Почти 30% критических ошибок плагинов WordPress не исправляются
Почти 30% критических ошибок плагинов WordPress не исправляются. Фото: Pixabay
В частности, в 2021 году количество зарегистрированных уязвимостей увеличилось на 150% по сравнению с предыдущим годом, а 29% критических ошибок в плагинах WordPress никогда не получали обновления безопасности.
Это вызывает тревогу, учитывая, что WordPress — самая популярная в мире система управления контентом, используемая на 43,2% всех веб-сайтов, пишет Bleeping Computer.
Из всех ошибок, о которых сообщалось в 2021 году, только 0,58% были связаны с ядром WordPress, а остальные — с темами и плагинами для платформы, полученными из разных источников и от разных разработчиков.
Примечательно, что 91,38% этих недостатков обнаружены в бесплатных плагинах, тогда как на платные/премиум-надстройки WordPress приходится только 8,62% от общего числа, что говорит о качественных процедурах проверки и тестирования кода.
В 2021 году в Patchstack насчитали пять критических уязвимостей, затрагивающих 55 тем WordPress, причем наиболее серьезная из них связана со злоупотреблением функциями загрузки файлов.
Что касается плагинов, было сообщено о 35 критических уязвимостях, две из которых затронули четыре миллиона веб-сайтов.
В прошлом году Bleeping Computer осветил два примечательных примера: плагин OptinMonster , который затронул 1 млн сайтов, и SEO-плагин All in One, который подверг атакам захвата 3 млн веб-сайтов.
Хотя разработчики исправили эти уязвимости с помощью обновлений безопасности, девять плагинов так и не получили исправлений. Поэтому они были удалены с торговых площадок плагинов за то, что не решили серьезные проблемы.
Примечательно, что это подмножество также страдало преимущественно от проблем с загрузкой файлов без проверки подлинности, за которыми следовали ошибки внедрения SQL и повышения привилегий.
PatchStack сообщает , что межсайтовые сценарии (XSS) возглавили список наиболее часто встречающихся недостатков WordPress в 2021 году, за ними следуют «смешанные», подделка межсайтовых запросов, внедрение SQL и произвольная загрузка файлов.
По степени серьезности выявленных дефектов 3,41 % были критическими, 17,94 % отнесены к категории особо важных, 76,76 % - к средним, в первую очередь в связи с наличием условий эксплуатации.
В 2021 году около 42% сайтов WordPress имели хотя бы один уязвимый компонент из 18 установленных в среднем. Хотя это число меньше, чем 23 плагина, установленных на сайтах в 2020 году, проблема остается из-за того, что шесть из 18 устарели.
Наиболее уязвимыми устаревшими плагинами в 2021 году были OptinMonster, PublishPress Capabilities, плагин Booster for WooCommerce и плагин Image Hover Effects Ultimate.
Таким образом, в отчете Patchstack подчеркивается, что администраторы сайтов WordPress могут управлять большинством угроз безопасности, используя платные плагины вместо бесплатных предложений, сводя к минимуму количество установленных надстроек и обновляя их до последней доступной версии как можно скорее.
Startpack подготовил список конструкторов сайтов — инструментов, которые помогут создать сайт, портал или простую интернет-страницу из готовых элементов самостоятельно. Создание сайтов с помощью собранных нами конструкторов преимущественно не требует знания программирования. Тем, кто владеет HTML, пригодятся соответствующие редакторы. Конструкторы представляют собой веб-сервисы. Редакторы выполнены в виде приложений. Инструменты работают во всех операционных системах. Решения предоставляют полный комплекс услуг, связанных с регистрацией домена.
Статьи по теме
Комментариев пока не было