Leggi il rapporto annuale sulla vulnerabilità di WordPress 2021
Pubblicato: 2022-01-27Come utente o sviluppatore di WordPress, sai già che una delle maggiori sfide che devi affrontare è proteggere completamente il tuo sito dalle vulnerabilità e dalla minaccia di attacchi dannosi.
In un mondo incerto in cui la sicurezza di siti Web e online è costantemente sotto attacco, tutti i proprietari di siti WordPress devono prendere i propri protocolli di sicurezza più sul serio rispetto al passato.
I dati appena pubblicati nel nostro primo rapporto sulle vulnerabilità di WordPress del 2021 in assoluto non solo mostrano l'intero anno di vulnerabilità di WordPress segnalate per il 2021, ma rivelano anche le vulnerabilità specifiche che gli hacker sfruttano più spesso.
Ad esempio, sapevi che il 97,1% delle vulnerabilità totali di WordPress nel 2021 era dovuto ai plug-in? È importante sapere se per te è importante gestire un sito WordPress sicuro.
Qui a iThemes, non vogliamo solo sottolineare i problemi. Vogliamo anche offrirti soluzioni collaudate che funzionano per mantenere il tuo sito Web WordPress completamente protetto dalle vulnerabilità. E imparerai esattamente cosa fare per proteggere completamente il tuo sito WordPress dopo aver esaminato questi dati.
Il più grande takeaway del 2021: tieni d'occhio i plugin di WordPress
Nel 2021, il 97,1% di tutte le vulnerabilità di WordPress divulgate lo scorso anno erano dovute a problemi con i plug-in. Hai letto bene.
Vulnerabilità del 2021 per fonte
| Fonte di vulnerabilità | Numero segnalato | Percentuale del totale (1.628) |
|---|---|---|
| Nucleo di WordPress | 8 | 0,05% |
| Plugin | 1581 | 97,1% |
| Tema | 39 | 2,4% |
Ma la cosa più preoccupante è che, delle 1581 vulnerabilità dei plug-in segnalate nel 2021, il 23,2% di esse non aveva soluzioni note. Ciò significa che, mentre avanziamo nel 2022 e oltre, dobbiamo essere ancora più vigili sui plugin che scarichiamo e utilizziamo.
Ad esempio, mentre potresti essere in grado di ottenere una soluzione di plug-in gratuita da uno sviluppatore di plug-in sconosciuto, ti fidi completamente della sua sicurezza? Come mostrano i dati, il 29% delle vulnerabilità dei plug-in segnalate deve ancora essere corretto dai loro sviluppatori.
Stato del plug-in al momento della divulgazione
| Livello di minaccia | Numero segnalato | Percentuale del totale (1.628) |
|---|---|---|
| Rattoppato | 1156 | 71% |
| Nessuna correzione nota | 377 | 23,2% |
| Plugin chiuso | 95 | 5,8% |
Quando possibile, rimani con gli sviluppatori di plugin di cui ti fidi e non utilizzare mai plugin e temi WordPress annullati. E, naturalmente, mantieni i tuoi plugin e temi aggiornati con le patch disponibili ogni volta che vengono rilasciati.
Ma anche quando lo fai, le vulnerabilità verranno comunque sfruttate da hacker esperti e malintenzionati prima che gli sviluppatori di plug-in possano creare patch per risolverli.
Questo è esattamente il motivo per cui il tuo sito WordPress ha bisogno di una solida protezione di sicurezza, come discuteremo tra un minuto.
Per ora, è importante sapere che il plug-in iThemes Security Pro ha uno scanner del sito integrato che si accoppia con la funzione di gestione della versione per scansionare automaticamente le vulnerabilità note e aggiornare automaticamente qualsiasi plug-in vulnerabile, quindi non devi preoccuparti così tanto sulla sicurezza del tuo sito.
Un enorme aumento delle vulnerabilità segnalate nel settembre 2021
Settembre è stato il mese che si è distinto dagli altri. In effetti, settembre ha registrato il 20,5% del totale delle vulnerabilità segnalate, o 335 in totale. Per prospettiva, il mese che ha visto il secondo numero più alto di vulnerabilità è stato ottobre, che ne aveva segnalate 173. Luglio non è stato molto indietro, con 157 occorrenze.
Vulnerabilità per singolo plug-in/tema/core per mese (2021)
| Mese | Plugin | Tema | Nucleo |
|---|---|---|---|
| Gennaio | 19 | 0 | 0 |
| febbraio | 42 | 2 | 0 |
| Marzo | 58 | 1 | 0 |
| aprile | 67 | 1 | 2 |
| Maggio | 37 | 5 | 2 |
| Giugno | 80 | 7 | 0 |
| Luglio | 157 | 7 | 0 |
| agosto | 149 | 0 | 0 |
| settembre | 335 | 3 | 1 |
| ottobre | 173 | 1 | 0 |
| novembre | 120 | 0 | 0 |
| Dicembre | 45 | 0 | 0 |
Anche se non è certamente possibile sapere se si verificherà un modello simile man mano che ci avviciniamo al 2022, questi sono certamente dati importanti da tenere d'occhio.
Vulnerabilità per livello di minaccia per mese (2021)
| Mese | Critico | Alto | medio | Basso |
|---|---|---|---|---|
| Gennaio | 5 | 3 | 11 | 1 |
| febbraio | 25 | 10 | 0 | 21 |
| Marzo | 16 | 19 | 35 | 0 |
| aprile | 25 | 27 | 37 | 1 |
| Maggio | 4 | 18 | 32 | 3 |
| Giugno | 7 | 18 | 64 | 1 |
| Luglio | 8 | 65 | 120 | 9 |
| agosto | 11 | 135 | 56 | 37 |
| settembre | 19 | 174 | 156 | 38 |
| ottobre | 8 | 73 | 75 | 62 |
| novembre | 9 | 46 | 53 | 22 |
| Dicembre | 0 | 30 | 18 | 9 |
Scripting tra siti come vulnerabilità dei plugin più comune
Il cross-site scripting (XSS) è un tipo di vulnerabilità della sicurezza del sito Web che si trova in molte applicazioni WordPress, come plugin e temi.
Questi attacchi XSS consentono agli aggressori di iniettare script lato client nelle pagine Web di WordPress visualizzate da altri utenti. Una vulnerabilità di cross-site scripting può essere utilizzata dagli aggressori per aggirare i controlli di accesso e accedere completamente al back-end del tuo sito.
Il cross-site scripting eseguito sui siti Web WordPress nel 2021 rappresentava il 54,4% di tutte le vulnerabilità di WordPress. E questo era un totale di 885 vulnerabilità totali.
| Livello di minaccia | Numero segnalato | Percentuale del totale (1.628) |
|---|---|---|
| Script tra siti (CSS) | 885 | 54,4% |
| Richiesta di falsificazione tra siti (CSFR) | 167 | 10,2% |
| Iniezioni SQL | 152 | 9,3% |
| Bypassa | 68 | 4,2% |
| Vulnerabilità RCE | 20 | 1,2% |
| Vulnerabilità PHP | 19 | 1,2% |
| Divulgazioni Var | 19 | 1,2% |
| API REST | 11 | 0,7% |
| Divulgazione di informazioni sensibili | 6 | 0,4% |
| Tutti gli altri | 281 | 17,3% |
Come puoi vedere, il cross-site scripting è un grosso problema di sicurezza per tutti i proprietari di siti WordPress. Ma i problemi di vulnerabilità non finiscono qui.
Un altro 10,2%, o 167 vulnerabilità, derivava da Richieste di falsificazione tra siti (CSFR).
La falsificazione di richieste tra siti, nota anche come attacco con un clic o guida di sessione, è un tipo di exploit dannoso di un sito Web in cui vengono inviati comandi non autorizzati da un utente di cui l'applicazione Web si fida.
Non ci vuole molto per vedere che, senza adeguati protocolli di sicurezza WordPress in atto, il tuo sito Web WordPress è completamente aperto ad attacchi tra siti di ogni tipo.
Ma questi non sono gli unici tipi di vulnerabilità di cui dovresti preoccuparti. Oltre a questi, ci sono sette tipi distinti di vulnerabilità che sono stati segnalati nel 2021.
E non ignorare il 281, o il 17,3%, delle vulnerabilità segnalate che sono etichettate nel rapporto come "Altro".
Spesso, questi tipi di attacchi sono quelli che non sono ancora stati compresi dagli sviluppatori di temi e plugin e richiedono un potente plugin di sicurezza di WordPress per impedire loro di danneggiare o hackerare il tuo sito.
Livelli di minaccia di vulnerabilità nel 2021
| Livello di minaccia | Numero segnalato | Percentuale del totale (1.628) |
|---|---|---|
| Critico | 137 | 8,4% |
| Alto | 630 | 38,7% |
| medio | 678 | 41,6% |
| Basso | 183 | 11,2% |
Vulnerabilità del core e del tema di WordPress
Come proprietario di un sito WordPress, probabilmente conosci già l'importanza di mantenere i tuoi plugin sempre aggiornati per evitare potenziali attacchi.
Dopotutto, la stragrande maggioranza delle vulnerabilità viene sfruttata tramite plug-in.
Ma, come indicano i numeri del 2021, i plug-in non sono il punto in cui iniziano e finiscono i tuoi protocolli di sicurezza. Anche se sei vigile al 100% con i plugin che usi e li tieni aggiornati, il tuo sito può comunque essere sfruttato dalle vulnerabilità nel tuo tema.
Può anche essere sfruttato tramite il software principale di WordPress. L'anno scorso, abbiamo riscontrato un totale di 47 vulnerabilità che sono state sfruttate tramite il core di WordPress e vari temi. Quel numero rappresenta circa il 2,5% di tutte le vulnerabilità di sicurezza di WordPress del 2021.
E anche se potrebbe non sembrare molto, basta una vulnerabilità del sito sfruttata per rovinare completamente la reputazione del tuo sito Web e della tua attività.
Ovviamente, la prima soluzione è mantenere il core di WordPress e il tuo tema completamente aggiornati e aggiornati in ogni momento. Ma come abbiamo affermato per quanto riguarda i plug-in, ciò aiuta solo a risolvere le vulnerabilità note in passato.
Per i nuovi, è necessario eseguire un software di sicurezza che sappia come rilevare quando si verificano attacchi dannosi in tempo reale.
Assicurati di mantenere la sicurezza del sito Web al centro del 2022
È qui che interviene il plug-in iThemes Security Pro per mantenere sicuro il tuo sito WordPress. Con la nostra soluzione di sicurezza WordPress facile da usare e immediata, sarai immediatamente in grado di dormire meglio la notte sapendo che il tuo sito è completamente protetto da hacker e attacchi dannosi.
Il primo passo è comprendere il bombardamento delle minacce alla sicurezza a cui è costantemente sottoposto il tuo sito. Dopodiché, è il momento di ottenere iThemes Security Pro e prendere sul serio il protocollo di sicurezza del tuo sito Web WordPress.
Con uno scanner di siti WordPress integrato per la scansione delle vulnerabilità note di WordPress, abbinato a livelli di protezione per la tua pagina di accesso come la protezione dalla forza bruta, nonché il rilevamento delle modifiche ai file e la registrazione degli utenti, il tuo sito ha una forte difesa contro gli hack e le violazioni della sicurezza .
Il miglior plugin di sicurezza per WordPress Sicuro & Proteggere WordPress
Creato dagli esperti di sicurezza di WordPress dal 2014
WordPress attualmente alimenta oltre il 40% di tutti i siti Web, quindi è diventato un facile bersaglio per gli hacker con intenzioni dannose. iThemes Security Pro elimina le congetture dalla sicurezza di WordPress per rendere facile proteggere e proteggere il tuo sito Web WordPress.
