Исследователи безопасности WordPress из Patchstack опубликовали свой ежегодный технический документ «Состояние безопасности WordPress», в котором показано увеличение количества уязвимостей высокой и критической серьезности, подчеркивая важность безопасности для всех веб-сайтов на платформе WordPress.

XSS — главная уязвимость WordPress 2023 года

Существует много видов уязвимостей, но наиболее распространенными на сегодняшний день являются уязвимости межсайтового скриптинга (XSS), на которые приходится 53,3% всех новых уязвимостей безопасности WordPress.

XSS-уязвимости обычно возникают из-за недостаточной «очистки» пользовательских данных, которая включает в себя блокировку любых входных данных, которые не соответствуют ожидаемым. Patchstack сообщил, что на платформу Freemius, стороннюю управляемую платформу электронной коммерции, приходится более 1200 всех XSS-уязвимостей, что составляет 21% всех новых XSS-уязвимостей, обнаруженных в 2023 году.

Комплект разработки программного обеспечения Freemius (SDK) используется как компонент более чем 1200 плагинов, которые, в свою очередь, установлены на более чем 7 миллионах сайтов WordPress. Это подчеркивает проблему уязвимостей цепочки поставок, когда компонент используется как часть плагина WordPress, что впоследствии увеличивает масштаб уязвимости за пределы одного плагина.

В отчете Patchstack поясняется:

«В этом году мы еще раз увидели, как единственная уязвимость межсайтового скриптинга в платформе Freemius привела к тому, что 1248 плагинов унаследовали уязвимость безопасности, подвергая своих пользователей риску.

21% всех новых уязвимостей, обнаруженных в 2023 году, связаны с этим одним недостатком. Разработчикам крайне важно тщательно выбирать свой стек и оперативно устанавливать обновления безопасности, когда они становятся доступными».

Больше уязвимостей с высоким или критическим рейтингом

Уязвимости присваивается уровень серьезности, который соответствует тому, насколько разрушительным является обнаруженный недостаток. Оценки варьируются от низкого, среднего, высокого и критического.

В 2022 году 13% новых уязвимостей были отнесены к категории высоких или критических. В 2023 году этот процент резко вырос до 42,9%, а это означает, что в 2023 году было больше разрушительных уязвимостей, чем в предыдущем году.

Аутентифицированные и неаутентифицированные уязвимости

Еще один показатель, который появляется в отчете, — это процент уязвимостей, не требующих аутентификации (не прошедших проверку подлинности), что означает, что злоумышленнику не требуется какой-либо уровень разрешений пользователя для запуска атаки.

Недостатки, требующие от злоумышленника наличия разрешений от уровня подписчика до уровня администратора, имеют более высокую планку для преодоления злоумышленниками. Неаутентифицированные уязвимости не требуют, чтобы злоумышленник сначала получил уровень разрешений, что делает такие уязвимости более опасными, поскольку их можно использовать посредством автоматических атак, например, с помощью ботов, которые проверяют сайт на наличие уязвимости, а затем автоматически запускают атаки.

Patchstack обнаружил, что 58,9% всех новых уязвимостей вообще не требуют аутентификации.

Резкий рост количества заброшенных плагинов как фактор риска

Еще одной существенной причиной уязвимостей является большое количество заброшенных плагинов. В 2022 году Patchstack сообщил WordPress.org о 147 заброшенных плагинах и темах, из них 87 были удалены, а остальные исправлены.

В 2023 году количество заброшенных плагинов резко возросло со 147 в 2022 году до 827 плагинов и тем в 2023 году. Если в 2022 году было удалено 87 уязвимых заброшенных плагинов, то в 2023 году — 481.

Патчстек отметил:

«Мы сообщили о 404 таких плагинах за один день, чтобы привлечь внимание к «пандемии плагинов-зомби» в WordPress. Такие плагины-зомби представляют собой компоненты, которые на первый взгляд кажутся безопасными и современными, но могут содержать неисправленные проблемы безопасности. Более того, такие плагины остаются активными на сайтах пользователей, даже если они удалены из репозитория плагинов WordPress».

Самые популярные плагины с уязвимостями

Как упоминалось ранее, уровни серьезности варьируются от низкой, средней, высокой и критической. Patchstack составил список самых популярных плагинов с уязвимостями.

В 2022 году было 11 популярных плагинов с более чем миллионом активных установок, содержащих уязвимости. В 2023 году Patchstack снизил планку количества установок с миллиона до более чем 100 000 установок. Тем не менее, несмотря на то, что попасть в список было проще, было обнаружено только 9 популярных плагинов, у которых была обнаружена уязвимость, что намного меньше, чем в 2022 году.

В 2022 году только пять из 11 самых популярных плагинов с уязвимостями содержали уязвимость высокой степени серьезности, ни один не содержал уязвимостей критического уровня, а остальные имели среднюю степень серьезности.

В 2023 году эти цифры значительно ухудшились. Несмотря на снижение порога того, что считается популярным плагином, все девять плагинов в списке содержали уязвимости критического уровня. Подавляющее большинство плагинов в этом списке, шесть из девяти, содержали неаутентифицированные уязвимости, а это означает, что их эксплуатацию легко масштабировать с помощью автоматизации. Оставшимся трем, требующим аутентификации, требовался только доступ на уровне подписчика, который является самым простым уровнем разрешений для получения: просто зарегистрируйтесь, подтвердите адрес электронной почты, и они вошли. Это тоже можно масштабировать с помощью автоматизации.

Список самых популярных плагинов с уязвимостями

1. Основные дополнения для установок Elementor 1M+ (уровень серьезности 9,8)
2. WP Fastest Cache: 1 млн+ установок (уровень серьезности 9,3)
3. Установки Gravity Forms 940k (уровень серьезности 8,3)
4. Установки Fusion Builder 900k (уровень серьезности 8,5)
5. Flatsome (Theme) 618 тыс. установок (рейтинг серьезности 8,3)
6. WP Статистика 600 тыс. установок (рейтинг серьезности 9,9)
7. Установки Forminator 400k (класс серьезности 9,8)
8. Установки WPvivid Backup and Migration 30ok (уровень серьезности 8,8)
9. JetElements для установок Elementor 30ok (уровень серьезности 8,2)

Состояние безопасности WordPress хуже

Если вы чувствуете, что в последнее время уязвимостей стало больше, чем когда-либо прежде, теперь вы знаете причину, статистика говорит сама за себя. В 2023 году появится больше уязвимостей, и больший процент будет находиться на высоких и критических уровнях, которые можно будет эксплуатировать с помощью автоматизации в большом масштабе.

Это означает, что всем издателям необходимо повысить свою безопасность и убедиться, что кто-то берет на себя ответственность за регулярный аудит их плагинов и тем, чтобы убедиться, что все они обновляются и активно поддерживаются.

SEO-специалистам следует обратить на это внимание, поскольку безопасность быстро становится проблемой ранжирования, когда Google удаляет взломанный сайт из результатов поиска. Многие SEO-специалисты, которые проводят аудит сайта, не выполняют даже самых элементарных проверок безопасности, таких как проверка наличия заголовков безопасности, что я делаю в рамках каждого аудита, который провожу. Всегда обязательно обсуждайте с клиентами вопросы их безопасности, чтобы убедиться, что они осведомлены о рисках.

Patchstack — пример сервиса, который автоматически защищает сайты WordPress от уязвимостей еще до того, как плагин выпустит патч для устранения уязвимости. Подобные услуги важны для создания защиты от взлома и потери видимости в поиске и доходов.

Прочтите отчет Patchstack:

Состояние безопасности WordPress в 2023 году

Рекомендованное изображение: Shutterstock/Юрий Степанов