Difese di Hosting Comuni Inefficaci Contro le Minacce a WordPress

# Difese di Hosting Comuni Inefficaci Contro le Minacce di WordPress

Recentemente, Patchstack ha pubblicato uno studio di caso che ha analizzato come Cloudflare e altre soluzioni generali di firewall e malware proteggano i siti web WordPress dalle comuni vulnerabilità e vettori di attacco. La ricerca ha mostrato che, mentre le soluzioni generali fermano minacce come SQL injection o cross-site scripting, una soluzione di sicurezza specifica per WordPress ha costantemente bloccato exploit mirati a WordPress con una percentuale significativamente più alta.

## Vulnerabilità di WordPress

Data la popolarità della piattaforma WordPress, plugin e temi rappresentano un obiettivo comune per gli hacker. Le vulnerabilità possono essere rapidamente sfruttate una volta che il codice prova di concetto è reso pubblico, lasciando ai proprietari dei siti poco tempo per reagire. È quindi fondamentale essere consapevoli della sicurezza fornita da un provider di hosting e della reale efficacia delle sue soluzioni nell’ambiente WordPress.

## Metodologia

Patchstack ha spiegato la propria metodologia:

> “Come baseline, abbiamo deciso di ospitare siti ‘honeypot’ (siti contro i quali eseguiremo test di penetrazione controllati con un insieme di 11 vulnerabilità specifiche di WordPress) con 5 fornitori di hosting distinti, alcuni dei quali dispongono di funzionalità integrate presunte utili per bloccare vulnerabilità di WordPress e/o per la sicurezza generale.”

In aggiunta alle misure di sicurezza del fornitore di hosting e ai fornitori terzi per misure aggiuntive come WAF robusti o altri fornitori di patching, Patchstack è stato installato su ogni sito, ponendo la seguente domanda:

– Quanti di questi attacchi bypasseranno i firewall e altri fornitori di patching, arrivando infine a Patchstack?
– E Patchstack sarà in grado di bloccarli tutti con successo?

## Processo di Test

Ogni sito web è stato configurato allo stesso modo, con plugin, versioni e impostazioni identiche. Patchstack ha utilizzato un “toolkit di test di sfruttamento” per eseguire gli stessi test di exploit nella stessa sequenza su ogni sito. I risultati sono stati verificati automaticamente e manualmente per determinare se gli attacchi fossero stati fermati e se il blocco fosse avvenuto grazie alle difese dell’hosting o a Patchstack.

## Panoramica Generale: Fornitori di Hosting Contro Vulnerabilità

Il caso studio di Patchstack ha testato cinque configurazioni diverse di difese di sicurezza, più Patchstack:

1. Fornitore A + Cloudflare WAF
2. Fornitore B + Firewall + Monarx Server e Website Security
3. Fornitore C + Firewall + Imunify Web Server Security
4. Fornitore D + ConfigServer Firewall
5. Fornitore E + Firewall

I risultati dei test hanno mostrato che le varie difese dell’infrastruttura di hosting non sono riuscite a proteggere la maggior parte delle minacce specifiche di WordPress, fermando solo il 12.2% degli exploit. Patchstack ha bloccato il 100% di tutti gli exploit.

**Patchstack ha condiviso:**

> “2 dei 5 host e le loro soluzioni non sono riusciti a bloccare alcuna vulnerabilità a livello di rete e server.
> 1 host ha bloccato 1 vulnerabilità su 11.
> 1 host ha bloccato 2 vulnerabilità su 11.
> 1 host ha bloccato 4 vulnerabilità su 11.”

## Cloudflare e Altre Soluzioni Fallite

Soluzioni come Cloudflare WAF o servizi bundled come Monarx o Imunify non sono riusciti a gestire in modo efficace le vulnerabilità specifiche di WordPress.

Il WAF di Cloudflare ha fermato 4 su 11 exploit, Monarx non ha bloccato alcuno, e Imunify non ha prevenuto alcun exploit specifico di WordPress. Anche firewall come ConfigServer, ampiamente utilizzati negli ambienti di hosting condiviso, hanno fallito in tutti i test.

Questi risultati dimostrano che, mentre questi prodotti funzionano abbastanza bene contro tipi di attacco più generali, non sono ottimizzati per le problematiche di sicurezza specifiche legate ai plugin e ai temi di WordPress.

Patchstack è stato progettato specificamente per fermare le vulnerabilità dei plugin e dei temi di WordPress in tempo reale. Invece di fare affidamento su firme statiche o regole generiche, applica mitigazioni mirate attraverso patch virtuali non appena le vulnerabilità vengono divulgate, prima che gli aggressori possano agire.

## Riflessioni Finali

– Le difese di hosting standard falliscono contro il 87.8% delle vulnerabilità dei plugin di WordPress (tasso di bypass).
– Molti fornitori che affermano di fornire “patching virtuale” (come Monarx e Imunify) non hanno fermato exploit specifici di WordPress.
– I firewall generici e i WAF hanno bloccato alcuni attacchi generali (SQLi, XSS) ma non i difetti specifici di WordPress legati a plugin e temi.
– Patchstack ha costantemente bloccato vulnerabilità in tempo reale, colmando il divario lasciato dalle difese a livello di rete e server.
– L’ecosistema ricco di plugin di WordPress rappresenta un target particolarmente attraente per gli aggressori, rendendo essenziale una protezione efficace contro le vulnerabilità.

Lo studio di caso di Patchstack mostra che le difese tradizionali di hosting e le soluzioni generiche di “patching virtuale” lasciano i siti WordPress vulnerabili, con quasi l’88% degli attacchi che bypassano firewall e protezioni a livello di server. Sebbene fornitori come Cloudflare abbiano bloccato alcuni exploit generali, minacce specifiche ai plugin come l’escalation dei privilegi e i bypass di autenticazione sono riuscite a infiltrarsi.

Patchstack è stata l’unica soluzione in grado di bloccare costantemente questi attacchi in tempo reale, fornendo ai proprietari di siti un modo affidabile per proteggere i siti WordPress contro i tipi di vulnerabilità che sono più spesso mirati dagli aggressori.

> **Secondo Patchstack:**
> “Non fare affidamento su difese generiche per WordPress. Patchstack è progettato per rilevare e bloccare queste minacce in tempo reale, applicando regole di mitigazione prima che gli aggressori possano sfruttarle.”

Per ulteriori dettagli, puoi leggere i risultati dello studio di caso di Patchstack [qui](https://patchstack.com/articles/hosting-security-tested-87-percent-of-vulnerability-exploits-bypassed-hosting-defenses/).