Report Vulnerabilità WordPress 2022: +328% di bug di sicurezza nei plugin

Il report sulla sicurezza di WordPress relativo all’anno 2022 mostra un aumento vertiginoso delle vulnerabilità.

Patchstack ha rilasciato un importante report che ci dimostra quanto sia importante porre una particolare attenzione alla sicurezza dei nostri siti WordPress. La nota piattaforma per la sicurezza, oltre a fornire servizi per la protezione di siti web e uno scanner di vulnerabilità, rilascia regolarmente dei report sulle minacce per la sicurezza più diffuse.

Il report dello scorso febbraio analizza le statistiche sulla sicurezza di WordPress sulla base dei dati raccolti nel 2022. Una delle conclusioni più rilevanti che emerge da questa analisi riguarda la pericolosità dei plugin e dei temi non aggiornati o non più seguiti dagli sviluppatori.

Se gestisci un sito WordPress, quindi, non usare mai plugin e temi obsoleti o abbandonati ed esegui sempre tutti gli aggiornamenti disponibili sulla tua Bacheca. Considera che il 26% dei plugin con problemi critici di sicurezza non sono mai stati aggiornati dagli sviluppatori. Perciò, tutti i siti che usavano questi plugin sono rimasti vulnerabili: un rischio che è meglio evitare.

Tutti i dettagli delle vulnerabilità di WordPress

Nel 2022 si è verificato un incremento del 328% dei bug di sicurezza nei plugin WordPress. Fra tutte le vulnerabilità rilevate, il 93% riguardavano i plugin, il 6,7% i temi e solo lo 0,6% il core di WordPress. Questo significa che usare WordPress e i suoi plugin non è sicuro? No, significa invece che gli strumenti a nostra disposizione per individuare i problemi sono sempre più precisi.

La maggior parte delle vulnerabilità rilevate riguardavano il Cross-Site Request Forgery (CSRF), cioè un attacco informatico che consiste nel convincere un utente a visitare un sito malevolo ed eseguire delle operazioni sfruttando le credenziali di accesso dell’utente autenticato, senza che lui ne sia consapevole.

Bisogna comunque considerare che le vulnerabilità CSRF sono piuttosto facili da individuare e per questo il loro numero è molto alto. Inoltre, nel 2022 è stato individuato un bug sul framework Freemius, usato dagli sviluppatori per vendere e distribuire i propri temi e plugin, di conseguenza un gran numero di plugin è stato interessato dalla vulnerabilità.

I principali plugin che hanno registrato problemi di sicurezza sono stati Elementor, WooCommerce, All-in-one WP Migrator, Yoast SEO e Contact Form by WPForms, tutti con oltre 5 milioni di installazioni. Il plugin con la vulnerabilità più grave è stato Elementor.

Consulta il report completo sul sito di Patchstack.