Vulnerabilità WordPress 2018 la situazione è preoccupante

A seguito di aggiornamento dell’ultimo aggiornamento del famoso CMS WordPress , abbiamo deciso di fare un po ‘ di ricerca per vedere quanto velocemente sono stati aggiornamento dei siti web WordPress e quanti ancora devono essere aggiornati all’ultima versione.  Quello che abbiamo trovato era a dir poco preoccupante, infatti dalla nostra analisi risulta che circa il  49% dei siti WordPress  e questo rappresenta un problema per la sicurezza del CMS.

Sostieen infatti Adam Cohen massimo esperto del CMS WordPress 

 

“che è la piattaforma numero una a livello globale utilizzata per costruire siti Web,”

 

e aggiunge

 “Con il conteggio del numero di siti Web in esecuzione , è anche la piattaforma più comune per gli hacker di attacco. Perché anche se non hanno trovato nessun exploit, possono comunque replicare  su centinaia di migliaia di siti.”

Questa considerazione fa comprendere bene il fatto che molti siti Web che non stanno mantenendo aggiornati con i nuovi rilasci destano un enorme preoccupazione in quanto soggetti a vulnerabilità.

 

Per eseguire la nostra indagine, abbiamo creato uno strumento di ricerca per indicizzazione le Home page di ogni sito Web con  Quantcast Top 10.000. La ricerca per indicizzazione è stato effettuato il mese scorso.

Secondo  Quantcast  su 10 mila siti ha dato i seguenti risultati

• 17% dei siti Web hanno  principalmente  WordPress
• 50,93% di tali siti web WordPress hanno in esecuzione la versione più recente
• 49,07% dei siti web WordPress non sono in esecuzione con la versione più recente
• 33,58% dei siti web WordPress sono almeno due aggiornamenti indietro

Il mancato aggiornamento di WordPress è un ottimo modo per essere hackerati.

 

Parliamo del perché questo è così cruciale. E prima di andare avanti, capire che questo un problema universale.  Le maggiori organizzazioni mondiali stanno valutando costantemente la necessità di patch, aggiornate da installare  nei loro sistemi con i costi connessi, sia in termini di prezzo e i tempi di inattività/interruzioni al business. Che non è solo limitato a siti WordPress,

“Molte persone rinunciano agli aggiornamenti di  WordPress  perché sono preoccupati che essi avranno un impatto sulla stabilità del sito,”

 

secondo  Paul Bischoff, un esperto di sicurezza e privacy avvocato per Comparitech.com. che aggiunge 

 

 

 

Interviene sul tema anche il  Senior web developer e WordPress  Ken Dawes per mettere in guardia i proprietari di siti che WordPress

“Il problema più grande nella sicurezza di WordPress (o qualsiasi altro tipo di sito) è convincere la gente a rendersi conto che avere un sito Web di WP è come avere un cucciolo,”  “Se non si prendono cura di esso – alimentazione, toelettatura, vaccinazioni e simili  o prima o poi i problemi si presenteranno.”

Prendersi cura di esso significa aggiornare  all’ultima versione e mantenere il vostro plugin aggiornato

WordPress sta facendo questi aggiornamenti per un motivo

o

Come praticamente qualsiasi altro software, WordPress rilascia aggiornamenti su base regolare. Mentre questi aggiornamenti forniscono anche nuove funzionalità,  sono i miglioramenti  alla  sicurezza che sono critici. E i criminali informatici stanno prestando attenzione a questo argomento.

“Le persone non capiscono che gli hacker spesso non trovano le vulnerabilità nel software ,” dice Bischoff. “Quando un editore di software come WordPress mette fuori una patch che include un aggiornamento della sicurezza, suggerimenti contro gli hacker per il fatto che esista una vulnerabilità su qualsiasi installazione di WordPress che non esegue tale aggiornamento. Se non aggiorni, sei un bersaglio. Più si aspetta, più sei  vulnerabile”.

Che quasi la metà dei siti WordPress il Quantcast Top 10.000 non sono aggiornati alla piu’ recente versione  è allarmante. Il fatto che oltre un terzo, 33,58% sono più versioni indietro è addirittura pericoloso.

“Una volta che il tuo sito Web è hackerato è molto difficile da riparare. In sostanza, gli hacker che sono entrati nel  tuo sito Web creeranno  nuovi punti di ingresso nascosti e a meno che non si chiudano tutti , è facile per loro trovare un modo per tornare . I risultati sono orribili per il business,”

dice Mazdak Mohammadi, capo sviluppo del WordPress Design Studio, BlueBerryCloud.

“La buona notizia è che WordPress è aggiornabile facilmente  insieme ai plugin tramite la dashboard di WordPress Admin. Lo sviluppatore web dovrebbe essere in grado di fare questo per voi, altrimenti si può chiedere l’accesso farlo  da soli. Non è scienza missilistica,”

WordPress hack può capitare a chiunque

Piccole e medie imprese non sono immuni da essere violate. Che è un’idea sbagliata comune che non è sostenuta da statistiche. In realtà,nel  2017 Threat Report di Symantec dice che il 74% delle Piccole e Medie Imprese sono state prese di mira. E i report di National Cyber Security Alliance dicono che il  60% delle PMI andranno fuori dal commercio entro sei mesi di una violazione dei dati.

“Aneddoticamente,potrai trovare  proprietari di siti Web che dicono,

“non ho aggiornato nulla negli anni e non ho ottenuto problemi! Così che cosa è il problema?”

Oppure

 

 “Io sono solo un piccolo ragazzo, non mi daranno fastidio con il mio sito,”

dice Dawes.

 

 “È un gioco di numeri. Tutti i siti attaccati in modo casuale ogni giorno da hack-bot. Al bot basta andare a vedere gli  elenchi di indirizzi IP e attacca utilizzando le  vulnerabilità sfruttabili  note. “.

“Quando una vulnerabilità è trovata in una versione di WordPress, gli hacker creano  un exploit sulla vulnerabilità e quindi lanciano un attacco su vasta scala, solitamente in modo automatico,  l’hacker farà spazzatura del  tuo sito o usarlo per memorizzare i dati di importanza per loro (i dati rubati, immagini illegali, ecc.). Il risultato, almeno, è una cattiva immagine pubblica quando si è scoperto che il tuo sito è stato compromesso.”

In alternativa, si potrebbe andare il modo di quasi il 60% delle PMI che vengono attaccati e finiscono per andare.

Che cosa dovete fare per mantenere sicuro il vostro sito WordPress

Ovviamente in primis spendere per un buon webmaster che  vi tiene aggiornato WordPress, plugins e temi.

“Quando vengono individuate le vulnerabilità di plugin e tema e vengono rilasciati aggiornamenti, la dashboard indicherà un aggiornamento è disponibile,”

dice Bob Herman, co-fondatore e Presidente di IT Tropolis.

 

 “Inoltre,  utilizzate sempre temi child , in modo che è possibile aggiornare tutti i temi nell’installazione senza compromettere il tuo sito. Wordfence è un ottimo plugin che  avvisa di importanti problemi nell’installazione. E, se non volete aggiornare WordPress perché un plugin potrebbe non essere compatibile con la versione più recente, quindi probabilmente non è un plugin che vale la pena utilizzare. .”

Cohen ha alcuni consigli :

“Assicuratevi di regolarmente aggiornare le password e assicurarsi che l’azienda di hosting sta aggiornando annualmente librerie Linux/Unix, Php e MySQL (e installate le patch se necessario). Eliminate  vecchi plugin o temi quando non in uso o quando sono obsoleti. Installate un servizio come Sucuri o Wordfence per il monitoraggio di file e l’accesso del tuo sito.”

Ma sopratutto se posso darvi un consiglio state allerta. Non installate mai plugin o temi che non siano ultra sicuri e collaudati. Evitate roba che luccica….non si sa mai che cosa è che la fa luccicare in quel modo…