Wordfence и WPScan публикуют полугодовой отчет о безопасности WordPress

WPScan находится на пути к тому, чтобы опубликовать рекордный год для уязвимостей плагинов WordPress, представленных в его базе данных, согласно совместному полугодовому отчету о безопасности, опубликованному компанией с Wordfence. В первой половине 2021 года WPScan зафиксировал 602 новые уязвимости, что быстро превысило 514, зарегистрированных за весь 2020 год.

Отчет основан на данных об атаках с платформы Wordfence и данных из базы данных уязвимостей WPScan, что дает более полную картину текущего состояния безопасности WordPress, чем могла бы представить любая компания в одиночку.

Одна из тенденций, отмеченных в отчете, – рост числа атак на пароли. Wordfence заблокировал более 86 миллиардов попыток взлома паролей в первой половине 2021 года. Злоумышленники используют различные методы для получения доступа к сайтам WordPress, включая тестирование сайтов на соответствие спискам взломанных паролей, словарные атаки и более ресурсоемкие атаки методом грубой силы.

Wordfence обнаружил, что основной целью атаки паролей для 40,4% попыток является стандартный вход в систему, за которым следует XML-RPC (37,7%). Поскольку количество таких атак, похоже, увеличивается, в отчете рекомендуется, чтобы владельцы сайтов использовали двухфакторную аутентификацию для всех доступных учетных записей, использовали надежные безопасные пароли, уникальные для каждой учетной записи, отключили XML-RPC, когда он не используется, и установили защиту от грубой силы.

Данные брандмауэра веб-приложений Wordfence показывают более 4 миллиардов заблокированных запросов из-за использования уязвимостей и заблокированных IP-адресов. Отчет включает разбивку процента запросов, заблокированных брандмауэром для каждого правила брандмауэра. На обход каталогов приходится 27,1% запросов. Это когда злоумышленник пытается получить доступ к файлам без авторизации и выполнить такое действие, как, например, чтение или удаление файла /wp-config.php сайта. Эта разбивка также подчеркивает тот факт, что некоторые старые уязвимости по-прежнему часто становятся объектами атак злоумышленников.

Подавляющее большинство уязвимостей, о которых вы слышите в экосистеме WordPress, связаны с плагинами, причем темы составляют гораздо меньшую часть. В отчете отмечается, что только три из 602 уязвимостей, каталогизированных WPScan в первой половине этого года, были обнаружены в ядре WordPress.

Анализируя уязвимости по типам, WPScan обнаружил, что на уязвимости межсайтового скриптинга (XSS) приходится более половины всех (52%), за ними следует подделка межсайтовых запросов (CSRF) с 16%, SQL-инъекция (13%). , Проблемы с контролем доступа (12%) и Проблемы с загрузкой файлов (7%). Используя оценки Common Vulnerability Scoring System (CVSS), WPScan обнаружил, что 17% обнаруженных уязвимостей были критическими, 31% – высокими и 50% – средней степенью серьезности.

И Wordfence, и WPScan утверждают, что большее количество уязвимостей, обнаруженных в этом году, свидетельствует о росте экосистемы WordPress и растущем здоровом интересе к безопасности. Темы и плагины со временем не становятся более небезопасными, но, скорее, появляется больше людей, заинтересованных в обнаружении уязвимостей и сообщении о них.

«Прежде всего, мы не видим много новых уязвимостей в плагинах и темах, а, скорее, мы наблюдаем / исправляем множество старых уязвимостей в старых плагинах и темах, которые просто не были обнаружены до сих пор», – Wordfence Заявила аналитик угроз Хлоя Чемберленд.

«Уязвимости появляются не так часто, и обнаруживается больше уязвимостей просто из-за более высокой активности исследователей, что, в свою очередь, положительно влияет на безопасность экосистемы WordPress. Учитывая, что часто обнаруживаются не новые уязвимости, я с уверенностью могу сказать, что увеличение числа открытий не означает, что экосистема вообще становится менее защищенной, а, скорее, становится более безопасной ».

Чемберленд также сказала, что, по ее мнению, существует эффект домино, когда продавцы раскрывают уязвимости, и они извлекают уроки из своих несчастных случаев, что побуждает их разрабатывать более безопасные продукты в будущем.

«Судя по опыту, поскольку я трачу много времени на поиск уязвимостей в плагинах WordPress, с моей точки зрения, все определенно становится более безопасным», – сказала она. «Сегодня я часто нахожу проверки возможностей и одноразовых номеров во всех нужных местах, наряду с надлежащими мерами проверки загрузки файлов и прочими полезными вещами. Стало труднее находить легко эксплуатируемые уязвимости в плагинах и темах, которые активно поддерживаются, и это здорово! »

Полугодовой отчет доступен в формате PDF, который можно бесплатно загрузить с веб-сайта WPScan. Основатель и генеральный директор WPScan Райан Дьюхерст сказал, что ожидает выхода отчета за 2021 год. Он еще не обсуждал его с Wordfence, но компании обсуждают другие способы сотрудничества.