Gli esperti del Digital marketing

Potenzia il tuo business online con Monkey Digital SEO: sfrutta al massimo il potenziale del marketing strategico digitale.

I dati confermano un aumento delle vulnerabilità di WordPress

I dati confermano un aumento delle vulnerabilità di WordPress

I ricercatori sulla sicurezza di WordPress di Patchstack hanno pubblicato il loro white paper annuale sullo stato della sicurezza di WordPress che ha mostrato un aumento delle vulnerabilità di gravità elevata e critica, evidenziando l’importanza della sicurezza per tutti i siti Web sulla piattaforma WordPress.

XSS è la principale vulnerabilità di WordPress del 2023

Esistono molti tipi di vulnerabilità, ma la più comune in assoluto è quella di cross site scripting (XSS), che rappresenta il 53,3% di tutte le nuove vulnerabilità di sicurezza di WordPress.

Le vulnerabilità XSS si verificano generalmente a causa di un'insufficiente "sanificazione" degli input degli utenti, che include il blocco di eventuali input che non sono conformi a quanto previsto. Patchstack ha condiviso che il framework Freemius, una piattaforma di eCommerce gestita da terze parti, rappresentava oltre 1.200 di tutte le vulnerabilità XSS, pari al 21% di tutte le nuove vulnerabilità XSS scoperte nel 2023.

Il Freemius Software Development Kit (SDK) viene utilizzato come componente di oltre 1.200 plugin che a loro volta vengono installati in oltre 7 milioni di siti WordPress. Ciò evidenzia il problema delle vulnerabilità della catena di fornitura in cui un componente viene utilizzato come parte di un plug-in WordPress che successivamente aumenta la portata di una vulnerabilità oltre un solo plug-in.

Il rapporto di Patchstack spiegava:

“Quest’anno abbiamo visto ancora una volta come una singola vulnerabilità di cross-site scripting nel framework Freemius abbia portato 1.248 plugin a ereditare la vulnerabilità della sicurezza, esponendo i loro utenti a rischi.

Il 21% di tutte le nuove vulnerabilità scoperte nel 2023 possono essere ricondotte a questo difetto. È fondamentale che gli sviluppatori scelgano attentamente il proprio stack e applichino tempestivamente gli aggiornamenti di sicurezza non appena questi diventano disponibili."

Altre vulnerabilità classificate come elevate o critiche

Alle vulnerabilità viene assegnato un punteggio di gravità che corrisponde a quanto distruttivo sia il difetto scoperto. Le valutazioni vanno da basso, medio, alto e critico.

Nel 2022 il 13% delle nuove vulnerabilità sono state classificate come elevate o critiche. Questa percentuale è salita alle stelle nel 2023 raggiungendo il 42,9%, il che significa che nel 2023 si sono verificate vulnerabilità più distruttive rispetto all’anno precedente.

Vulnerabilità autenticate e non autenticate

Un altro parametro che emerge nel rapporto è la percentuale di vulnerabilità che non richiedono autenticazione (non autenticate), il che significa che l’aggressore non ha bisogno di alcun livello di autorizzazione dell’utente per lanciare un attacco.

I difetti che richiedono che un utente malintenzionato abbia autorizzazioni dal livello di abbonato al livello di amministratore hanno un livello più alto che gli aggressori possono superare. Le vulnerabilità non autenticate non richiedono che l'aggressore ottenga prima un livello di autorizzazione, il che rende questo tipo di vulnerabilità più preoccupante perché può essere sfruttato attraverso attacchi automatici come con i bot che sondano un sito per la vulnerabilità e poi lanciano automaticamente gli attacchi.

Patchstack ha rilevato che il 58,9% di tutte le nuove vulnerabilità non richiedeva alcuna autenticazione.

I plugin abbandonati diventano un fattore di rischio

Un’altra causa significativa di vulnerabilità è la grande quantità di plugin abbandonati. Nel 2022 Patchstack ha segnalato a WordPress.org 147 plugin e temi abbandonati e di questi 87 sono stati rimossi e il resto è stato patchato.

Nel 2023 il numero di plugin abbandonati è esploso da 147 nel 2022 a 827 plugin e temi nel 2023. Mentre 87 plugin abbandonati vulnerabili sono stati rimossi nel 2022, 481 sono stati rimossi nel 2023.

Patchstack ha osservato:

“Abbiamo segnalato 404 di questi plugin in un solo giorno per attirare l’attenzione sulla “pandemia dei plugin zombie” in WordPress. Tali plugin “zombi” sono componenti che a prima vista sembrano sicuri e aggiornati, ma potrebbero contenere problemi di sicurezza senza patch. Inoltre, tali plugin rimangono attivi sui siti degli utenti anche se vengono rimossi dal repository dei plugin di WordPress.”

Plugin più popolari con vulnerabilità

Come accennato in precedenza, i livelli di gravità variano da basso, medio, alto e critico. Patchstack ha compilato un elenco dei plugin più popolari con vulnerabilità.

Nel 2022 c'erano 11 plugin popolari con oltre un milione di installazioni attive che contenevano vulnerabilità. Nel 2023 Patchstack ha abbassato l'asticella delle installazioni da un milione a oltre 100.000 installazioni. Tuttavia, nonostante sia stato più facile inserirli nell’elenco, solo 9 plugin popolari hanno riscontrato una vulnerabilità, molto meno rispetto al 2022.

Nel 2022 solo cinque su 11 dei plugin più popolari con vulnerabilità contenevano una vulnerabilità di gravità elevata, nessuno conteneva una vulnerabilità di livello critico e il resto aveva una gravità di livello medio.

Questi numeri sono peggiorati notevolmente nel 2023. Nonostante l’abbassamento della soglia di quello che è considerato un plugin popolare, tutti e nove i plugin nell’elenco contenevano vulnerabilità di livello critico, tutti. La stragrande maggioranza dei plugin presenti nell’elenco, sei su nove, contenevano vulnerabilità non autenticate, il che significa che sfruttarli è facile da scalare con l’automazione. I restanti tre che richiedevano l'autenticazione richiedevano solo un accesso a livello di abbonato, che è il livello di autorizzazione più semplice da acquisire, basta registrarsi, verificare l'e-mail e sono entrati. Anche questo può essere scalato con l'automazione.

Elenco dei plugin più popolari con vulnerabilità

  • Componenti aggiuntivi essenziali per installazioni Elementor 1M+ (grado di gravità 9,8)
  • Installazioni WP Fastest Cache 1M+ (grado di gravità 9,3)
  • Installazioni Gravity Forms 940k (grado di gravità 8,3)
  • Installazioni di Fusion Builder 900k (grado di gravità 8,5)
  • Flatsome (tema) 618.000 installazioni (indice di gravità 8,3)
  • WP Statistics 600.000 installazioni (indice di gravità 9,9)
  • Installazioni Forminator 400.000 (indice di gravità 9,8)
  • Installazioni WPvivid Backup and Migration 30ok (grado di gravità 8,8)
  • JetElements per installazioni Elementor 30ok (grado di gravità 8,2)

Lo stato della sicurezza di WordPress è peggiore

Se ritieni che ultimamente ci siano più vulnerabilità che mai, ora conosci il motivo, le statistiche parlano da sole. Ci sono più vulnerabilità nel 2023 e una percentuale maggiore si trova a livelli elevati e critici che possono essere sfruttati con l’automazione su larga scala.

Ciò significa che tutti gli editori devono migliorare la propria sicurezza e assicurarsi che qualcuno si assuma la responsabilità di controllare regolarmente i propri plugin e temi per assicurarsi che siano tutti aggiornati e mantenuti attivamente.

I SEO dovrebbero prestare attenzione perché la sicurezza diventa rapidamente un problema di ranking quando Google elimina un sito compromesso dai risultati di ricerca. Molti SEO che eseguono controlli del sito non eseguono nemmeno i controlli di sicurezza più elementari come verificare se le intestazioni di sicurezza sono a posto, cosa che faccio come parte di ogni controllo che eseguo. Assicurati sempre di discutere con i clienti sulla loro sicurezza per assicurarti che siano consapevoli dei rischi.

Patchstack è un esempio di servizio che protegge automaticamente i siti WordPress dalle vulnerabilità anche prima che il plugin rilasci una patch per correggere la vulnerabilità. Questo tipo di servizi sono importanti per creare una difesa contro gli attacchi hacker e la perdita di visibilità e guadagni nelle ricerche.

Le Critiche Crescenti Contro Google
Scoprire lo Sviluppo Web: La Programmazione come Arte
Scopri i Top Podcast SEO del 2024 e Mantieniti Aggiornato
Il ruolo delle finestre di dialogo nella progettazione di un'interfaccia utente web
Guida all'Integrazione di ChatGPT sul Tuo Sito Web
Utilizzo efficace di ChatGPT per la ricerca di parole chiave
Automatizzare le Campagne PPC con l'Intelligenza Artificiale Generativa
Aggiungere Coinvolgimento al tuo Sito con uno Sfondo Video CSS
Importanza delle Pagine di Destinazione per la Generazione di Lead e Incremento delle Vendite
Link Building

Link Building come parte della tua strategia di marketing può portare a risultati rivoluzionari. Seowebsite è specializzato nel Link Building e aiuta gli imprenditori a realizzare un forte profilo di link che contribuisce alla crescita online. Possiamo supportarvi anche in questo?