WordPress 2021: alcuni problemi di sicurezza

Nei giorni scorsi è uscito un report sulla sicurezza dei siti sviluppati sul noto CMS WordPress, attualmente il più utilizzato al mondo. Patchstack, società che si occupa di sicurezza su WordPress, segnala che nell’ultimo anno le vulnerabilità sui siti sono aumentate del 150% rispetto al 2020 e che il 29% dei bug presenti non ha attualmente patch disponibili per risolvere i problemi da essi derivanti.

I problemi non si trovano però all’interno del core di WordPress, che conta lo 0,58% delle falle di sicurezza rilevate, mentre la quasi totalità si trova in temi e plugin, creati da sviluppatori esterni. Per la precisione, il 91% delle vulnerabilità dei plugin proviene dagli strumenti gratuiti e solo l’8,6% da quelli premium o a pagamento.

Per quel che riguarda i temi invece il quadro è molto preoccupante poiché si parla di 55 temi con vulnerabilità di livello critico. La maggior parte di esse dà modo agli attaccanti di caricare file sui siti, mentre per le altre si parla dell’esecuzione di codice remoto, SQL Injection e Cross Site Scripting (XSS).

Sui plugin sono invece 35 le vulnerabilità critiche e coinvolgono una lunga lista di siti sviluppati con WordPress.

Fonte: Patchstack

Due delle falle più importanti dello scorso anno sono sicuramente quelle dei plugin All in One SEO ed OptinMonster, che in tutto hanno coinvolto 4 milioni di siti web. Vedendo la lista diffusa da Patchstack possiamo anche capire che anche in questo caso il caricamento di file senza autenticazione è sempre la pratica malevola più diffusa. Per gli altri plugin troviamo anche l’SQL injection, la privilege escalation, ovvero l’ottenimento del controllo del sito, e l’esecuzione di codice da remoto.

I problemi maggiormente segnalati su WordPress sono state le vulnerabilità XSS (49%) seguiti dal mix di varie falle di sicurezza, Cross Site Request Forgery ed SQL injection. Come abbiamo visto, anche il caricamento arbitrario di file è uno dei protagonisti tra i problemi riscontrati.

Tra tutte le vulnerabilità riscontrate solo il 3,4% è stata giudicata come critica, il 17% di entità importante mentre il restante 76% di livello medio. La media dei plugin installati per ogni sito WordPress è pari a 18 ed il 42% dei siti di tutto il mondo sviluppati su questo CMS, nel 2021, ha avuto almeno un plugin vulnerabile installato.

Va specificato che gli sviluppatori dei plugin e dei temi con problemi hanno quasi sempre provveduto a rilasciare patch di aggiornamento. Tutti tranne che per nove di essi, che non hanno avuto aggiornamenti e sono stati eliminati dalla directory. Il problema opposto è invece quello degli utenti, sempre troppo lenti ad installare le patch qualora ve ne fosse il bisogno.

 

Fonti: 1, 2