Secondo le statistiche più recenti del 2019 rilasciate da WordCamp, sono oltre 75 milioni i siti web realizzati ad oggi su WordPress, il CMS più utilizzato al mondo. Grazie all’estrema versatilità e alla configurazione open source che lo contraddistingue, la sua fama e praticità lo hanno trasformato in uno strumento utile sia per blog personali che per siti aziendali di piccole aziende, fino anche a grandi multinazionali e importanti riviste. Non solo: pare che quasi il 15% dei siti più importanti al mondo sia realizzato proprio con WordPress. Qualcosa vorrà pur dire.
Ma, come in ogni storia che si rispetti, c’è sempre un nemico pronto a rovinare il lieto fine. Il grande successo di WordPress ha attirato da subito l’attenzione degli hacker, da sempre alla ricerca di punti deboli. Per un malintenzionato del web la struttura open source è una vera benedizione: è sufficiente trovare una falla qualsiasi e infiltrare un malware capace di diffondersi in automatico e infettare migliaia di siti web. Gli obiettivi di un hacker possono essere i più svariati: visibilità, estorsione, furto di denaro, dati o informazioni private.
Vista la grande diffusione del CMS a livello mondiale, questa epidemia può colpire milioni di siti in pochissimo tempo. Un attacco su larga scala può avere quindi effetti devastanti.
Attacchi hacker a WordPress: due esempi celebri
Gli attacchi hacker hanno forme e bersagli diversi. Possono riguardare il codice, un tema o i plugin. Qualche tempo fa nella comunità WordPress è diventato celebre il “TimThumb Hack”. TimThumb è un plugin per ridimensionare le immagini così popolare da essere stato incorporato in automatico in un gran numero di temi. Proprio per questo, quando nel 2010 gli hacker hanno forzato il plugin sono riusciti a infettare a catena i siti di tantissimi utenti che non sapevano nemmeno di avere il plugin installato.
Pensa che ancora oggi ci capita di trovare siti infetti proprio perché usano un vecchio tema con una versione di TimThumb non corretta!
Un altro esempio? Nel 2018 un massiccio tentativo di forzare le credenziali di accesso di una serie di siti usando il protocollo Xml-Rpc – in gergo, un attacco “brute force” – ha portato all’infezione di circa 20.000 siti web basati su WordPress.
Quanto è diffuso WordPress
Quando definiamo WordPress come un CMS, utilizziamo l’acronimo di Content Management System, in italiano sistema di gestione dei contenuti. Questa sigla identifica un software da installare su un server web per facilitare l’organizzazione dell’intero sito: struttura, pagine, testi, immagini e così via.
L’introduzione dei CMS ha reso molto più semplice e accessibile la creazione di spazi web. I sistemi moderni – e soprattutto WordPress – richiedono competenze di programmazione molto basse o praticamente nulle, e permettono a chiunque di sviluppare un sito in poco tempo.
Secondo i dati di W3Techs, il 61,5% di tutti i siti al mondo che fanno uso di un CMS è stata realizzata con WordPress. I suoi principali competitor seguono da una distanza enorme, come puoi vedere nella tabella qui sotto:
| CMS | Percentuale d’uso | Quota di mercato |
| WordPress | 34,7% | 61,5% |
| Joomla | 2,7% | 4,9% |
| Drupal | 1,7% | 3,1% |
| Shopify | 1,7% | 3,0% |
| Squarespace | 1,6% | 2,8% |
Dal suo primo lancio nel 2003, WordPress ha continuato a crescere senza sosta. Negli ultimi cinque anni ha raggiunto un ulteriore 10% di pubblico, ed è lecito attendersi una tendenza simile in futuro.
Perché WordPress è un bersaglio
Ci sono vari elementi che lo rendono così popolare: la grande facilità d’uso, il numero praticamente illimitato di temi e plugin da implementare, o le guide e i forum di assistenza online, solo per dirne alcuni. Eppure, nonostante questa fama internazionale, i rischi e le insidie continuano a minacciare i siti realizzati con WordPress.
Quali sono le motivazioni principali?
1. Perché mancano competenza e manutenzione
I siti sviluppati con questa piattaforma ospitano una grandissima varietà di contenuti web. Ci sono forum, blog, siti personali, siti aziendali e ecommerce. È un CMS semplice e versatile, e per questo milioni di utenti lo scelgono ogni anno.
Costruire un sito in WordPress è relativamente semplice; mantenerlo al massimo dell’efficienza, però, richiede una grande quantità di lavoro e attenzione. Sul nostro blog abbiamo parlato più volte di quanto sia importante una corretta gestione di un sito: basta non essere al passo con gli aggiornamenti, infatti, per ritrovarsi esposti al pericolo di malware e virus.
Utenti alle prime armi, poi, tendono a installare plugin per ogni piccolo bisogno anziché cercare di capire come integrare nuove funzionalità direttamente sul sito. Non tutti i plugin rispondono agli standard di WordPress e diventano spesso delle comode porte per accedere e attaccare gli utenti che ne fanno uso.
2. Perché è accessibile
La natura open source del software permette a chiunque di accedere alle risorse e contribuire al codice che il CMS mette a disposizione. Questo vuol dire che possono intervenire non solo esperti, ma anche semplici appassionati o persone senza nessun tipo di competenza.
Una simile impostazione da un lato esalta la natura contributiva del progetto, dall’altro lo espone però a una serie di debolezze che gli hacker possono sfruttare a loro vantaggio.
WordPress, inoltre, segue da sempre una politica di trasparenza in materia di sicurezza. Vuol dire che rende noto a tutta la comunità le debolezze nel codice e le misure che vengono prese per contrastarle. Un hacker, quindi, dovrà solo farsi un giro sulle pagine dei forum per trovare informazioni sui punti vulnerabili e su come attaccarli.
In conclusione: quanto è sicuro WordPress?
Lo scenario che abbiamo descritto fa pensare che WordPress non sia una piattaforma sicura. Ma è davvero così? In verità, gli attacchi hacker non sono mai arrivati a colpire il nucleo del CMS.
WordPress è sicuramente esposto a dei rischi collegati ai fattori che abbiamo elencato in questo articolo. Si tratta però, di pericoli che possono essere evitati con una buona manutenzione e un po’ di prudenza.
Lo sappiamo tutti: prevenire è meglio che curare. Per questo raccomandiamo sempre di dedicare il giusto tempo alla gestione tecnica dei siti. Se pensi di non avere le capacità o il tempo necessario per mantenere al sicuro il tuo sito, prova a dare un’occhiata ai nostri pacchetti in abbonamento, troverai la soluzione adatta al tuo business!
