Статистика подтверждает рост числа уязвимостей WordPress

0 1

Статистика подтверждает рост числа уязвимостей WordPress

Исследователи безопасности WordPress из Patchstack опубликовали свой ежегодный отчет «Состояние безопасности WordPress» («State of WordPress Security»), в котором отмечено увеличение количества уязвимостей высокой и критической серьезности.

Содержание

  1. XSS — главная уязвимость WordPress 2023 года
  2. Рост уязвимостей с высоким или критическим рейтингом
  3. Уязвимости, не требующие аутентификации
  4. Резкий рост числа заброшенных плагинов как фактор риска
  5. Самые популярные плагины с уязвимостями
  6. Состояние безопасности WordPress ухудшается

XSS — главная уязвимость WordPress 2023 года

Существует много видов уязвимостей, но наиболее распространенными на сегодняшний день являются уязвимости межсайтового скриптинга (XSS), на которые приходится 53,3% всех новых уязвимостей безопасности WordPress.

XSS-уязвимости обычно возникают из-за недостаточной санитизации (очистки) пользовательских данных, которая включает в себя блокировку любого нежелательного или неожиданного ввода. Patchstack сообщил, что на Freemius, стороннюю платформу электронной коммерции, приходится более 1200 всех XSS-уязвимостей, что составляет 21% от всех новых XSS-уязвимостей, обнаруженных в 2023 году.

Freemius SDK — компонент многочисленных плагинов, которые, в свою очередь, установлены на более чем 7 миллионах сайтов WordPress. Это сигнализирует о проблемах с цепочками поставок, когда компонент используется как часть плагина WordPress, что впоследствии только увеличивает масштаб уязвимостей, выводя их за пределы одного плагина.

В отчете Patchstack содержится пояснение:

«В этом году мы стали свидетелями того, как единственная XSS-уязвимость в платформе Freemius привела к серьезной проблеме: 1248 плагинов унаследовали эту уязвимость безопасности, и их пользователи оказались подвержены рискам.

21% всех новых уязвимостей, обнаруженных в 2023 году, связаны с этой угрозой. Разработчикам крайне важно тщательно отбирать свой стек и оперативно устанавливать обновления безопасности, когда они становятся доступными».

Рост уязвимостей с высоким или критическим рейтингом

Уязвимостям присваивается уровень серьезности, который соответствует тому, насколько опасным является обнаруженный недостаток. Уровни разные: низкий, средний, высокий и критический.

В 2022 году только 13% новых уязвимостей были помечены как уязвимости высокого или критического уровня. В 2023 году этот процент резко возрос до 42,9%, а это означает, что в 2023 году было больше опасных уязвимостей.

Уязвимости, не требующие аутентификации

Еще один показатель, который имеется в отчете, — это процент уязвимостей, не требующих аутентификации, что означает, что злоумышленнику не требуется какой-либо уровень пользовательских разрешений для выполнения атаки.

Угрозы, требующие от злоумышленника наличия прав доступа (от уровня подписчика до уровня администратора), гораздо сложнее в эксплуатации.

Уязвимости, не требующие аутентификации, более опасны, поскольку их можно применять в автоматизированных атаках, например, с помощью ботов, которые проверяют сайт на наличие уязвимости, а затем автоматически запускают атаки.

Patchstack обнаружил, что 58,9% всех новых уязвимостей осуществляются без какой-либо аутентификации.

Резкий рост числа заброшенных плагинов как фактор риска

Еще одной существенной причиной роста уязвимостей является большое количество заброшенных плагинов. В 2022 году Patchstack обнаружил на WordPress.org 147 заброшенных плагинов и тем; из них 87 были удалены, остальные скорректированы.

В 2023 году количество заброшенных плагинов и тем резко возросло со 147 в 2022 году до 827 в 2023 году. Если в 2022 году было удалено 87 уязвимых заброшенных плагинов, то в 2023 году — уже 481.

Patchstack пишет об этом:

«Мы разом сообщили о 404 подобных плагинах, чтобы привлечь внимание к «пандемии зомби-плагинов» в WordPress. Такие зомби-плагины представляют собой решения, которые на первый взгляд кажутся безопасными и современными, но могут иметь неисправленные дыры. Более того, такие плагины могут оставаться активными на пользовательских сайтах, даже если они удалены из репозитория плагинов WordPress».

Самые популярные плагины с уязвимостями

Как упоминалось ранее, уровень серьезности уязвимости варьируется от низкого до критического. Patchstack составил список самых популярных плагинов с уязвимостями. В 2022 году было 11 уязвимых плагинов с более чем миллионом активных установок. В 2023 году Patchstack снизил планку числа установок с миллиона до 100 000. Тем не менее, несмотря на то, что попасть в список стало проще, было выявлено только 9 популярных плагинов с уязвимостями, что меньше, чем в 2022 году. В 2022 году только 5 из 11 самых популярных плагинов с уязвимостями содержали уязвимость высокой степени серьезности, ни один не содержал уязвимостей критического уровня; остальные же имели среднюю степень серьезности.

В 2023 году все ухудшилось. Несмотря на снижение порога того, какой плагин считать популярным, все 9 плагинов в списке содержали уязвимости критического уровня. Подавляющее большинство плагинов в этом списке, 6 из 9, содержали уязвимости, не требующие аутентификации, а это означает, что их эксплуатацию легко масштабировать с помощью автоматизации. Оставшимся трем, требующим аутентификации, нужен был только доступ на уровне подписчика, который является самым простым уровнем разрешений: для этого достаточно просто зарегистрироваться и подтвердить адрес электронной почты. Это тоже можно масштабировать с помощью автоматизации.

Список самых популярных плагинов с уязвимостями:

  1. Essential Addons for Elementor — более 1 млн установок (рейтинг опасности 9.8)
  2. WP Fastest Cache — более 1 млн установок (рейтинг опасности 9.3)
  3. Gravity Forms — 940k установок (рейтинг опасности 8.3)
  4. Fusion Builder — 900k  установок (рейтинг опасности 8.5)
  5. Flatsome (тема) — 618k установок (рейтинг опасности 8.3)
  6. WP Statistics — 600k установок (рейтинг опасности 9.9)
  7. Forminator — 400k установок (рейтинг опасности 9.8)
  8. WPvivid Backup and Migration — 300k установок (рейтинг опасности 8.8)
  9. JetElements For Elementor — 300k установок (рейтинг опасности 8.2)

Состояние безопасности WordPress ухудшается

Если вам кажется, что в последнее время уязвимостей стало больше, чем когда-либо прежде – вам не кажется. Статистика говорит сама за себя. В 2023 году выросло число уязвимостей высокого и критического уровня, доступных для эксплуатации с помощью автоматизации в промышленных масштабах. Это означает, что владельцам сайтов необходимо больше беспокоиться о безопасности, выполнять регулярный аудит установленных плагинов и тем.

SEO-специалистам следует обратить на это внимание, поскольку безопасность быстро превращается в проблемы ранжирования: Google удаляет взломанные сайты из результатов поиска. Многие оптимизаторы, выполняющие аудит сайта, не делают даже самых простых проверок безопасности.

Всегда обсуждайте с клиентами вопросы их безопасности, чтобы убедиться, что они осведомлены о рисках.

Отчет Patchstack доступен по ссылке.

Источник: https://www.searchenginejournal.com/

Источник: oddstyle.ru

Оставьте ответ