Аналитики компании Patchstack выпустили отчет, посвященный безопасности WordPress в 2021 году. К сожалению, картина получилась удручающая, например, оказалось, что 29% критических ошибок в плагинах WordPress вообще не получили патчей. Кроме того, число зарегистрированных уязвимостей увеличилось на 150% за прошедший год.
Исследователи пишут, что все это вызывает тревогу, так как WordPress — самая популярная в мире CMS, которую используют 43,2% всех сайтов в мире.
Из всех ошибок, о которых эксперты сообщали в 2021 году, только 0,58% были связаны с ядром WordPress, а остальные — с разными темами и плагинами для платформы от разных разработчиков. При этом 91,38% уязвимостей были обнаружены в бесплатных плагинах, тогда как на платные решения для WordPress пришлось только 8,62% от общего числа проблем, а это многое говорит о процедурах проверки и тестирования кода.
Эксперты Patchstack насчитали пять критических уязвимостей, затрагивающих 55 тем для WordPress , причем наиболее серьезная из этих уязвимостей связана со злоупотреблением функциями загрузки файлов.
Что касается плагинов, в них было обнаружено 35 критических уязвимостей, две из которых затронули 4 000 000 сайтов. Хотя в основном разработчики плагинов исправили эти уязвимости, девять плагинов так и не получили патчей, и в итоге вообще были удалены с маркетплейсов.
Также PatchStack отмечает, что XSS-уязвимости возглавляют список самых часто встречающихся недостатков в WordPress в 2021 году, а за ними следуют «смешанные» уязвимости, CSRF, SQL-инъекции и загрузка произвольных файлов.
В целом в 2021 году около 42% сайтов на WordPress в среднем содержали хотя бы один уязвимый компонент из 18 установленных. Хотя это число меньше 23 плагинов, в среднем установленных на сайтах в 2020 году, теперь проблема осложняется тем, что 6 из 18 уже устарели.
Наиболее уязвимыми среди устаревших плагинов в 2021 году названы OptinMonster, PublishPress Capabilities, Booster for WooCommerce, а также Image Hover Effects Ultimate.
