Официальный документ Patchstack: в экосистеме WordPress зафиксировано 150%-ное увеличение числа уязвимостей безопасности в 2021 году

Компания Patchstack опубликовала технический документ о состоянии безопасности WordPress с кратким изложением угроз экосистеме WordPress, зарегистрированных в 2021 году .  CVE из других источников.

В 2021 году Patchstack зафиксировал почти 1500 уязвимостей, что на 150% больше, чем в 2020 году, когда было зарегистрировано около 600 уязвимостей. Patchstack обнаружил, что большинство из них находятся в каталоге WordPress.org:

Репозиторий WordPress.org лидирует в качестве основного источника плагинов и тем WordPress. Уязвимости в этих компонентах составляют 91,79% уязвимостей, добавленных в базу данных Patchstack.

Остальные 8,21% уязвимостей, о которых сообщалось в 2021 году, были зарегистрированы в премиальных или платных версиях плагинов или тем WordPress, которые продаются на других торговых площадках, таких как Envato, ThemeForest, Code Canyon, или доступны только для прямой загрузки.

Ядро WordPress выпустило четыре выпуска безопасности, и только один из них содержал исправление для критической уязвимости. Эта конкретная уязвимость была не в самом WordPress, а в одной из его библиотек с открытым исходным кодом, библиотеке PHPMailer.

По оценкам Patchstack, 99,31% всех ошибок безопасности с 2021 года были в компонентах — плагинах и темах WordPress. В темах было больше всего критических уязвимостей: в этом году их было 55. Patchstack обнаружил, что 12,4% уязвимостей, о которых сообщалось в темах, имели критическую оценку CVSS от 9,0 до 10,0. Наиболее распространены уязвимости, связанные с произвольной загрузкой файлов.

Плагины имели в общей сложности 35 критических проблем с безопасностью. Это меньше уязвимостей по сравнению с темами, но 29% из них не получили общедоступного патча.

«Самое удивительное открытие было также и самой печальной правдой», — сказал адвокат Patchstack Security Роберт Роули. «Я не ожидал, что столько плагинов с критическими уязвимостями не получат патчи.

«Некоторые из этих уязвимостей не требовали аутентификации для выполнения и имеют общедоступные доказательства концепции (код эксплойта), широко доступные в Интернете. Вероятно, уже слишком поздно для владельцев сайтов, которые не получили уведомления о том, что их сайты уязвимы».

Компания Patchstack опросила 109 владельцев сайтов WordPress и обнаружила, что 28% респондентов не имеют средств на безопасность, 27% — 1-3 доллара в месяц и только 7% — около 50 долларов в месяц. Агентства чаще выделяли ежемесячные расходы на безопасность, чем отдельные владельцы сайтов.

И наоборот, результаты тех же респондентов показали, что средняя стоимость удаления вредоносных программ составляет 613 долларов. Сообщаемые цены на очистку после компрометации варьировались от 50 до 4800 долларов.

Роули считает значительное увеличение числа уязвимостей в системе безопасности, обнаруженных в 2021 году, свидетельством более активного участия специалистов по безопасности, а не признаком того, что экосистема WordPress становится менее безопасной.

«Скорее всего, это связано с тем, что сообщается о большем количестве ошибок безопасности (обнаруживается более уязвимый код, потому что больше людей его ищут)», — сказал Роули. «Patchstack запускает программу вознаграждения за ошибки, которая платит исследователям безопасности за ошибки, которые они сообщают в экосистеме WordPress, что стимулирует исследователей безопасности (и даже разработчиков, знакомых с WordPress) искать больше ошибок безопасности».

В целом результаты Patchstack за этот год показывают, что ядро ​​WordPress очень безопасно, а подавляющее большинство уязвимостей находится в темах и плагинах. Пользователи должны следить за своими расширениями и периодически проверять, не заброшены ли они, поскольку не все уязвимые программы гарантированно будут исправлены. Ознакомьтесь с полным техническим документом по безопасности , чтобы узнать больше о типах уязвимостей, наиболее часто встречающихся в 2021 году.