Essendo di gran lunga il sistema di gestione dei contenuti più popolare, WordPress alimenta milioni di siti Web diversi. È un software open source, il che significa che il suo codice sorgente è pubblicamente accessibile e può essere modificato praticamente da chiunque abbia un know-how sufficiente.

Sebbene i plugin e i temi di WordPress possano essere acquistati, decine di migliaia sono disponibili gratuitamente. Come ci si potrebbe aspettare, questo non è privo di aspetti negativi. Quindi quanto sono vulnerabili i siti WordPress? E i suoi temi e plugin? E come puoi proteggere i tuoi siti?

Quanto è vulnerabile WordPress?

Nel febbraio 2022, Jetpack ha scoperto che temi e plug-in popolari del fornitore AccessPress Themes (noti anche come Access Keys) erano compromessi. I ricercatori hanno individuato la vulnerabilità per caso, dopo aver scoperto codice sospetto su un sito Web compromesso. Dopo ulteriori indagini, si sono resi conto che la maggior parte dei plug-in AccessPress e ogni tema conteneva lo stesso codice.

instagram viewer

Successivamente si è scoperto che AccessPress Themes è stata vittima di un attacco informatico nel settembre 2021, con gli hacker che hanno iniettato una backdoor nei plugin del venditore e temi.

AccessPress alla fine ha aggiornato e ripulito i propri prodotti, ma presumibilmente migliaia di utenti sono stati vulnerabili agli attacchi per un lungo periodo di tempo.

I plugin e i temi di WordPress hanno delle vulnerabilità?

I risultati di Jetpack sottolineano quanto possa essere vulnerabile WordPress. Ma questo non era un caso isolato.

Nel marzo 2021, ad esempio, Recinzione di parole ha rivelato importanti vulnerabilità in due plugin di WordPress che, se sfruttati con successo, avrebbero consentito a un utente malintenzionato di impossessarsi di un sito web. Le vulnerabilità sono state scoperte nei plugin Elementor e WP Super Cache. Elementor è un costruttore di siti Web utilizzato su oltre sette milioni di siti Web, mentre WP Super Cache è un popolare plug-in di memorizzazione nella cache.

Nel febbraio 2022, come Giornale dei motori di ricerca riportato, il database delle vulnerabilità del governo degli Stati Uniti e i ricercatori sulla sicurezza di WordPress hanno avvertito di gravi vulnerabilità in dozzine di plugin di WordPress.

Di questi plug-in, nove sono stati utilizzati su oltre 1,3 milioni di siti Web: Header Footer Code Manager, Ad Inserter—Ad Manager & AdSense Ads, Popup Builder, Anti-Malware Firewall di sicurezza e forza bruta, protezione dalla copia dei contenuti WP e nessun clic con il tasto destro, backup del database per WordPress, GiveWP, Download Manager e database avanzato Pulitore.

Come proteggere il tuo sito WordPress

Si potrebbe presumere che queste vulnerabilità vengano sempre corrette o rimosse una volta scoperte, ma in realtà non è così.

Ricerca da Pila di toppe ha rilevato che il 2021 ha visto un aumento del 150% delle vulnerabilità di WordPress segnalate rispetto al 2020 e il 29% di tali vulnerabilità non ha ricevuto patch. Patchstack ha anche rilevato che solo lo 0,58% dei difetti segnalati era nel core di WordPress, il che significa che le vulnerabilità si trovano quasi sempre nei plugin.

È fondamentale assicurarsi che tutti i plugin che utilizzi siano aggiornati, così come il core di WordPress stesso.

Prima di scaricare e installare un plug-in, assicurati di fare prima un po' di ricerca. Controlla quante installazioni ha il plugin, leggi le recensioni online, guarda quando è stato aggiornato l'ultima volta e controlla se è stato testato con l'ultimo core di WordPress. Ci vorranno solo pochi minuti, ma potrebbe salvarti da molti problemi lungo la strada.

In alternativa, puoi usare WPScan, che è uno scanner di vulnerabilità di WordPress abbastanza semplice ed efficiente. Questo strumento può essere utilizzato anche per cercare un plug-in per nome. La versione gratuita consente fino a 25 richieste API al giorno.

Fortunatamente, alcuni plugin sono effettivamente progettati per proteggere il tuo sito WordPress da intrusi. Login LockDown, Wordfence, BulletProof Security sono tra i migliori Plugin di sicurezza di WordPress oggi. Login LockDown è completamente gratuito, mentre gli altri due hanno modelli di base gratuiti.

Suggerimenti per la sicurezza di WordPress

Per quanto possa essere vulnerabile WordPress, prendere le precauzioni di sicurezza di base fa molto quando si tratta di prevenire e respingere gli attacchi informatici.

L'utilizzo di dettagli di accesso univoci e l'autenticazione a due fattori, mantenere aggiornato tutto il software, nascondere i nomi dei temi e i dettagli di accesso dovrebbe essere la base della tua igiene di sicurezza di WordPress.

Come proteggere il tuo sito Web WordPress in 5 semplici passaggi

Leggi Avanti

CondividereTwittaCondividereE-mail

Argomenti correlati

  • Sicurezza
  • Internet
  • Sicurezza in linea
  • Plugin Wordpress
  • Wordpress
  • Temi Wordpress

Circa l'autore

Damir Mujezinovic (23 articoli pubblicati)

Damir è uno scrittore e giornalista freelance il cui lavoro si concentra sulla sicurezza informatica. Al di fuori della scrittura, gli piace leggere, musica e film.

Altro da Damir Mujezinovic

Iscriviti alla nostra Newsletter

Iscriviti alla nostra newsletter per suggerimenti tecnici, recensioni, ebook gratuiti e offerte esclusive!

Clicca qui per iscriverti