Facciamo il punto, grazie al report diffuso dall’azienda WordFence che come sappiamo si occupa della sicurezza del CMS più utilizzato al mondo, riguardo alla sicurezza ed a tutte le minacce e le offensive rilevate nell’arco dello scorso anno. Nell’analisi vengono toccati temi più generali ed altri più particolari, ed in questo breve approfondimento toccheremo quelli reputati più importanti, a partire dai primi dati riassuntivi.
Per il 2024, WordFence segnala che sono state rilevate ben 8.233 vulnerabilità, un numero molto alto quindi, ma ciò che dà ancora di più la misura del problema legato alla sicurezza è quello dell’aumento rispetto al 2023, che è stato del 68%. Per completare l’informazione, si pensi che già nei primi mesi del 2025 le minacce rilevate sono arrivate a 3.275, quindi siamo quasi a metà strada e nemmeno a metà dell’anno in corso. Passando al livello di gravità invece si nota come la schiacciante maggioranza di quelle segnalate e rilevate è di livello medio, che comunque significa un impatto importante sui siti in caso di sfruttamento delle vulnerabilità dei plugin. Un dato importante è invece quello riguardante il livello di autenticazione sufficiente, ove presente, per poter sfruttare le falle di sicurezza dei plugin, questo perché per le vulnerabilità riscontrate nel 2024 è molto più frequente che per andare a segno l’attaccante fosse soltanto autenticato come contributor, mentre non è basso nemmeno lo sfruttamento di vulnerabilità da parte di persone non autenticate.
C’è poi un dato, spiegato brevemente, riguardo le operazioni di rimedio alle falle di sicurezza, ovvero quello che ci dice che il 35% delle vulnerabilità scoperte nel 2024 non sono state ancora patchate nel 2025, cosa che può essere vista in modo positivo per quel 65% che è responsive nelle necessità di questo tipo, ma che al contempo deve destare preoccupazione poiché il 35% non è di certo una percentuale bassa ed è molto probabile che queste falle non verranno mai riparate. Come abbiamo fatto intendere finora, i problemi principali sono quelli riguardanti i plugin, che nel bilancio totale pesano per il 96%, mentre le vulnerabilità di temi e core sono quasi inesistenti, specialmente le seconde. Passando invece ai tipi di vulnerabilità ed ai loro effetti, vediamo come al primissimo posto ci sono quelle di tipo Cross-Site Scripting (XSS), con un totale di quasi 4000 casi, seguiti da quelle di mancata autenticazione e quelle cosiddette di Cross-Site Request Forgery (CSRF), che fino allo scorso anno però erano al secondo posto ed ora sono state soppiantate.
Il fatto che al primo posto ci siano le vulnerabilità di tipo XSS non deve assolutamente passare in secondo piano, poiché sono tantissimi i rischi ad esso collegati e molti li conosciamo pure bene. A partire dalla perdita totale del controllo del sito e dal redirect forzato verso altri portali di tipo malevolo oltre al furto di dati e molto molto altro. Rimanendo sul tema delle minacce, WordFence parla anche di quelle che sono le più importanti e le più preoccupanti, in generale, per la salute dei propri siti su WordPress. Questa breve lista comincia con il caricamento arbitrario di file, che solitamente è uno script PHP malevolo sul server in cui è ospitato il sito. Questi script, se eseguiti, fanno perdere il controllo dei portali ma anche portare ad altri effetti già elencati in precedenza. Un’altra importante minaccia su WordPress è l’eliminazione arbitraria di file, tra i quali spicca quasi sempre il noto wp-config.php contenente informazioni fondamentali per il funzionamento del sito. Al terzo posto c’è sicuramente anche quella della gestione indiscriminata degli utenti e di tutte le altre opzioni del backend, che consente agli attaccanti di creare nuovi utenti, evitare le autenticazioni, reimpostare i ruoli e quindi di fatto estromettere gli amministratori. Tra le altre minacce più gravi ci sono ovviamente l’esecuzione di codice remoto già citata, la lettura di file arbitrari ed il bypass dell’autenticazione al backend.
Di tutte le singole vulnerabilità che sono state riscontrate negli anni scorsi, delle quali trattiamo spesso anche su questo blog, la più sfruttata è quella a LiteSpeed Cache, che consentiva l’attribuzione di privilegi alti ad utenti non autenticati, mentre al secondo posto si trova il plugin WP Meta SEO e la sua falla di sicurezza che consentiva la scalata dei privilegi ed il Cross-Site Scripting, che tuttavia è stata riscontrata meno della metà delle volte rispetto a LiteSpeed. Come sottolineato ad inizio paragrafo, però, questa particolare lista parla di tutte le vulnerabilità degli ultimi anni, ma non dovrebbe creare stupore il fatto che ad avere maggiori tentativi, durante il 2024, siano state queste due.
Al termine del lungo e dettagliato report (che si può consultare utilizzando il link nelle fonti di questo articolo) si fa quindi un piccolo sunto sull’analisi dicendo che nonostante le minacce aumentino dovrebbe un po’ rasserenare il fatto che si tratta principalmente di possibili vettori d’attacco di media gravità, ma la stessa WordFence oltretutto promuove e continuerà a promuovere programmi per la ricerca di falle di sicurezza da segnalare agli sviluppatori di WordPress, dei suoi temi e dei suoi plugin. Ovviamente anche l’azienda statunitense ci tiene a rimarcare i soliti punti cardine da tenere a mente anche per questo anno, ovvero avere cura della salute dei propri portali, visto che le vulnerabilità vengono divulgate con costanza e con dovizia di particolari da moltissimi siti specializzati. Oltretutto, la maggior parte degli sviluppatori di plugin, dopo le segnalazioni sulle falle di sicurezza, provvedono in tempi piuttosto rapidi alla diffusione degli aggiornamenti, che i più pigri possono anche effettuare in modo automatico selezionando l’opzione presente nel backend di WordPress. Ovviamente poi ci sono le soluzioni supplementari di cybersecurity, che ormai possono essere trovate sul mercato a prezzi molto abbordabili e che possono mettere al riparo gli utenti del noto CMS in modo efficace.
Fonte: 1
