Primo – cattive notizie: ogni anno centinaia di migliaia di siti WordPress vengono violati così come i siti di e-commerce (ecco perché abbiamo una guida approfondita sulla prevenzione delle frodi nell’e-commerce).
Sembra triste, vero? Beh … non proprio, perché ci sono anche delle buone notizie:
Gli hacker non entrano come causa di vulnerabilità dell’ultima versione del core di WordPress. Invece la maggior parte dei siti viene violata a causa di problemi assolutamente evitabili, come il mancato aggiornamento o l’utilizzo di password non sicure.
Di conseguenza, per rispondere alla domanda “WordPress è sicuro?” bisogna fare qualche precisazione. Per questo analizzeremo la questione da angolature diverse:
- Analizzeremo le statistiche delle violazioni dei siti WordPress, in modo da capire dove risiedono le vulnerabilità della sicurezza.
- Vedremo in che modo il core team di WordPress risolve i problemi di sicurezza, così saprete chi sono i responsabili della sicurezza e di cosa sono responsabili.
- Cercheremo di capire se WordPress è sicuro quando si seguono le best practice, in modo da capire se il vostro sito web corre dei rischi.
Come Vengono Violati i Siti WordPress (Secondo i Dati)
Ok, sapete già che ogni anno vengono violati molti siti WordPress. Ma … perché succede? È un problema globale di WordPress? O dipende dalle azioni dei webmaster?
Ecco perché la maggior parte dei siti WordPress viene hackerata, in base ai dati a nostra disposizione …
1. Software Core Non Aggiornato
Ecco una non sorprendente correlazione estratta dal 2017 Hacked Website Report di Sucuri. Tra tutti i siti WordPress violati, Sucuri ha rilevato che il 39,3% di essi aveva in esecuzione al momento dell’incidente il core software di WordPress obsoleto.
Quindi potete vedere subito una relazione molto stretta tra il venire hackerati e l’utilizzo di software non aggiornato. Comunque, in questo c’è stato sicuramente un miglioramento superiore al 61% a partire dal 2016. 👏
Secondo il Vulnerability Database di WPScan, circa il 74% delle vulnerabilità note registrate si trovano nel core di WordPress. Ma ecco la scoperta – le versioni con maggiori vulnerabilità sono tutte precedenti a WordPress 3.X:
Ma – sfortunatamente – solo il 62% dei siti WordPress gira sull’ultima versione, motivo per cui molti siti sono ancora ingiustificatamente vulnerabili a tali imprese:
Infine, questa correlazione è evidente ancora una volta con riguardo alla principale vulnerabilità della REST API di WordPress a partire da febbraio 2017, per la quale sono stati danneggiati centinaia di migliaia di siti.
WordPress 4.7.1 presentava molteplici vulnerabilità che sono state sfruttate per danneggiare questi siti. Ma … settimane prima che le vulnerabilità venissero utilizzate, era stato rilasciato WordPress 4.7.2, che correggeva tutte queste vulnerabilità.
Tutti i proprietari di siti WordPress che non avevano disabilitato le patch di sicurezza automatica, o che avevano prontamente aggiornato a WordPress 4.7.2, erano al sicuro. Ma quelli che non avevano aggiornato non lo erano affatto.
Conclusione: il WordPress Security Team fa un ottimo lavoro per risolvere rapidamente i problemi del core di WordPress. Se si applicano tempestivamente tutti gli aggiornamenti di sicurezza, è molto improbabile che il vostro sito riscontri problemi a causa delle principali vulnerabilità. Ma se non lo fate, correte un forte rischio una volta che viene fuori un exploit.
2. Plugin o Temi Non Aggiornati
Una delle cose che la gente ama di WordPress è l’incredibile quantità di plugin e temi disponibili. Al momento della stesura di questo articolo, ci sono oltre 56.000 plugin nella repository di WordPress e migliaia di altri plugin premium sparsi nel web.
Sebbene la disponibilità di tutti questi plugin sia fantastica per estendere le funzionalità del vostro sito, ogni estensione è un nuovo potenziale ingresso per attori malintenzionati. E sebbene la maggior parte degli sviluppatori WordPress faccia un buon lavoro nel seguire gli standard del codice e nell’applicare patch agli aggiornamenti man mano che questi vengono scoperti, ci sono sempre alcuni potenziali problemi:
- Se un plugin o un tema presenta una vulnerabilità, dato che non ha molti occhi puntati come il software core di WordPress, tale vulnerabilità può non essere rilevata.
- Lo sviluppatore ha smesso di lavorare all’estensione, ma la gente la utilizza ancora.
- Lo sviluppatore risolve rapidamente il problema, ma gli utenti non aggiornano.
Quindi, quanto è grande il problema?
Bene, in un sondaggio di Wordfence sui proprietari di siti web compromessi, oltre il 60% di coloro che sapevano in che modo l’hacker era entrato nel sito, attribuiva l’accaduto alla vulnerabilità di un tema o di un plugin.
Allo stesso modo, nel report di Sucuri del 2016, appena 3 plugin sono stati la causa di oltre il 15% delle violazioni che sono state registrate.
Ed ecco la scoperta:
Le vulnerabilità di questi plugin erano state corrette da tempo – i proprietari dei siti non avevano ancora aggiornato il plugin per mettere in sicurezza il proprio sito.
Conclusione: i temi e i plugin di WordPress introducono una wildcard e possono aprire il vostro sito a soggetti malintenzionati. Eppure, gran parte di questo rischio può essere ridotto seguendo le best pratice. Tenete aggiornate le estensioni e installate solo estensioni provenienti da fonti attendibili.
Dobbiamo anche far cenno a questi club GPL che potreste incontrare in giro su internet, dove potete ottenere qualsiasi plugin o tema premium per WordPress per pochi dollari. Sebbene WordPress sia rilasciato sotto licenza GPL, il che è fantastico ed è uno dei motivi per cui lo amiamo, compratori state attenti. A volte ci si riferisce a questi con il termine di “nulled plugins”.
Acquistare plugin dai club GPL significa fidarsi di un soggetto terzo per avere gli ultimi aggiornamenti rilasciati dallo sviluppatore, e molte volte non si avrà alcun supporto. Ricevere gli aggiornamenti dei plugin direttamente dallo sviluppatore è la via più sicura. Inoltre, tutti noi siamo dalla parte degli sviluppatori e del loro duro lavoro!
3. Credenziali WordPress, FTP o Hosting compromesse
In questo caso in realtà non si tratta di un errore di WordPress, ma va detto che una percentuale non trascurabile di violazioni proviene da soggetti malintenzionati che mettono le mani sulle credenziali di accesso a WordPress, o sulle credenziali di accesso al servizio di hosting del webmaster o all’account FTP.
Nello stesso sondaggio di Wordfence, gli attacchi brute force rappresentano circa il 16% degli attacchi che causano la compromissione di un sito, mentre furto di password, postazioni di lavoro, phishing e account FTP hanno tutti una piccola, ma evidente presenza.
Una volta che un soggetto malintenzionato ottiene metaforicamente la chiave della porta d’ingresso principale, non conta più quanto sia sicuro il vostro sito WordPress.
WordPress, in realtà, fa un ottimo lavoro nella riduzione di questo rischio, generando automaticamente password sicure, ma è comunque compito degli utenti mantenere tali password al sicuro e utilizzare password complesse per l’hosting e l’FTP.
Conclusione: adottare misure di base per proteggere le credenziali dell’account può impedire ai malintenzionati di entrare. Utilizzate/rinforzate password complesse per tutti gli account WordPress e limitate i tentativi di accesso per prevenire attacchi brute force (l’hosting di Kinsta lo fa di default 👍).
Per gli account di hosting, utilizzate l’autenticazione a due fattori, se disponibile, e non memorizzare mai la password FTP in testo piano (come fanno alcuni programmi FTP).
Se potete scegliere tra FTP e SFTP (SSH File Transfer Protocol), utilizzate sempre SFTP (scopri la differenza tra FTP e SFTP per capire perché). Se il vostro host utilizza solo FTP, vi consigliamo di informarvi sul supporto SFTP o di passare a un host che supporta SFTP. In questo modo avete la garanzia che non vengano mai trasferite password di testo in chiaro o dati di file. Qui a Kinsta, supportiamo solo SFTP per i trasferimenti di file.
4. Attacchi Supply Chain
Di recente, ci sono stati alcuni casi in cui gli hacker hanno ottenuto accesso ai siti attraverso un trucco sgradevole chiamato attacco “supply chain”. Essenzialmente, il soggetto malintenzionato dovrebbe:
- Acquistare un plugin di alta qualità elencato su WordPress.org
- Aggiungere una backdoor nel codice del plugin
- Aspettare che la gente aggiorni il plugin e poi iniettare la backdoor
Wordfence fornisce una spiegazione più approfondita, nel caso in cui voleste saperne di più. Sebbene questi tipi di attacchi non siano affatto diffusi, è più difficile prevenirli perché derivano da azioni che dovreste fare (mantenendo aggiornato un plugin).
Detto questo, il team di WordPress.org di solito individua rapidamente questi problemi e rimuove il plugin dalla directory.
Conclusione: questo problema può essere difficile da prevenire perché è sempre buona prassi aggiornare all’ultima versione. Plugin di sicurezza come Wordfence possono avvisarvi quando un plugin viene rimosso da WordPress.org, in modo da poter affrontare il problema rapidamente. E una buona strategia di backup può aiutarvi a tornare indietro senza subire danni permanenti.
5. Ambiente di Hosting Scadente e Tecnologia Obsoleta
Al di là di quello che accade sul vostro sito WordPress, anche il vostro ambiente di hosting e le tecnologie che utilizzate sono importanti. Ad esempio, nonostante PHP 7 offra molti miglioramenti sul piano della sicurezza rispetto a PHP 5, solo circa il 33% dei siti WordPress utilizza PHP 7 o versioni successive.
Il supporto per la sicurezza di PHP 5.6 scade ufficialmente alla fine del 2018. E le versioni precedenti di PHP 5 non ricevono supporto di sicurezza da anni.
Ciò significa che l’utilizzo di un ambiente di hosting con PHP 5.6 o inferiore vi esporrà alle vulnerabilità di sicurezza di PHP rimaste senza patch.
Nonostante ciò, circa il 28% dei siti WordPress utilizza ancora versioni di PHP precedenti alla 5.6, il che costituisce un grosso problema se si considera che recentemente abbiamo vissuto anni da record per il numero delle vulnerabilità di PHP scoperte.
Oltre a darvi accesso alle ultime tecnologie, l’utilizzo di un hosting WordPress sicuro può anche aiutarvi a ridurre automaticamente molte altre potenziali vulnerabilità di sicurezza, grazie a:
- Web application firewalls like Cloudflare (all sites on Kinsta are protected by our Cloudflare integration) and Sucuri
- Aggiornamenti automatici per le release di sicurezza
- Autenticazione a due fattori
- Backup automatici
Conclusione: l’utilizzo di un ambiente di hosting sicuro e versioni recenti di tecnologie importanti come PHP aiutano a garantire maggiormente la sicurezza del vostro sito WordPress.
Chi è Responsabile Di Mantenere WordPress Sicuro?
Ora vi starete chiedendo chi sia responsabile di affrontare tutti i problemi sopra menzionati?
Ufficialmente, tale responsabilità ricade sul WordPress Security Team (anche se i singoli contributor e gli sviluppatori di tutto il mondo svolgono un ruolo enorme nel mantenere WordPress sicuro).
Il WordPress Security Team è composto da “50 esperti tra cui “lead developers” e “security researchers”. Circa la metà di questi esperti lavora ad Automattic. Altri lavorano nella sicurezza web, mentre il team consulta anche ricercatori sulla sicurezza e società di hosting.
Se siete interessati a sapere di più sul funzionamento del WordPress Security Team, potete guardare il talk di 48 minuti di Aaron Campbell al WordCamp Europe 2017. Ma, in generale, il team di sicurezza di WordPress:
- Rileva e corregge bug e potenziali problemi utilizzando, in parte, strumenti come i bug bounties di HackerOne
- Fornisce consulenza su tutte le release del core di WordPress
Il WordPress Security Team ha una politica di divulgazione, che significa che, una volta che è stato corretto il bug e rilasciata la patch di sicurezza, rivelano pubblicamente il problema (questo è uno dei motivi per cui furono violati nel 2017 tanti siti – non avevano ancora installato l’aggiornamento, nonostante il team di sicurezza avesse rivelato pubblicamente il bug).
Quello che il WordPress Security Team non fa è controllare tutti i temi e i plugin su WordPress.org. Questi sono analizzati manualmente da volontari. Ma la loro recensione non è “una garanzia che siano esenti da vulnerabilità della sicurezza”.
Quindi – WordPress È Sicuro Se Si Seguono le Best Practice?
Se guardate tutti i dati e i fatti esposti sopra, vedrete questa tendenza generale:
Sebbene nessun content management system sia sicuro al 100%, WordPress dispone di un apparato di sicurezza di qualità per il software core e la maggior parte degli hack è un risultato diretto della mancata attenzione dei webmaster alle essenziali best practice di sicurezza.
Se fate cose come …
- Mantenere aggiornati il core software, i plugin e i temi principali di WordPress.
- Scegliere con cura temi e plugin e installare solo estensioni provenienti da sviluppatori/fonti affidabili. Stare attenti ai club GPL e ai plugin/temi nulled.
- Se si può scegliere tra FTP e SFTP, usare sempre SFTP.
- Utilizzare password complesse per WordPress, nonché per i propri account di hosting e SFTP (e l’autenticazione a due fattori, se disponibile).
- Non utilizzare “admin” come nome utente.
- Impostate un firewall davanti al vostro sito. Tutti i siti Kinsta sono protetti dalla nostra integrazione gratuita con Cloudflare, che include un firewall di livello aziendale con protezione DDoS incorporata. Se il vostro sito non si trova su Kinsta, aggiungere Cloudflare o il WAF di Sucuri può rendere il vostro sito più sicuro.
- Mantenere il proprio computer libero da virus.
- Cambiate il vostro URL di accesso a WordPress per ridurre gli attacchi di forza bruta.
- Utilizzare un certificato TLS (HTTPS) in modo che tutte le comunicazioni con il proprio sito WordPress (come l’accesso alla dashboard) siano crittografate. Kinsta fornisce certificati HTTPS gratuiti!
- Utilizzare chiavi SSH. Ciò fornisce un modalità di accesso al server più sicura ed elimina la necessità di una password.
- Scegliere un host con un ambiente sicuro e utilizzare le ultime tecnologie come PHP 7+.
… quindi WordPress è sicuro e il vostro sito dovrebbe rimanere libero da violazioni sia adesso che in futuro. Se siete clienti di Kinsta, non dovete preoccuparvi. Se per caso il vostro sito viene violato, lo rimetteremo a posto gratuitamente!