Mobilné Správy, Gadgety, Blogy's Secenziami

WordPress: 150 % nárast zistených zraniteľností v roku 2021

Patchstack, spoločnosť špecializujúca sa na kybernetickú bezpečnosť, predstavila svoju novú bielu knihu Stav bezpečnosti WordPress v roku 2021. Analyzuje hrozby pre ekosystém WordPress, najmä pre doplnky a témy CMS, ktoré používa 43,2 % webových stránok v roku 2021 (oproti 39,5 % v roku 2020). Správa je založená na údajoch z databázy zraniteľností Patchstack Alliance, ktorá zodpovedá programu bug bounty editora, ako aj na verejných správach. Celkovo editor analyzoval 50 000 stránok a skontroloval bezpečnosť nainštalovaných pluginov a tém.

Hlavné údaje na zapamätanie:

1 V roku 2021 bolo objavených 500 nových zraniteľností v pluginoch, témach a jadre WordPress (oproti 600 v roku 2020), čo predstavuje nárast o 150 % za jeden rok. 91,79 % z nich pochádzalo z oficiálneho úložiska doplnkov a tém na WordPress.org, zvyšok bol nahlásený v prémiových verziách alebo ponúkaný na iných stránkach na sťahovanie (Envato, ThemeForest, Code Canyon…). 99,42 % z celkového počtu zistených zraniteľností pochádzalo z tém a doplnkov WordPress (oproti 96,22 % v roku 2020). 92,81 % sa týkalo predĺžení a 60,61 % tém. 91,38 % doplnkov identifikovaných ako zraniteľné boli bezplatné rozšírenia. Blízko zraniteľnosti zapnuté 2 (49,82 %) malo charakter XSS (Cross-site Scripting). 42 % webov WordPress nainštalovalo za posledný rok aspoň jeden zraniteľný komponent (tému alebo doplnok).

V roku 2021 sme videli 6 zastaraných 18 komponentov na jednej WordPress stránke. S každým ďalším pluginom nainštalovaným na webe sa zvyšuje riziko vystavenia potenciálnej zraniteľnosti. Webové stránky, ktoré zaostávajú s aktualizáciami, zvyšujú riziko ešte viac.

Patchstack tiež špecifikuje, že zraniteľnosti, ktoré sa ľahko inštalujú, sú hlavnými cieľmi útočníkov, rovnako ako staré chyby, ktoré už boli odhalené, dokonca aj niekoľko rokov.

Dá sa to vysvetliť používaním hackerských nástrojov dostupných online. Tieto nástroje sú vopred naprogramované tak, aby sa pokúsili o všetky populárne exploity a zraniteľnosti voči cieľu a jediné, čo musí útočník urobiť, je vybrať cieľovú webovú stránku (alebo zoznam cieľov).

35 kritických zraniteľností identifikovaných v doplnkoch WordPress

Medzi 35 kritickými chybami zabezpečenia nahlásenými v doplnkoch WordPress v roku 2021 sú dve populárne rozšírenia, ktoré boli stiahnuté viac ako miliónkrát, a to:

Všetko v jednom SEO (verzia 4.1.5.2) : viac 3 miliónov stiahnutí
Najrýchlejšia vyrovnávacia pamäť WP (verzia 0.0.4) : viac ako milión stiahnutí

Ak tieto dva doplnky dostali bezpečnostnú opravu na opravu chyby, neplatí to pre 29 % rozšírení WordPress, spomedzi tých, ktoré predstavovali kritické zraniteľnosti identifikované minulý rok.

V prípadoch, keď nie je k dispozícii žiadna oprava, musia používatelia manuálne skontrolovať, či tieto doplnky nainštalovali, a odstrániť ich alebo nájsť alternatívy. Neexistuje žiadny spôsob, ako tento problém oznámiť priamo vlastníkom webových stránok s týmito zásuvnými modulmi, pretože ak sú nainštalované, na stránkach správcu WordPress sa budú zobrazovať ako „aktuálne“.

55 tém je ovplyvnených kritickými zraniteľnosťami

Podľa bielej knihy malo minulý rok 55 tém bezpečnostné problémy súvisiace s funkciami nahrávania súborov. Patchstack ich zoradil na základe skóre CVSS (Common Vulnerability Scoring System), ktoré má formu skóre z 10. Zodpovedá štandardizovanému hodnoteniu kritickosti zraniteľností, ktoré je založené na objektívnych a merateľných kritériách.

CVSS 10/10: 10 tém týkajúcich sa sťahovania ľubovoľných neidentifikovaných súborov s možnosťou vymazania.
CVSS 9.8/10: 1 téma ovplyvnená neidentifikovaným stiahnutím, ktoré vedie k zraniteľnosti pri spustení kódu na diaľku, a 1 ďalšia téma identifikovaná s neoverenou zraniteľnosťou SQL injection (Blind SQLi).
CVSS 8.8/10: 42 tém obetí zraniteľnosti pri sťahovaní ľubovoľného súboru a 1 ďalšie ovplyvnené neoverenou zraniteľnosťou XSS (Cross-Site Scripting).

Rok 2021 ukázal pokračujúci trend kritických zraniteľností v témach súvisiacich s funkciami nahrávania súborov, ktoré poskytuje téma WordPress. Toto nie je nový trend, ale opakujúci sa problém s témami, ktoré zvyčajne obsahujú vlastný kód pre funkciu nahrávania súborov.

Okrem kontroly tém, ktoré používate, a sťahovania bezpečnostných aktualizácií, Patchstack odporúča, aby vlastníci a vývojári stránok WordPress „zakázali spúšťanie súborov PHP v adresároch na nahrávanie súborov (…) prostredníctvom súboru Apache .htaccess, pravidiel Nginx alebo dokonca pravidla brány firewall WAF. “. Môžete tiež zablokovať prístup na adresy URL končiace na „.php“ a obsahujúce zmienku „nahrať“. “Je to relatívne spoľahlivá ochrana na implementáciu, pretože sťahovanie webových stránok má byť médiá, ako sú obrázky, videá alebo súbory PDF, ale nie kód PHP,” povedal.

Nedostatočné povedomie a rozpočet pre bezpečnosť stránok WordPress

Z prieskumu uskutočneného spoločnosťou Patchstack na konci roka 2021 medzi nezávislými vývojármi (27 %), vlastníkmi stránok (13 %) a agentúrami (43 %), 53 % respondentov uviedlo, že aktualizujú svoje komponenty WordPress (pluginy, témy a jadro). raz týždenne, 20 % denne a 18 % mesačne. Zvyšní respondenti povolili iba automatické aktualizácie alebo nemajú žiadne informácie o bezpečnosti svojej stránky. Väčšina z nich rieši bezpečnostné problémy sama, spolieha sa na svojho poskytovateľa hostingu alebo tím podpory doplnku, ktorého sa zraniteľnosť týka.

Čo sa týka rozpočtu vyčleneného na bezpečnosť WordPress stránok, 28 % respondentov ho nemá a 27 % míňa medzi 1 a 3 dolárov za mesiac. Pre 7 % z nich, rozpočet je 50 USD na stránku za mesiac. Prieskum tiež odhaľuje, že priemerné náklady na odstránenie škodlivého softvéru boli v roku 2021 613 USD s rozsahom od 50 USD do 4 800 dolárov.

patchestack-budget-security-site-wordpressInventarizácia rozpočtu vynaloženého na bezpečnosť WordPress stránok podľa typológie respondentov. © Patchstack