Количество связанных с WordPress уязвимостей выросло в 3 раза в 2018 году

Недавнее исследование показало, что уязвимости, связанные с WordPress, в 2018 году выросли на 200% по сравнению с предыдущим годом. Большинство ошибок были в плагинах, которые расширяют функциональность веб-сайтов WordPress.

WordPress - это самая популярная система управления контентом (CMS), на которой работают около 30% всех веб-сайтов в Интернете, за ней следуют Joomla и Drupal, которые отстают на безопасном расстоянии.

Рост популярности продукта также привлекает внимание киберпреступников, которые ищут ошибки безопасности, мотивированные большим количеством потенциальных жертв.

В 2018 году число уязвимостей, связанных с WordPress, составило 542, согласно отчету компании по кибербезопасности Imperva, которой поделились BleepingComputer.

Эта цифра почти в три раза больше, чем компания увидела в 2017 году, когда было зарегистрировано менее 200 уязвимостей, связанных с WordPress. Joomla и Drupal пострадали от менее, чем 150 ошибок.

Низкое количество глюков безопасности не обязательно указывает на более безопасную платформу; скорее, это говорит о том, что основное внимание злоумышленников сосредоточено на другой цели. Кроме того, даже если ошибок меньше, последствия могут быть ужасными, о чем свидетельствуют широко используемые уязвимости в Drupalgeddon в прошлом году.

Простая эксплуатация уязвимостей Drupalgeddon привела к потоку атак на непатентованные сайты. В своем отчете Imperva сообщает, что «обнаружила и заблокировала более полумиллиона атак, связанных с этими уязвимостями, в 2018 году».

Плагины являются слабым звеном

Почти все уязвимости, 98%, связаны с плагинами WordPress, которых на официальном сайте CMS более 50 000. Это означает, что только 2% были написаны в коде WordPress.

«Любой может создать плагин и опубликовать его - WordPress является открытым исходным кодом, им легко управлять, и нет принудительного или какого-либо надлежащего процесса, который требовал бы минимальных стандартов безопасности (например, анализа кода). Следовательно, плагины WordPress подвержены уязвимостям», говорит компания.

Уязвимости веб-приложений нарастают

В отчете Imperva также отмечается увеличение количества уязвимостей в защите веб-приложений. По данным компании, эксплойт общедоступен для более половины (54%) из них, а в 38% случаев не существует решения по смягчению последствий, такого как исправление или обновление программного обеспечения.

Ошибки типа впрыска, затрагивающие веб-приложения, были самыми многочисленными в 2018 году, и Imperva насчитывала около 3300 раскрытий. При ближайшем рассмотрении выяснилось, что почти 1 980 из них разрешали удаленное выполнение кода (RCE), а 1354 - атаки с использованием SQL-инъекций.

В отчете сообщается, что количество уязвимостей межсайтового скриптинга (XSS) удвоилось с 2017 года, что составляет 14% от всех недостатков безопасности, обнаруженных для веб-приложений в прошлом году.