Il rapporto Wordfence 2022 sulla sicurezza di WordPress è stato pubblicato il 24 gennaio 2023. In questo rapporto, Wordfence ha analizzato le vulnerabilità scoperte nel 2022, che hanno totalizzato 2.370 segnalazioni. Le prime cinque categorie di vulnerabilità riguardano:
- Cross-Site Scripting (XSS)
- Cross-Site Request Forgery (CSRF)
- bypass di autorizzazione
- SQL Injection (SQLi)
- divulgazione di informazioni.
Il rapporto mostra che il numero di vulnerabilità è in aumento, ma non è solo il risultato del codice datato. Infatti, l’aumento delle segnalazioni potrebbe essere anche legato alla maggiore facilità dei ricercatori nel segnalare le vulnerabilità.
Nel 2022, tutte le categorie di vulnerabilità, ad eccezione dei redirect aperti, sono aumentate rispetto all’anno precedente. La categoria file upload, presente tra le prime cinque nel 2021, è stata superata dalla categoria divulgazione di informazioni. Anche le vulnerabilità CSRF sono più che raddoppiate rispetto alle vulnerabilità di bypass di autorizzazione.
Le vulnerabilità di caricamento di file rimangono un tipo di vulnerabilità comune da sfruttare, poiché consentono agli attaccanti di caricare file che eseguono funzioni desiderate, in genere riguardanti l’esecuzione di codice. Sebbene non sia tra le prime cinque categorie di vulnerabilità del 2022, queste vulnerabilità sono aumentate da 42 segnalazioni nel 2021 a 48 segnalazioni nel 2022.
Nel 2022, la maggior parte delle vulnerabilità sono state segnalate nei plugin. Di tutte le vulnerabilità segnalate, il 66% ha ricevuto patch, mentre l’altro 33% è presente in plugin chiusi o mai corretti e dovrebbe essere rimossi se installati.
Le vulnerabilità di WordPress core sono state solo 22, mentre sette temi hanno avuto da 10 a 18 vulnerabilità segnalate. Nel 2022, oltre a WordPress core, ci sono stati 2.345 plugin e temi con vulnerabilità segnalate.
Inoltre, nel 2022 sono state segnalate 614 vulnerabilità che richiedevano alti livelli di privilegio, 553 che richiedevano bassi livelli di privilegio e 1.203 che non richiedevano alcun privilegio. Questo significa che l’attaccante deve ottenere accesso editoriale o amministrativo per le vulnerabilità ad alto livello, mentre le vulnerabilità a basso livello richiedono l’accesso di abbonato, contributore o autore.
Il rapporto Wordfence 2022 sulla sicurezza di WordPress dimostra che la sicurezza di WordPress sta diventando sempre più importante per proteggere i siti web. Questo rapporto offre informazioni importanti per gli sviluppatori e gli utenti di WordPress per migliorare la sicurezza dei loro siti web.
