I plugin e i temi di WordPress potrebbero avere delle vulnerabilità: Come proteggere il tuo sito - Netboom

WordPress in sé potrebbe essere sicuro, ma i plugin utilizzati per massimizzare il potenziale del vostro blog potrebbero portare a degli attacchi informatici. Ecco cosa dovete sapere.

Essendo di gran lunga il più popolare sistema di gestione dei contenuti, WordPress alimenta milioni di siti web diversi. È un software open source, il che significa che il suo codice sorgente è pubblicamente accessibile e può essere modificato da chiunque abbia sufficiente know-how.
Anche se i plugin e i temi di WordPress possono essere acquistati, decine di migliaia di essi sono disponibili gratuitamente. Come ci si potrebbe aspettare, questo non viene senza i suoi lati negativi. Quindi, quanto sono vulnerabili i siti WordPress? E i suoi temi e plugin? E come potete proteggere i vostri siti?

Quanto è vulnerabile WordPress?

Nel febbraio 2022, Jetpack ha scoperto che temi e plugin popolari del fornitore AccessPress Themes (noto anche come Access Keys) sono stati compromessi. I ricercatori hanno individuato la vulnerabilità per caso, dopo aver scoperto del codice sospetto su un sito web compromesso. Dopo ulteriori indagini, si sono resi conto che la maggior parte dei plugin AccessPress e ogni tema contenevano lo stesso codice.
Si è poi scoperto che AccessPress Themes è stato vittima di un attacco informatico nel settembre 2021, con gli hacker che hanno iniettato una backdoor nei plugin e temi del fornitore.
AccessPress alla fine ha aggiornato e ripulito i loro prodotti, ma presumibilmente migliaia di utenti sono stati vulnerabili agli attacchi per un lungo periodo di tempo.

I plugin e i temi di WordPress hanno delle vulnerabilità?

I risultati di Jetpack sottolineano quanto possa essere vulnerabile WordPress. Ma questo non è stato un caso isolato.
Nel marzo 2021, per esempio, Wordfence ha rivelato importanti vulnerabilità in due plugin WordPress che, se sfruttate con successo, avrebbero permesso ad un attaccante di prendere il controllo di un sito web. Le vulnerabilità sono state scoperte nei plugin Elementor e WP Super Cache. Elementor è un costruttore di siti web utilizzato su più di sette milioni di siti web, mentre WP Super Cache è un popolare plugin di caching.
Nel febbraio 2022, come riportato da Search Engine Journal, lo United States Government Vulnerability Database e i ricercatori di sicurezza di WordPress hanno avvertito di gravi vulnerabilità in decine di plugin WordPress. Per fortuna non tutti i siti presentano queste vulnerabilità, è il caso di scommesse online.
Di questi plugin, nove erano utilizzati su più di 1,3 milioni di siti web: Advanced Database Cleaner, Header Footer Code Manager, Download Manager, Ad Inserter-Ad Manager & AdSense Ads, GiveWP, Popup Builder, Database Backup for WordPress, Anti-Malware Security e Brute-Force Firewall e WP Content Copy Protection & No Right Click.

Come proteggere il tuo sito WordPress

Si potrebbe supporre che queste vulnerabilità siano sempre patchate o rimosse una volta scoperte, ma in realtà non è così.
La ricerca di Patchstack ha rilevato che il 2021 ha visto un aumento del 150 per cento delle vulnerabilità WordPress segnalate rispetto al 2020, e il 29 per cento di queste vulnerabilità non ha ricevuto alcuna patch. Patchstack ha anche scoperto che solo lo 0,58 per cento delle falle segnalate erano nel core di WordPress, il che significa che le vulnerabilità si trovano quasi sempre nei plugin.
È fondamentale assicurarsi che tutti i plugin che si utilizzano siano aggiornati, così come il core di WordPress stesso.
Prima di scaricare e installare un plugin, assicuratevi di fare un po' di ricerca prima. Controlla quante installazioni ha il plugin, leggi le recensioni online, vedi quando è stato aggiornato l'ultima volta, e controlla se è stato testato con l'ultimo core di WordPress. Questo richiederà solo pochi minuti, ma potrebbe salvarvi da un sacco di problemi lungo la strada.
In alternativa, è possibile utilizzare WPScan, che è uno scanner di vulnerabilità di WordPress abbastanza semplice ed efficiente. Questo strumento può anche essere utilizzato per cercare un plugin per nome. La versione gratuita consente fino a 25 richieste API al giorno.
Fortunatamente, alcuni plugin sono effettivamente progettati per proteggere il vostro sito WordPress dagli intrusi. Login LockDown, Wordfence, BulletProof Security sono alcuni dei migliori plugin di sicurezza per WordPress oggi. Login LockDown è completamente gratuito, mentre gli altri due hanno modelli di base gratuiti.

Suggerimenti per la sicurezza di WordPress

Per quanto WordPress possa essere vulnerabile, prendere precauzioni di sicurezza di base va molto lontano quando si tratta di prevenire e respingere i cyber attacchi.
Usare dettagli di accesso unici e l'autenticazione a due fattori, mantenere tutto il software aggiornato, nascondere i nomi dei temi e i dettagli di accesso dovrebbe essere la base della vostra igiene di sicurezza di WordPress.

Autore / Fonte: Redazionale Pubblicitario
Pubblicato il: martedì 17 gennaio 2023

Webagency Bari | Realizzazione siti internet Bari