Il 91% delle vulnerabilità di WordPress è sui Plugin gratuiti.

Redazione RHC : 13 Marzo 2022 08:17

Gli analisti di Patchstack hanno pubblicato un rapporto sulla sicurezza di WordPress nel 2021.

Sfortunatamente, il quadro si è rivelato deprimente, ad esempio si è scoperto che il 29% degli errori critici nei plugin di WordPress non ha ricevuto alcuna patch. Inoltre, il numero di vulnerabilità segnalate è aumentato del 150% nell’ultimo anno.

I ricercatori scrivono che tutto questo è allarmante, dal momento che WordPress è il CMS più popolare al mondo, utilizzato dal 43,2% di tutti i siti nel mondo.

CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub. Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati. Ricerca per singola CVE Ricerca le ultime CVE emesse Articolo sul CVE enrichment Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Di tutti i bug segnalati dagli esperti nel 2021, solo lo 0,58% era correlato al core di WordPress e il resto era correlato a diversi temi e plug-in per la piattaforma di diversi sviluppatori.

Allo stesso tempo, il 91,38% delle vulnerabilità è stato riscontrato nei plugin gratuiti, mentre le soluzioni a pagamento per WordPress rappresentavano solo l’8,62% del numero totale di problemi, e questo la dice lunga sulle procedure di verifica e test del codice.

Gli esperti di Patchstack hanno identificato cinque vulnerabilità critiche che interessano 55 temi WordPress, con la più grave di queste vulnerabilità correlata all’abuso di caricamento di file.

Per quanto riguarda i plugin, sono state rilevate 35 vulnerabilità critiche, due delle quali hanno interessato 4.000.000 di siti.

Sebbene gli sviluppatori di plug-in abbiano per lo più risolto queste vulnerabilità, nove plug-in non hanno mai ricevuto patch e alla fine sono stati rimossi del tutto dai mercati.

PatchStack rileva inoltre che le vulnerabilità XSS sono in cima all’elenco dei difetti più comuni in WordPress nel 2021, seguite da vulnerabilità “miste”, CSRF, SQL injection e caricamenti di file arbitrari.

Complessivamente, nel 2021, circa il 42% dei siti WordPress conteneva in media almeno un componente vulnerabile su 18 installati.

Sebbene questo numero sia inferiore ai 23 plugin installati in media sui siti nel 2020, il problema è ora aggravato dal fatto che 6 su 18 sono già obsoleti.

Tra i plugin obsoleti più vulnerabili nel 2021, sono stati nominati OptinMonster, PublishPress Capabilities, Booster for WooCommerce e Image Hover Effects Ultimate.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli