 10 temi WordPress più vulnerabili. Il più alto ha solo 5 vulnerabilità sotto il suo nome.

I temi tendono ad avere molte meno vulnerabilità rispetto ai plugin perché fanno molto meno in termini di funzionalità. Ad esempio, mentre la maggior parte dei plugin gestisce i dati, l'input degli utenti e manipola i dati degli utenti, i temi cambiano principalmente l'aspetto dei siti Web WordPress.

Cosa ci dicono queste vulnerabilità di WordPress?

Le persone adorano WordPress per la vasta gamma di plugin e temi disponibili. Al momento della stesura di questo, ci sono oltre 57.000 plugin e più di 7.000 temi nel repository di WordPress e migliaia di altri premium sparsi sul web.

Sebbene tutte queste opzioni siano ottime per migliorare il tuo sito, dovresti sempre fare una piccola ricerca prima di installare un plug-in o un tema sul tuo sito Web WordPress. Mentre la maggior parte degli sviluppatori WordPress fa un buon lavoro nel seguire gli standard del codice e correggere i problemi di sicurezza segnalati una volta che vengono conosciuti, ci sono ancora alcuni potenziali problemi:

• Il plugin o il tema non viene più mantenuto,
• Gli sviluppatori impiegano molto tempo per rilasciare una patch di sicurezza o non rispondono,
• Tuttavia, un plug-in o un tema presenta una vulnerabilità, poiché non si presta molta attenzione al fatto che la vulnerabilità non venga rilevata.

Fai riferimento a come scegliere il miglior plug-in WordPress per le tue esigenze per maggiori dettagli su questo argomento e come determinare se un plug-in è una buona scelta per il tuo sito Web WordPress.

Allora, qual è il cibo da asporto?

In breve, mantieni aggiornato tutto il tuo software!

WordPress è uno dei CMS più popolari al mondo e se segui le migliori pratiche di sicurezza e lo tieni aggiornato è molto improbabile che il tuo sito web abbia problemi.

Queste statistiche sulle vulnerabilità di WordPress sono accurate?

Queste statistiche si basano sulle informazioni memorizzate nel database delle vulnerabilità di WPScan. Sebbene sia aggiornato frequentemente, non è affatto completo.

Ci sono molti altri plugin e temi vulnerabili di WordPress che non sono elencati qui. Tuttavia, questo ci offre una buona panoramica dello stato delle vulnerabilità di WordPress.

Invia vulnerabilità note di WordPress

Il team di WPScan incoraggia tutti coloro che conoscono le vulnerabilità del core, dei plugin o dei temi di WordPress a inviare loro i dettagli.

Prima di inviare una nuova vulnerabilità, esegui una ricerca nel database per assicurarti che il problema non sia stato inviato prima. Ciò garantirà che avremo una fonte di informazioni centralizzata e affidabile.

Come garantire la sicurezza di WordPress (migliori pratiche di sicurezza)

Ora che abbiamo coperto tutte le potenziali vulnerabilità note, diamo un'occhiata ai diversi modi per proteggere il tuo sito web.

La prima cosa è aggiornare regolarmente la tua versione di WordPress. Dovresti assolutamente sviluppare la pratica di aggiornare la tua versione di WordPress e inoltre, non dimenticare di aggiornare i tuoi plugin e temi.

Ecco alcune azioni aggiuntive che puoi eseguire per proteggere il tuo sito Web WordPress:

• Evita di usare password comuni

Quando hai una password complessa, qualsiasi tentativo di hacking può essere evitato o almeno ritardato.

• Imposta un accesso con autenticazione a due fattori

Chiunque desideri accedere al tuo sito Web WordPress dovrebbe eseguire un altro passaggio prima di ottenere l'accesso al tuo account.

• Non utilizzare plugin e temi annullati

Tenta quasi tutti, tuttavia queste copie gratuite di plugin e temi premium il più delle volte vengono caricate con malware dannoso. Supporta gli sviluppatori dei plugin che utilizzi acquistando l'edizione premium. Aiuta a sviluppare ulteriormente il prodotto, aggiungere nuove funzionalità e mantenerlo sicuro.

• Usa i plugin di sicurezza di WordPress

Al giorno d'oggi esiste un'enorme varietà di plug-in di sicurezza creati per proteggere il tuo sito Web da vari attacchi. I migliori vengono aggiornati regolarmente, il che li rende in grado di rilevare qualsiasi tentativo di hacking e qualsiasi aggiunta al tuo codice. Sviluppiamo una serie di plugin per la sicurezza e la gestione del sito di WordPress. Dai un'occhiata!

Per concludere

Proteggere il tuo sito web è estremamente essenziale. Avere una visione chiara delle minacce e degli strumenti che è possibile utilizzare per affrontare i potenziali attacchi è fondamentale. La tua prima e più importante priorità dovrebbe essere quella di avere e mantenere un sito web sicuro.

Come risultato della sua popolarità, WordPress è un grande obiettivo per gli hacker. Ecco perché devi fare uno sforzo in più per garantire la sicurezza del tuo sito. Un sito protetto infonderà sicuramente fiducia nei tuoi potenziali clienti e, quindi, aiuterà la crescita della tua attività.

Proteggi il tuo sito web e stai al sicuro!