Parliamo periodicamente delle vulnerabilità più pericolose che colpiscono i plugin e i temi di WordPress. Questo perché la sicurezza su WordPress è molto importante.
La sicurezza è importante perché sui siti tante volte gli utenti lasciano i propri dati personali e quindi se non hai una presenza online che garantisce sicurezza metti a rischio gli utenti. Ma la sicurezza è anche importante da un punto di vista della propria immagine. Se il tuo sito è un colabrodo e non garantisci sicurezza vedrai il numero degli utenti diminuire fino a scomparire.
Ogni anno il portale Patchstack, specializzato nel fornire soluzioni ai developer in tema di sicurezza e soprattutto in tema di sicurezza dei componenti dei siti web, fornisce una panoramica di quello che è stato l’anno che si è chiuso e anche di quello che ci si può aspettare dell’anno cominciato da poco. Il report per il 2023 è ricco di spunti interessanti che però vanno letti nella giusta ottica; soprattutto per mettere poi nella giusta ottica anche le previsioni relative a questo 2024.
2023, la (in)sicurezza su WordPress
WordPress è una piattaforma che vive non solo del codice che viene scritto dal team core che se ne occupa ma anche di tutti i developer che lavorano invece agli elementi accessori che aiutano a costruire esperienze online personalizzate. Mantenere al sicuro tutti gli utenti attraverso plugin, temi e elementi accessori costruiti a prova di hacker è sempre più importante.
Ed è per questo che fa decisamente impressione scoprire, sono numeri rilanciati da Patchstack, che secondo una ricerca pubblicata nel 2023 fino al 14% dei malware sono in grado di mandare gambe all’aria addirittura Wordfence, il plugin per la sicurezza più famoso di WordPress. Un plugin che dovrebbe servire a tenere a bada proprio i malware.
La questione però non riguarda solo Wordfence ma in generale il concetto di sicurezza che è diventato, e lo abbiamo detto più volte, fondamentale. Anche perché una falla nella sicurezza non è solo un problema di immagine e di dati utente che vanno in giro dove non dovrebbero ma è anche un problema economico. Motivo per cui aumentano le soluzioni per la sicurezza. Ma da che cosa dobbiamo difenderci e soprattutto da che cosa ci siamo dovuti difendere nel 2023?
Tenendo conto delle statistiche offerte sempre da Patchstack la società ha aggiunto quasi 6.000 nuove vulnerabilità al proprio database e l’aumento in percentuale è del 24% rispetto al 2022. Di queste quasi 6.000 vulnerabilità, per la precisione sono 5.948, il 97% ha riguardato dei plugin mentre il 3% circa i temi e lo 0,2% WordPress stesso. Uno 0.2% che equivale a 13 vulnerabilità e tutte “non particolarmente pericolose”. Una prima considerazione è che quindi WordPress, preso come piattaforma, è un’ottima piattaforma che ha solo qualche piccola sbavatura. Il problema più grosso viene dai plugin. Quegli elementi accessori che aiutano a personalizzare l’esperienza sono anche la fonte principale dei grattacapi dei developer di siti web.
Sicurezza su WordPress, le vulnerabilità più segnalate
Nei nostri resoconti periodici degli allarmi lanciati da Wordfence, parliamo spesso delle varie tipologie di vulnerabilità di cui soffrono i plugin e i temi. E abbiamo tante volte nominato le vulnerabilità XSS, ovvero le vulnerabilità Cross-Site Scripting. Si tratta delle vulnerabilità che anche secondo Patchstack nel 2023 hanno interessato il 53,3% delle nuove vulnerabilità trovate all’interno di WordPress come ecosistema.
Medaglia d’argento per le vulnerabilità di tipo Cross-Site Request Forgery ovvero le CSRF che ammontano al 16,9% delle nuove vulnerabilità mentre al terzo posto ci sono le Broken Access con il 12,9%. Le vulnerabilità XSS sono estremamente pericolose, perché sono quelle che permettono di inserire pezzi di codice malevolo all’interno di un sito altrimenti sicuro
Il codice può essere utilizzato per indirizzare gli utenti su siti web fasulli oppure rubare i loro dati di accesso o altri dati personali se riempiono un form. Il report di Patchstack, oltre a fornire i numeri, fornisce però anche alcune interessanti riflessioni riguardo il perché ci sia stato questo picco, in ascesa anche rispetto al 2022, delle segnalazioni proprio delle vulnerabilità XSS. Tra i molti motivi per cui i cacciatori di bug si accaniscono soprattutto con le vulnerabilità XSS è perché si tratta di un problema di sicurezza su WordPress che può avere conseguenze realmente molto gravi.
Come migliorare la sicurezza del tuo sito WordPress?
Il 2024, nella prospettiva ancora di Patchstack, è destinato ad essere un anno che forse supererà anche i numeri del 2023. Per esempio nel solo mese di gennaio il programma Bug Bounty di Patchstack ha evidenziato oltre 600 report legittimi.
A dimostrazione ancora una volta di quanto la sicurezza sia importante è il caso di parlare di ciò che gli organi di governo in tutto il mondo stanno facendo. Nel report si fa menzione del Cyber Resilience Act dell’Unione Europea e del fatto che negli Stati Uniti il Senato stia discutendo di un Act che riguarda la sicurezza dei software open source. In particolare, la legge che potrebbe arrivare dagli Stati Uniti metterebbe gli sviluppatori di software open source nelle condizioni di dover creare appositamente pratiche e processi per mantenere al sicuro il proprio software o nel caso affrontare le eventuali vulnerabilità.
Si continuerà sempre di più a parlare di sicurezza e si continuerà anche a parlare di sicurezza su WordPress. Del resto la piattaforma è alla base di quasi la metà di tutti i siti web del mondo. Ed è un bene che si parli di sicurezza. La nostra vita che diventa sempre più digitale, infatti, significa che diventiamo esposti a un numero sempre più alto di possibili rischi dai quali non possiamo difenderci da soli come utenti. L’implementazione di sistemi di controllo da una parte e dall’altra la creazione di regole per gli sviluppatori può aiutare a creare una rete che sia una rete… di sicurezza.
