[Statistiche sulla sicurezza di WordPress] 4 motivi principali per cui i siti WordPress vengono violati e come prevenirlo

Alimentando il 34% di tutti i siti Web su Internet e con una quota di mercato del 60,8% nel mercato dei CMS, WordPress è senza dubbio il sistema di gestione dei contenuti più popolare al mondo. Tuttavia, questa immensa popolarità ha anche un costo.

Anni dopo anni, la sicurezza di WordPress è sempre stata un problema scottante. Per quanto riguarda lo studio Sucuri, su 8.000 siti Web infetti, il 74% di essi è stato costruito su WordPress. Wordfence ha anche scoperto che ci sono fino a 90.000 attacchi ai siti WordPress ogni minuto.

Allora perché WordPress è molto preso di mira dagli hacker?

Ci sono molte ragioni per cui i siti WordPress vengono hackerati. In questo articolo, ci concentreremo sui 4 motivi principali insieme alle effettive statistiche sugli hack di WordPress setacciate attraverso varie fonti. Inoltre, forniamo anche alcuni consigli utili su come garantire la sicurezza di WordPress.

Immergiamoci!

• Hosting Web non sicuro
• Password deboli
• Sito WordPress obsoleto
• Temi e plugin obsoleti o annullati
• Come garantire la sicurezza di WordPress

Hosting Web non sicuro

"Il 41% dei siti WordPress viene attaccato a causa delle piattaforme di hosting vulnerabili".

Simile a qualsiasi sito Web, WordPress è ospitato su un host o un server Web. La maggior parte dei proprietari di siti WordPress sembra non prendere in seria considerazione la scelta del web hosting. Comunemente, ospitano i loro siti Web su un piano di hosting condiviso poiché è più conveniente. Questa purtroppo risulta essere la preda redditizia per gli aggressori.

Qualsiasi tentativo di hacking riuscito su quel server condiviso può potenzialmente portare alla vulnerabilità del tuo sito, poiché gli hacker possono accedere al tuo sito attraverso quel sito compromesso.

Password deboli

Questa è una delle cause più frequenti di attacchi di forza bruta riusciti. WP Smackdown dimostra che l'8% dei siti WordPress viene violato a causa di password deboli.

Sorprendentemente che anche fino a questa data, le persone utilizzano ancora password comuni e semplici da indovinare come "123456" o "password" per proteggere i propri siti. NordPass ha riassunto il miglior utilizzo delle password nel 2020 e ciò che rivelano ti farà sbalordire.

La loro ricerca ha evidenziato che gli utenti tendono a impostare numeri o stringhe di lettere facili da ricordare come password. Inoltre, tendono a riutilizzare la stessa password per più account per comodità. Ciò che conta di più sono le password più facili da ricordare, più sono altamente vulnerabili da violare.

Versioni di WordPress obsolete

Una versione obsoleta di WordPress è uno dei principali motivi per cui un sito viene violato. Uno studio di Sucuri mostra che il 36,7% dei siti Web hackerati ha versioni obsolete.

Le nuove versioni aggiungeranno funzionalità più avanzate e risolveranno le vulnerabilità di quelle precedenti. Tuttavia, alcuni utenti disabilitano persino la funzione di aggiornamento automatico. Secondo WordPress, solo il 32,2% degli utenti di WordPress ha aggiornato i propri siti all'ultima versione 5.6.

Perché gli utenti si rifiutano di aggiornare i propri siti?

Le scuse principali sono:

• Tendono a ritardare o dimenticare le notifiche di aggiornamento a causa della loro attività (o pigrizia).
• Temono che l'aggiornamento influisca sulle prestazioni dei loro siti.

Ma sai cosa, a volte, l'ignoranza ti costa molto. L'hacking nella piattaforma di blogging Reuters nel 2012 è una lezione tipica.

Reuters ha dimenticato di mantenere aggiornata l'installazione di WordPress dando agli hacker la possibilità di attaccare il loro sito. Hanno riempito numerosi post falsi sul sito web di Reuters, inclusa una presunta intervista con il leader dell'esercito ribelle siberiano. A quel tempo, Reuters utilizzava la versione 3.1.1 invece della 3.4.1.

Temi e plugin obsoleti o annullati

Molti proprietari di siti Web hanno subito attacchi a causa di vulnerabilità di temi e plug-in. Sebbene WordPress aggiorni istantaneamente il proprio core con patch di sicurezza, tale miglioramento non si applica ai suoi plug-in.

Secondo una statistica di WP Scan, fino al 2020 ci sono state 21.936 vulnerabilità di WordPress. Tra questi, il 52% e l'11% delle vulnerabilità di WordPress segnalate sono rispettivamente relative a plugin e temi, mentre il core di WordPress rappresenta il resto.

Inoltre, nel rapporto Wordfence 2020 WordPress, Wordfence ha sottolineato che il malware proveniente da plugin e temi annullati rappresenta una minaccia per la sicurezza di WordPress. Sia WP Scan che Wordfence concordano sul fatto che Cross-site Scripting e SQL Injection sono i tipi di vulnerabilità più popolari nei plugin e nei temi di WordPress.

Guarda i primi 10 temi e plugin più vulnerabili elencati da Wpwhitesecurity (ultimo aggiornamento il 08 ottobre 2020) e rimarrai sorpreso.

I 10 plugin più vulnerabili:

Nel grafico sopra, Nextgen Gallery, Ninja Forms e WooCommerce guidano la top 3 con più di 20 vulnerabilità. Anche un plug-in di sicurezza denominato "All In One WP Security & Firewall" compare in questo elenco, il che significa che anche i plug-in di sicurezza possono essere presi di mira dagli hacker.

I 10 temi più vulnerabili:

Il grafico allegato mostra che i temi non causano molte vulnerabilità rispetto ai plugin. Il numero più alto di vulnerabilità è cinque e ricade sul tema Echelon e Traveller. Questo perché i temi non implicano l'estensione della funzionalità come fanno i plugin. Si assumono principalmente la responsabilità dell'aspetto grafico dei siti WordPress.

Come garantire la sicurezza di WordPress

Dalle statistiche e dai fatti sulla sicurezza di WordPress allarmanti di cui sopra, abbiamo concluso 5 soluzioni praticabili per aiutarti a garantire la sicurezza di WordPress. Quello che devi fare adesso è:

• Investi nei tuoi web hosting
• Crea password univoche
• Tieni aggiornato il tuo sito
• Usa i plugin di sicurezza di WordPress
• Evita di utilizzare temi e plug-in annullati

Investi nei tuoi web hosting

Si ottiene quello che si paga. Optare per un hosting web affidabile ridurrà significativamente la probabilità che il tuo sito venga violato. L'hosting web di alta qualità non solo supporterà l'ultima versione di PHP e MySQL, ma fornirà anche scansioni di malware e backup regolari.

Un server dedicato è altamente raccomandato come opzione di hosting più sicura. Certo, è piuttosto costoso, ma è molto utile se il tuo sito riceve un traffico elevato e contiene dati sensibili.

Stai lontano dalle soluzioni di hosting condiviso. Tuttavia, se stai già utilizzando un piano di hosting condiviso, passa all'hosting VPS.

Crea password uniche

Le password sicure sono necessarie non solo per gli account amministratore di WordPress, ma anche per l'hosting web, gli account FTP e i database MySQL.

Per creare una password complessa, in primo luogo, è necessario evitare di utilizzare numeri o lettere adiacenti comuni, come "1234567" o "abcdef", e caratteri ripetitivi, inclusi "abc123" o "111111111".

Insieme a ciò, astenersi dall'utilizzare le stesse password per siti Web diversi. Dovresti trovare una password lunga, complessa e robusta con almeno 8 caratteri per ciascun account.

Una password ideale dovrebbe essere combinata tra parole, numeri e simboli, ad esempio !wdf34*de5. Non dimenticare di reimpostare le password regolarmente ogni 90 giorni.

Mantieni il tuo sito aggiornato

Per evitare di essere il secondo Reuters, quello che devi fare è aggiornare il tuo sito WordPress all'ultima versione. Presta attenzione alle notifiche di aggiornamento nella tua dashboard.

Se temi che l'aggiornamento interrompa i tuoi siti, dovresti creare un backup prima di eseguire un aggiornamento e testare l'aggiornamento sul tuo sito di staging.

Usa i plugin di sicurezza di WordPress

L'installazione dei plugin di sicurezza di WordPress è la soluzione più semplice ma più efficace per proteggere il tuo sito da qualsiasi tipo di attacco, incluso il malware.

Optando per un plug-in di sicurezza che ti consente di scansionare le vulnerabilità, applicare password complesse, bloccare reti dannose, implementare un firewall e così via. C'è una vasta gamma di plugin di sicurezza WordPress affidabili in questo campo, che molti pezzi grossi sono Sucuri, Wordfence e BlogVault.

Evita di utilizzare temi e plug-in annullati

I plugin e i temi annullati sono la versione compromessa di quelli premium, privi di una funzione di controllo della licenza. Normalmente, quella funzione viene disabilitata o rimossa da questi plugin e temi, il che porta a malware potenzialmente dannoso.

Non possiamo negare che i plugin e i temi annullati siano allettanti, considerando che sono gratuiti e facili da scaricare. Tuttavia, tieni in considerazione questa idea: se usi queste copie pirata, non ci sono soluzioni di sicurezza, poiché non avranno aggiornamenti disponibili dai loro sviluppatori.

Pertanto, ti consigliamo di scaricare plugin o temi originali da siti Web affidabili o di investire i tuoi soldi in quelli premium. Pensaci a lungo termine, puoi sia proteggere il tuo sito che ricevere nuove funzionalità o ulteriore supporto nelle correzioni di sicurezza.

Conclusione

Questo articolo ti ha guidato attraverso 4 motivi principali per cui WordPress viene violato con cifre reali. Le statistiche sugli hack di WordPress fornite mirano a evidenziare quanto sia importante rafforzare la sicurezza di WordPress.

Abbiamo anche fornito consigli utili su come prevenire potenziali attacchi a WordPress. "Prevenire è meglio che curare". Dovresti prestare particolare attenzione alla scelta del tuo web hosting, all'aggiornamento del core, ai plugin e ai temi di WordPress, nonché alla creazione di password complesse.

Ci sono statistiche sugli hack di WordPress che speri condividiamo in questo articolo ma che ci siamo perse? Hai avuto qualche esperienza con lo sfruttamento del sito web? Sentiti libero di condividere con noi nella sezione commenti qui sotto!