Il tuo sito Web WordPress è sicuro? I siti Web WordPress sono vulnerabili?

Due o tre decenni fa, la rapina si limitava a irrompere e entrare per rubare denaro o oggetti di valore di qualcuno. I criminali e i ladri di oggi, assumono la forma di hacker. Chiunque trovi e sfrutti vulnerabilità nel software per scopi di guadagno personale o per motivi politici.

Prima di iniziare, dovresti sapere che questo articolo non approfondisce il nocciolo della sicurezza di WP, ma discute piuttosto le cause delle vulnerabilità di WordPress. Se non è quello che stai cercando, ti suggerisco di leggere – “Migliorare la sicurezza di WordPress – Una guida completa per proteggere i siti WordPress“. Tuttavia, devo affermare che la comprensione della natura delle vulnerabilità di WP in passato, fornisce una visione approfondita su come è possibile garantire i protocolli di sicurezza del proprio sito Web.

Perché le persone entrano in siti Web e data center? Entrare in siti Web che contengono informazioni sui clienti, ID e-mail, numeri di carte di credito, ecc. è più redditizio che rapinare una banca. Se gestisci un sito web di ragionevole successo, sono sicuro che sono già stati fatti centinaia, se non migliaia di tentativi per accedere alle informazioni del tuo sito web.

Più di recente, AshleyMadison.com è stato violato e i dettagli di 37 milioni di utenti sono stati rubati. Gli hacker hanno chiesto la chiusura del sito Web, in caso contrario rilasceranno i dettagli delle informazioni rubate dell'utente, comprese le fantasie sessuali. Questo ti dà un assaggio del tipo di distruzione che un hacker può causare semplicemente accedendo alle informazioni.

La sicurezza web è un argomento molto importante e sempre più rilevante dato il numero di siti web che spuntano per raccogliere informazioni personali dei propri utenti.

Ben il 65% del web funziona con WordPress come Content Management System, quindi oggi parlerò della sicurezza di WordPress e di come i siti WP sono stati presi di mira o violati in passato.

Perché investire in buone pratiche di sicurezza?

• Lo devi ai tuoi clienti e clienti che ti affidano le informazioni personali sensibili per tenerle al sicuro.
• Il tuo sito viene violato: perdi denaro.
• Il tuo sito viene violato – Il tuo posizionamento nei motori di ricerca fa quasi un viaggio di sola andata all'inferno.

I siti Web WordPress vengono hackerati a migliaia, se non a centinaia di migliaia. Non tutti i siti web riportano il fatto che sono stati violati in passato. Non è una grande approvazione per il loro marchio, come puoi immaginare.

Vorrei far luce sulla necessità di questo articolo sulla sicurezza di WordPress.

Secondo uno studio, condiviso da Sandro Gucci (Fondatore di Enable Security).

• Il 73,2% delle installazioni WordPress più popolari è vulnerabile a vulnerabilità che possono essere rilevate utilizzando strumenti automatizzati gratuiti.
• Solo 7.814 siti Web (18,55%) sono stati aggiornati a WordPress 3.6.1, questa era l'ultima versione di WP quando è stato condotto il test.
• 13.034 siti Web (30,95%) stavano ancora utilizzando una versione vulnerabile di WordPress, la versione 3.6. WordPress 3.6 aveva 5 vulnerabilità note in quel momento.

E se ti stessi chiedendo, beh, questa è solo una caratterizzazione generalizzata ingiusta di piccoli siti Web sconosciuti da qualche parte nel dark web, ti sbaglieresti. Le statistiche sono state prodotte sulla base di uno studio su circa 42.000 siti Web WordPress sui siti Web Top One Million di Alexa. Questo è un numero enorme di siti Web vulnerabili per i siti Web presumibilmente più visitati sul Web. Questi siti web raccolgono una grande quantità di informazioni sui propri visitatori e iscritti.

Le statistiche erano vere come a settembre 2013, non credo che si sarebbe discostato molto da allora e anche se così fosse, le statistiche qui mostrate mostrano l'entità dei problemi di sicurezza che affliggono WordPress.

Se desideri ulteriori prove che dimostrino che WordPress può essere compromesso. Vi rimando ad uno studio di Netcraft,

• Nel febbraio 2014, c'erano 12.000 blog WordPress che fungevano da piattaforme per i siti di phishing.
• Oltre l'8% di tutti gli URL di malware bloccati da Netcraft per la distribuzione di malware ospitato sul Web erano blog WordPress.

Devo sottolineare che nessuno di quei blog è stato eseguito su Automattic wordpress.com. Ciò dovrebbe illustrare abbastanza chiaramente che anche WordPress, se non utilizzato con cautela e una certa conoscenza della sicurezza di WP, può essere vulnerabile. Un altro motivo potrebbe essere legato al fatto che tutti i blog ospitati su wordpress.com vengono aggiornati non appena vengono rilasciati gli aggiornamenti di WordPress. Va notato che da allora sono stati introdotti aggiornamenti automatici di WordPress nella versione 3.7 di WP per proteggere i siti Web dagli exploit zero day.

E anche dopo, ci sono stati una serie di problemi di sicurezza che hanno afflitto WordPress. Dai un'occhiata a questo elenco di vulnerabilità di WordPress in diverse versioni della piattaforma.

Ora non c'è più nulla che tu possa fare per evitare che ciò accada, nuove vulnerabilità verranno quasi sempre scoperte. Ovviamente, il team principale di WP ha preso molto sul serio la sicurezza e ha reso WordPress molto più sicuro.

Ma come con ogni altro software popolare, lo sfruttamento delle vulnerabilità diventa più redditizio quando più persone iniziano a utilizzarle.

Non ti fidi di me? Se credi che in qualche modo WordPress sarà improvvisamente libero da tutte le vulnerabilità, dai un'occhiata a questo grafico!

Mentre il numero di vulnerabilità è diminuito nel tempo rispetto ai massimi del 2007 e 2014, l'incentivo a scoprire nuove vulnerabilità ed exploit è in costante aumento data la crescente redditività dovuta alla crescente popolarità di WordPress.

WordPress può essere sicuro fin da subito, ma dopo aver aggiunto così tanti plugin/temi e codice personalizzato, il numero di vulnerabilità inizia a crescere con grande rapidità.

Detto questo, possiamo apportare piccole modifiche al tuo WordPress, per renderlo molto più sicuro. Per prima cosa dobbiamo avere una conoscenza approfondita della sicurezza di WordPress, molto utile per capire le cause dei problemi di sicurezza.

Potresti essere sorpreso di apprendere che è molto raro che la piattaforma principale di WP sia in errore nei casi di violazioni della sicurezza. È molto più probabile che qualcosa che hai aggiunto al tuo WP crei una vulnerabilità che gli hacker potrebbero sfruttare.

Come vengono compromessi i siti WordPress?

La difficoltà nel garantire una sicurezza completa è che non esiste una cosa del genere.

Supponendo che il tuo WordPress sia completamente sicuro, hai ancora il tuo Apache, il client FTP, MySQL e qualsiasi software in esecuzione sul tuo server di cui ti devi preoccupare. Il tuo sito web è sicuro quanto il suo anello più debole. E questo include la qualità del software del tuo host, i temi e i plug-in su cui operano i tuoi siti web.

Vorrei avere statistiche più recenti che posso indicare anche a te, ma questo studio presentato come un'infografica sul blog di WpWhiteSecurity fornisce una grande quantità di informazioni su come vengono violati i siti Web WordPress e su cosa li rende vulnerabili.

Lo studio è stato condotto sulla base delle informazioni di 170.000 siti Web che sono stati violati nel 2012. Un aumento del 18% del numero di hack rispetto all'anno precedente (2012), la cosa divertente è che il numero di vulnerabilità non è aumentato della stessa percentuale. Ma anche un piccolo aumento delle vulnerabilità colpisce molti più siti Web, a causa dell'aumento dell'uso di WordPress e dei prodotti basati su WordPress.

• Il 41% di WordPress hackerato è stato violato a causa di una vulnerabilità di sicurezza sulla propria piattaforma di hosting.
• Il 29% è stato violato a causa di un problema di sicurezza nel tema WordPress che stavano utilizzando.
• Il 22% è stato violato a causa di un problema di sicurezza nei plugin di WordPress che stavano utilizzando.
• L'8% è stato violato perché aveva una password debole.
• Da quanto sopra, possiamo concludere che oltre il 51% dei siti WordPress compromessi è stato violato tramite una vulnerabilità nei temi o nei plug-in di WordPress che stavano utilizzando.

La stragrande maggioranza degli hack è stata causata dall'installazione di software sotto forma di plugin, temi e perché i fornitori di servizi di web hosting non sono riusciti a rafforzare adeguatamente la sicurezza sul lato server.

Non ha senso discutere le misure per proteggere il tuo sito web, prima di affrontare quali sono le buone opzioni che hai in termini di sicurezza quando si tratta di hosting, temi e plugin. E parlerò sicuramente di come trovare un buon software di terze parti e un hosting sicuro per il tuo sito Web, prima di iniziare a consigliare misure di sicurezza specifiche per rafforzare la sicurezza di WP.

Conclusione

I siti Web WordPress sono raramente vulnerabili a causa di errori nel codice principale del sistema di gestione dei contenuti. Ma un sito web non funziona esclusivamente in base al sistema di gestione dei contenuti, richiede un host web per ospitare il CMS sul web, temi per renderlo fantasioso e plugin per aggiungere le funzioni necessarie. Ora l'aggiunta di più livelli di software di terze parti alla tua installazione di WordPress inizia a rendere la tua sicurezza un po' porosa, se non viene eseguita correttamente.

Il tuo core WordPress, i plugin, i temi e l'host web devono comunicare per mantenere attivo il tuo sito WordPress. Questa interazione a volte ha dei difetti e rende i siti web vulnerabili.

Sicuramente l'8% dei siti web può essere compromesso a causa di password deboli, ma c'è una quantità schiacciante di prove che suggeriscono che l'aggiunta di plugin/temi scritti male o un host web che gira su software obsoleto è la causa principale di una grande percentuale di tutti i siti web WordPress violato o spento.

Ora che abbiamo stabilito un po' di chiarezza riguardo alle cause delle vulnerabilità di WordPress, come parte del prossimo post della serie WP Security, discuterò i passaggi che devi compiere per rafforzare la tua sicurezza di WordPress.

Se il tuo sito WordPress è mai stato compromesso da un attacco hacker o sei caduto vittima di un attacco DDOS, condividi i dettagli. O Aigars o io cercheremo di rimediare al problema, se è nei nostri poteri. Saluti