Il panorama delle minacce alla sicurezza di WordPress nel 2024: tendenze e statistiche chiave
Pubblicato: 2024-04-18WPScan ha recentemente pubblicato la sua revisione delle vulnerabilità e delle minacce del 2023 ai siti WordPress. Con queste informazioni in mano, sia i proprietari dei siti che i professionisti WordPress possono navigare nel 2024 in modo un po’ più sicuro.
Guidato da esperti di sicurezza dedicati, WPScan mantiene il principale database di minacce all'ecosistema WordPress. Utilizzato dai migliori professionisti del settore, WPScan è considerata la risorsa più completa disponibile. Ad oggi, WPScan e i collaboratori hanno identificato, verificato e classificato più di 49.000 vulnerabilità.
Il database è utilizzato da organizzazioni aziendali come Mercedes-Benz Group, WP Engine, Accenture e Kinsta. Alimenta inoltre i rinomati strumenti di sicurezza di WordPress come Jetpack Scan, disponibile tramite Jetpack Protect o con un piano Jetpack Security.
Perché esiste questo rapporto? Da dove provengono i dati?
Il team di WPScan è dedicato all'identificazione, verifica e indicizzazione delle minacce all'ecosistema WordPress, in modo che gli strumenti di sicurezza di WordPress (come Jetpack Security) possano proteggersi efficacemente da esse e proteggere la comunità.
Identificare e comprendere le minacce sono i primi passi nella protezione della sicurezza informatica.
I dati contenuti in questo rapporto sono stati compilati a partire dalle vulnerabilità divulgate da WPScan e verificate dai ricercatori sulla sicurezza, nonché da un campione di oltre 350.000 siti Web e servizi Automattic che utilizzano Jetpack Scan o Jetpack Protect.
Cosa abbiamo imparato?
Non hai tempo per leggere il rapporto completo? Non preoccuparti. Ti abbiamo coperto con un riepilogo dei punti chiave.
XSS riceve molta attenzione, ma le SQL injection rappresentano una minaccia più diffusa
Lo scripting cross-site riceve molta attenzione. Viene spesso segnalato da cacciatori di bug e ricercatori di sicurezza (il 53% di tutte le vulnerabilità divulgate).
Ma il tipo più comune di minaccia, come dimostrato dai tentativi effettivamente bloccati dal firewall Jetpack, sono in realtà le SQL injection. La minaccia di un’iniezione SQL tende ad essere particolarmente grave perché è necessaria poca o nessuna autenticazione per sfruttare questo tipo di vulnerabilità.
Due minacce sono più comuni quando si tratta della sicurezza di WordPress
Il rapporto ha confermato ciò che già sappiamo: credenziali utente deboli e plugin annullati sono la porta d’ingresso per la maggior parte degli attacchi.
Ciò significa che gli amministratori del sito possono prevenire la maggior parte dei problemi di sicurezza mantenendo aggiornato il software e richiedendo un'autenticazione forte.
Oltre il 20% delle vulnerabilità non richiedeva alcuna autenticazione
Il team WPScan esamina le vulnerabilità per determinare il livello di autenticazione richiesto per sfruttare il codice interessato. Mentre circa un terzo di tutte le vulnerabilità richiederebbero l’accesso a un account amministratore (riducendo il rischio di sfruttamento), il 22% delle vulnerabilità divulgate non richiederebbe assolutamente alcuna autenticazione o semplicemente un account a livello di abbonato.
Gli attacchi malware rimangono prevalenti
Jetpack Scan (che utilizza il database WPScan) ha identificato l'incredibile cifra di 70.000 siti con almeno un file dannoso. La maggior parte delle cause può essere ricondotta a (avete indovinato!) credenziali trapelate/deboli o software annullato.
Il 75% (600.000 file dannosi) è stato ritenuto essere malware generico.
Gli strumenti esistenti funzionano
Il firewall Jetpack ha bloccato più di sette milioni di richieste che comportavano una vulnerabilità ad alta gravità, prevenendo innumerevoli attacchi XSS contro siti a rischio.
Il rapporto afferma,
Il firewall Jetpack, sebbene sia una recente aggiunta alla suite Jetpack Security , sta dimostrando il suo valore bloccando potenziali attacchi nelle prime fasi del ciclo, impedendo agli aggressori di prendere piede sui siti protetti.
Il firewall Jetpack ha inoltre bloccato più di mezzo milione di attacchi SQL injection e Path Traversal.
Cosa dovrebbero fare dopo i professionisti della sicurezza informatica e di WordPress?
Non puoi prevenire gli attacchi se non sai cosa cercare. WPScan fornisce la libreria più affidabile e aggiornata di minacce verificate. Sviluppatori e professionisti della sicurezza informatica possono incorporarlo nei loro programmi interni tramite un'API per rafforzare le loro difese.
I team di sicurezza Web possono anche utilizzare lo scanner CLI di WPScan come parte dei test di penetrazione. Fornisce uno sguardo esterno alle informazioni che gli hacker potrebbero essere in grado di visualizzare sul tuo sito senza autenticazione.
Gli sviluppatori e le organizzazioni aziendali dovrebbero contattare immediatamente WPScan per vedere se è lo strumento migliore per le loro operazioni.
Cosa dovrebbero fare dopo i proprietari di siti WordPress?
La valutazione di WPScan dell'ecosistema di sicurezza di WordPress dimostra che le minacce persistono. La buona notizia è che quelli più diffusi possono essere contrastati abbastanza facilmente. I proprietari di siti WordPress possono utilizzare il database WPScan tramite Jetpack Protect e ottenere l'accesso a una suite completa di strumenti di prevenzione e ripristino con Jetpack Security.
Applicare l'autenticazione forte
Le password deboli non sono solo il punto debole più comune nella sicurezza informatica, ma anche uno dei più facili da risolvere. Puoi richiedere password complesse agli utenti e istruire il tuo team sulle migliori pratiche per le password, come utilizzare una combinazione di numeri, lettere e caratteri speciali, avere credenziali univoche per ciascun sito e aggiornare regolarmente le password.
Potresti anche voler richiedere l'autenticazione a due fattori, in particolare sugli account a livello di amministratore.
Assegnare i ruoli utente corretti e seguire il principio del privilegio minimo
I ruoli utente di WordPress sono potenti perché consentono di concedere l'accesso a funzioni specifiche in base all'area di responsabilità di una persona. Limitare il numero di ruoli di alto livello assegnati riduce il numero di punti di accesso e consente una maggiore formazione e responsabilità in merito alle password e all'autenticazione sicura.
Conosciuto come il principio del privilegio minimo, gli utenti dovrebbero avere accesso solo al ruolo più basso richiesto per le loro funzioni lavorative necessarie.
Mantieni aggiornati core, temi e plugin
Insieme alle password deboli, il software obsoleto è la causa più comune degli attacchi riusciti. Il tuo sito dovrebbe utilizzare la versione più aggiornata del core di WordPress, del tuo tema e di tutti i plugin installati.
Man mano che vengono scoperte le vulnerabilità, gli sviluppatori di plugin affidabili rilasceranno aggiornamenti per correggerle. Ignorare questi aggiornamenti lascia il tuo sito esposto.
Installa un plugin di sicurezza per WordPress
Per la protezione più completa, i proprietari dei siti devono andare oltre le password complesse, il software aggiornato e la corretta assegnazione dei ruoli utente. I professionisti veterani di WordPress sanno che il giusto plug-in di sicurezza WordPress aiuterà a prevenire le intrusioni e fornirà opzioni di ripristino nel caso in cui qualcuno riesca.
Se desideri una protezione completa con complicazioni minime, Jetpack Security è la soluzione di cui hai bisogno. Ecco solo alcuni di ciò che è incluso:
- Monitoraggio dei tempi di inattività . Scopri nel momento in cui c'è un problema con il tuo sito in modo da poter agire immediatamente.
- Un firewall per siti web . Il rapporto di WPScan menzionava ripetutamente gli attacchi sventati dal firewall di Jetpack. Ottieni l'accesso con Jetpack Security.
- Scansione malware in tempo reale e soluzioni con un solo clic . Ottieni l'accesso al database completo di WPScan e scansiona continuamente il tuo sito alla ricerca di malware e vulnerabilità. Ancora meglio: otterrai anche soluzioni con un clic per la maggior parte dei problemi.
Non hai bisogno di un plug-in di sicurezza completo, ma desideri accedere al database di WPScan per la scansione di vulnerabilità e malware? Queste funzionalità sono disponibili anche in un plug-in autonomo, Jetpack Protect .
- Backup in tempo reale . Ricorda, hai anche bisogno di un metodo di recupero nel caso in cui un utente malintenzionato riesca a sopravvivere. Jetpack VaultPress Backup salva tutto sul tuo sito e registra tutte le attività. Ripristina un momento esatto nel tempo e rivedi il registro per risolvere e prevenire problemi futuri. Puoi accedere e ripristinare i backup anche se il tuo sito è completamente inattivo, dal tuo dispositivo mobile.
- Protezione da spam . I commenti e gli invii di moduli indesiderati e irrilevanti sono più che fastidiosi: sono pericolosi per te e i tuoi visitatori. Jetpack Security viene fornito con Akismet Anti-spam in modo da poter prevenire il 99% dello spam senza costringere i visitatori a completare un CAPTCHA aggravante.
- Protezione dagli attacchi di forza bruta . Gli attacchi di forza bruta sono una minaccia WordPress piuttosto comune. Possono anche essere facilmente fermati con Jetpack Security.
Jetpack e WPScan: lavorare insieme per un WordPress più sicuro
Il team di WPScan lavora instancabilmente per mantenere il database più accurato delle vulnerabilità di WordPress. I professionisti di WordPress e le organizzazioni aziendali possono integrarsi con gli strumenti WPScan per la protezione più avanzata disponibile.
I proprietari dei siti WordPress accedono a queste stesse informazioni tramite Jetpack Security, insieme ad altri strumenti di sicurezza. Questo plugin di sicurezza funziona semplicemente con il minimo sforzo e con uno sforzo costante. Il tuo sito è semplicemente protetto .
Scopri di più sulla sicurezza Jetpack.
Ulteriori informazioni su WPScan.