WordPress Güvenlik ve Tehdit İstihbaratında Lider olan PatchStack, WordPress Security'nin 2021'de durumunu sunmak için bir beyaz tabaka yayınladı ve rapor bir dire resmi boyuyor.
Daha spesifik olarak, 2021, rapor edilen güvenlik açıklarında bir önceki yıla göre% 150'lik bir büyüme gördü, WordPress eklentilerindeki kritik kusurların% 29'u hiçbir zaman güvenlik güncelleştirmesi almadı.
Bu, WordPress'in dünyanın en popüler içerik yönetim sistemi olduğunu göz önünde bulundurarak endişe vericidir, tüm web sitelerinin% 43.2'sinde kullanılmıştır.
2021'de bildirilen tüm kusurların, yalnızca% 0.58'inde WordPress Core'daydı, dinlenme platformu için temalarda ve eklentilerde, çeşitli kaynaklardan ve farklı geliştiricilerden geliyordu.
Özellikle, bu kusurların% 91,38'i serbest eklentilerde bulunur, oysa ücretli / premium WordPress eklentileri yalnızca toplamın% 8,62'sini oluşturur, daha iyi kod veteriner ve test prosedürlerini yansıtır.
2021'de PatchStack, 55 WordPress temalarını etkileyen beş kritik ciddiyet güvenlik açıkını saydı, dosya yükleme özelliklerinin kötüye kullanılmasıyla ilgili en etkilenen.
Eklentiler tarafında, ikisi dört milyon web sitesini etkileyen 35 kritik güvenlik açıklaması bildirildi.
Geçen yıl Bleeping Computer tarafından kapsanan iki önemli örnek, 1 milyon sitesi ve "hepsi bir arada" SEO eklentisi olan "Optinmonster" eklentisidir.
Geliştiriciler bu güvenlik açığını güvenlik güncelleştirmeleri yoluyla çözerken, dokuz eklenti hiç yama almadı. Bu nedenle, ciddi sorunları ele almamak için eklenti pazarlarından kaldırıldı.
Özellikle, bu alt küme de ağırlıklı olarak kimliği doğrulanmamış dosya yükleme sorunları tarafından muzdarip, ardından SQL enjeksiyon ve ayrıcalık artış böcekleri ile acı çekti.
PatchAstack, siteden oluşan komut dosyalama (XSS), 2021'de en çok bildirilen WordPress kusurları türü ile listeyi tamamladığını, ardından "karıştırılmış", site talep etmesi, SQL enjeksiyonu ve keyfi dosya yüklemesi olduğunu bildirdi.
Bildirilen kusurların ciddiyeti açısından,% 3.41 oranında kritik,% 17,94'ü son derece önemli olarak sınıflandırıldı ve% 76,76'sı, öncelikle sömürü koşullarının varlığından dolayı orta sınıf olarak sınıflandırıldı.
WordPress sitelerinin yaklaşık% 42'si, ortalama olarak 1821'de, 2021'de en az bir savunmasız bileşene sahipti. Bu numara, 2020'deki sitelerde yüklü olan 23 eklentilerden daha düşük olsa da, sorunun 18 kişiden altıdan dolayı uzak durur.
2021'deki en hedeflenen eski eklentiler Optinmonster, yayınlama yetenekleri, WooCommerce eklentisi için güçlendirici ve görüntü Hover efekti nihai eklentidir.
Özet olarak, PatchStack'ın raporu, WordPress sitesi yöneticilerinin, ücretsiz teklifler yerine ücretli eklentileri kullanarak, yüklü eklentilerin sayısını minimumda tutarak ve en kısa sürede en güncel sürümüne yükselterek çoğu güvenlik riskini yönetebileceğini vurgulayabilir.
WordPress Force, 3 Milyon Sitede UpdraftPlus Yamasını Yükler
Kritik eklenti RCE güvenlik açığından etkilenen 600K WordPress siteleri
90'dan fazla WordPress temaları, Tedarik zinciri saldırısında eklentiler backdoored
WordPress eklentisi kusurları 20.000 site kullanıcıları phishing riskine koyar
Android Mart 2022 Güvenlik Güncellemeleri Üç kritik hatayı düzelt
Kaynak: Bleeping Computer