WPScan è sulla buona strada per pubblicare un anno da record per le vulnerabilità dei plugin di WordPress inviate al suo database, secondo un rapporto collaborativo sulla sicurezza di metà anno la società ha pubblicato con Wordfence. Nella prima metà del 2021, WPScan ha registrato 602 nuove vulnerabilità, superando rapidamente le 514 segnalate durante tutto il 2020.
Il rapporto si basa sui dati sugli attacchi della piattaforma Wordfence e sui dati del database delle vulnerabilità di WPScan, fornendo un quadro più completo dello stato attuale della sicurezza di WordPress rispetto a quello che entrambe le società potrebbero presentare da sole.
Una delle tendenze evidenziate nel rapporto è l’aumento degli attacchi di password. Wordfence ha bloccato più di 86 miliardi di tentativi di attacco con password nella prima metà del 2021. Gli aggressori utilizzano una varietà di metodi per ottenere l’accesso ai siti WordPress, tra cui testare i siti contro elenchi di password compromesse, attacchi a dizionario e attacchi di forza bruta che richiedono più risorse.
Wordfence ha rilevato che l’accesso standard è l’obiettivo principale dell’attacco con password per il 40,4% dei tentativi, seguito da XML-RPC (37,7%). Poiché questi attacchi sembrano essere in aumento, il rapporto raccomanda ai proprietari dei siti di utilizzare Autenticazione a 2 fattori su tutti gli account disponibili, utilizzare password sicure e sicure univoche per ciascun account, disabilitare XML-RPC quando non è in uso e mette in atto una protezione dalla forza bruta.
I dati del Web Application Firewall di Wordfence mostrano più di 4 miliardi di richieste bloccate a causa di exploit di vulnerabilità e indirizzi IP bloccati. Il rapporto include un’analisi della percentuale di richieste bloccate dal firewall per regola del firewall. Directory Traversal rappresenta il 27,1% delle richieste. Questo accade quando un utente malintenzionato tenta di accedere ai file senza essere autorizzato ed esegue un’azione come la lettura o l’eliminazione del file /wp-config.php di un sito, ad esempio. Questa ripartizione evidenzia anche il fatto che alcune vulnerabilità precedenti sono ancora spesso prese di mira dagli aggressori.
La stragrande maggioranza delle vulnerabilità di cui si sente parlare nell’ecosistema di WordPress proviene dai plugin, con i temi che costituiscono una porzione molto più piccola. Il rapporto rileva che solo tre delle 602 vulnerabilità catalogate da WPScan nella prima metà di quest’anno sono state trovate all’interno del core di WordPress.
Nell’analizzare le vulnerabilità per tipo, WPScan ha scoperto che Le vulnerabilità di Cross-Site Scripting (XSS) hanno rappresentato più della metà di tutte (52%), seguite da Falsificazione di richieste tra siti (CSRF) al 16%, SQL Injection (13%), problemi di controllo degli accessi (12%) e problemi di caricamento file (7%). Utilizzando i punteggi del Common Vulnerability Scoring System (CVSS), WPScan ha rilevato che il 17% delle vulnerabilità segnalate era critico, il 31% alto e il 50% di gravità media.
Sia Wordfence che WPScan affermano che il maggior numero di vulnerabilità segnalate quest’anno è indicativo della crescita dell’ecosistema WordPress e di un sano e maturo interesse per la sicurezza. Temi e plugin non stanno diventando più insicuri nel tempo, ma piuttosto ci sono più persone interessate a scoprire e segnalare vulnerabilità.
“Prima di tutto, non stiamo vedendo molte vulnerabilità di nuova introduzione nei plugin e nei temi, ma piuttosto stiamo vedendo molte vulnerabilità più vecchie nei vecchi plugin e nei temi segnalati/risolti che non sono stati rilevati fino ad ora”, Lo ha detto l’analista delle minacce di Wordfence Chloe Chamberland.
“Le vulnerabilità non vengono introdotte così frequentemente e vengono rilevate più vulnerabilità semplicemente a causa della maggiore attività dei ricercatori, che a sua volta sta avendo un impatto positivo sulla sicurezza dell’ecosistema WordPress. Considerando che non si tratta di vulnerabilità introdotte di recente che vengono scoperte frequentemente, sono fiducioso nel dire che l’aumento delle scoperte non indica che l’ecosistema sta diventando meno sicuro, ma piuttosto sta diventando più sicuro”.
Chamberland ha anche affermato di ritenere che ci sia un effetto domino quando le vulnerabilità vengono divulgate ai fornitori e imparano dai loro incidenti, inducendoli a sviluppare prodotti più sicuri in futuro.
“Parlando per esperienza mentre trascorro molto del mio tempo alla ricerca di vulnerabilità nei plugin di WordPress, le cose sono decisamente diventate più sicure dal mio punto di vista”, ha affermato. “Oggi trovo spesso controlli di capacità e controlli nonce in tutti i posti giusti insieme a misure di convalida del caricamento dei file adeguate in atto e tutte le cose buone. È diventato più difficile trovare vulnerabilità facilmente sfruttabili nei plugin e nei temi che vengono mantenuti attivamente, il che è una cosa fantastica!”
Il rapporto di metà anno è disponibile in PDF a Scarica gratuitamente dal sito Web WPScan. Il fondatore e CEO di WPScan, Ryan Dewhurst, ha dichiarato di aspettarsi un rapporto di fine anno per il 2021. Non ne ha ancora discusso con Wordfence, ma le aziende stanno discutendo su altri modi in cui possono collaborare.