Η Patchstack, που ασχολείται με το WordPress (ασφάλεια, απειλές κλπ), κυκλοφόρησε μια έκθεση για να παρουσιάσει την κατάσταση της ασφάλειας του WordPress το 2021. Δυστυχώς, τα ευρήματα δεν είναι αισιόδοξα, αφού αποκαλύφθηκε ότι πολλές ευπάθειες σε WordPress plugins δεν είχαν λάβει διόρθωση.
Πιο συγκεκριμένα, το 2021 σημειώθηκε αύξηση 150% στις αναφερόμενες ευπάθειες σε σύγκριση με το προηγούμενο έτος. Το πιο ανησυχητικό, όμως, είναι ότι το 29% των κρίσιμων σφαλμάτων που εντοπίστηκαν σε WordPress plugins, δεν έλαβαν ποτέ ενημέρωση ασφαλείας.
Το WordPress είναι το πιο δημοφιλές σύστημα διαχείρισης περιεχομένου στον κόσμο. Χρησιμοποιείται στο 43,2% όλων των sites εκεί έξω. Επομένως, μπορεί να αντιληφθεί κανείς τη σοβαρότητα της κατάστασης.
Δείτε επίσης: Βρέθηκε ευπάθεια σε WordPress plugin με πάνω από 3 εκατ. installations
Από όλα τα σφάλματα που αναφέρθηκαν το 2021, μόνο το 0,58% ήταν στον πυρήνα του WordPress. Τα υπόλοιπα αφορούσαν themes και plugins για την πλατφόρμα.
Συγκεκριμένα, το 91,38% αυτών των σφαλμάτων εντοπίζεται σε δωρεάν plugins, ενώ τα σφάλματα στα WordPress plugins επί πληρωμή/premium αποτελούσαν μόνο το 8,62% του συνόλου. Αυτό σημαίνει ότι γίνονται καλύτερες διαδικασίες ελέγχου κώδικα και δοκιμών.
Κρίσιμα ζητήματα ασφαλείας
Το 2021, η Patchstack εντόπισε πέντε κρίσιμες ευπάθειες που επηρέασαν 55 WordPress themes. Τα πιο σημαντικά αφορούσαν στην κατάχρηση των δυνατοτήτων μεταφόρτωσης αρχείων.
Δείτε επίσης: Κρίσιμη ευπάθεια σε WοrdPress plugin επηρεάζει χιλιάδες sites
Όσον αφορά στα WordPress plugins, αναφέρθηκαν τουλάχιστον 35 κρίσιμα σφάλματα και δύο από αυτά επηρέασαν τέσσερα εκατομμύρια sites.
Δύο αξιοσημείωτα παραδείγματα είναι το plugin “OptinMonster” που επηρέασε 1 εκατομμύριο sites και το “All in One” SEO που έθεσε σε κίνδυνο 3 εκατομμύρια sites.
Ενώ οι developers διόρθωσαν αυτά τα σφάλματα κυκλοφορώντας ενημερώσεις ασφαλείας, υπήρξαν εννέα WordPress plugins που δεν έλαβαν ποτέ ενημέρωση. Ως εκ τούτου, αφαιρέθηκαν από τις αγορές plugins επειδή δεν αντιμετώπισαν τα σοβαρά ζητήματα ασφαλείας.
Σύμφωνα με την PatchStack, τα cross-site scripting (XSS) bugs ήταν ο τύπος σφάλματος που αναφέρθηκε περισσότερο το 2021.
Όσον αφορά στη σοβαρότητα των αναφερόμενων ελαττωμάτων, το 3,41% ήταν “κρίσιμο”, το 17,94% χαρακτηρίστηκε ως “εξαιρετικά σημαντικό” και το 76,76% χαρακτηρίστηκε ως “μέτριο”.
Δείτε επίσης: Έκρηξη στις επιθέσεις mobile malware – τι πρέπει να προσέξετε
Συνοπτικά, η αναφορά της Patchstack υπογραμμίζει ότι οι διαχειριστές WordPress sites μπορούν να αποφύγουν πολλούς κινδύνους χρησιμοποιώντας plugins επί πληρωμή αντί για δωρεάν προσφορές και αναβαθμίζοντας τα εγκατεστημένα plugins στην πιο πρόσφατη διαθέσιμη έκδοση.
Πηγή: Bleeping Computer