Patchstack, инструмент для обслуживания и управления безопасностью WordPress, опубликовал технический документ « Состояние безопасности WordPress » на 2022 год, в котором отслеживаются несколько ключевых показателей общедоступных уязвимостей.
Полученные данные подчеркивают риск использования неподдерживаемых тем и плагинов, а также необходимость разработчиков не отставать от обновлений библиотек и зависимостей, включенных в их работу. Patchstack отслеживает значительное увеличение числа уязвимостей, о которых сообщалось в 2022 году:
В 2022 году мы обнаружили на 328% больше сообщений об ошибках безопасности в плагинах WordPress — мы добавили в нашу базу данных 4528 подтвержденных ошибок безопасности по сравнению с 1382 в 2021 году .
Как и в предыдущие годы, большинство этих ошибок безопасности было обнаружено в плагинах (93%), за ними следуют темы (6,7%) и ядро WordPress (0,6%).
Эти цифры были получены из общедоступных данных от Patchstack и других компаний, занимающихся безопасностью, и исследователей экосистемы WordPress. Общее количество уязвимостей исходит от трех официальных CNA в пространстве WordPress, которые уполномочены назначать идентификаторы CVE новым уязвимостям безопасности и которым исследователи сообщают о проблемах. К ним относятся Patchstack, Automattic (WPscan) и WordFence. Генеральный директор Patchstack Оливер Силд сказал, что некоторые из уязвимостей также были независимо опубликованы в другом месте или сообщались непосредственно в MITRE.
В отчете подчеркивается, что увеличение числа зарегистрированных уязвимостей означает, что экосистема становится более безопасной в результате обнаружения и исправления большего количества проблем безопасности.
Еще одно небольшое улучшение по сравнению с прошлым годом — это процент критических ошибок безопасности, которые так и не были исправлены. В 2022 году это число составляло 26% по сравнению с 29% в 2021 году. Критические уязвимости были лучше устранены в этом году, но Силд сказал, что пока это не значительное изменение, которое они пока связывают с какой-либо тенденцией.
«Мы по-прежнему считаем, что это указывает на большую проблему, заключающуюся в том, что некоторые плагины не поддерживаются или заброшены и не получают своевременных исправлений», — сказал он.
Решение проблемы отказа разработчиков от своей работы является сложной задачей, и многие пользователи понятия не имеют, как выбрать плагины, которые с большей вероятностью будут поддерживаться.
«Я думаю, важно быть прозрачным, — сказал Силд. «Это также нормально, что проекты заканчиваются. Недавно я сказал своему коллеге, что «когда кто-то создает новый плагин, он должен помнить, что кто-то может его использовать». Это как бы застряло во мне, потому что даже если разработчик плагина ушел и больше не работает над проектом, все еще могут быть люди, которые полагаются на него».
Силд сказал, что пользователи часто остаются в неведении, потому что ядро WordPress показывает только, доступно ли обновление. Если WordPress.org закрывает плагин из-за неисправленной проблемы с безопасностью, пользователи не получают уведомления.
«Это то, что мы пытаемся улучшить вместе с нашими партнерами, такими как другие плагины безопасности и хостинговые компании», — сказал он. «Общение является ключевым. Недавно мы также создали бесплатную услугу для разработчиков плагинов под названием «программа обнаружения управляемых уязвимостей», сокращенно mVDP. Цель состоит в том, чтобы помочь разработчикам плагинов внедрить более зрелые методы обеспечения безопасности и показать пользователям, что они серьезно относятся к безопасности».
Другие важные сведения из технического описания включают разбивку ошибок безопасности WordPress по степени серьезности. В 2022 году большинство уязвимостей (84%) относились к категории средней серьезности, меньший процент — к высокой степени серьезности (11%) и критической (2%).
Из самых популярных плагинов (более 1 миллиона установок), у которых были проблемы с безопасностью, только пять содержали серьезные ошибки. Двумя уязвимостями с наибольшим количеством баллов CVSS были Elementor и Essential Add-ons для Elementor, за которыми следуют UpdraftPlus WordPress Backup, One Click Demo Import и MonsterInsights.
В техническом документе освещаются несколько других тенденций, в том числе хостинговые компании, предупреждающие своих клиентов об уязвимостях, рост сообщества исследователей безопасности и повышение осведомленности о безопасности в экосистеме WordPress. Для получения более подробной информации о состоянии безопасности WordPress в 2022 году и прогнозах на этот год ознакомьтесь с официальным документом на веб-сайте Patchstack.
