Исследователи безопасности WordPress из Patchstack опубликовали свой ежегодный отчет «Состояние безопасности WordPress» («State of WordPress Security»), в котором отмечено увеличение количества уязвимостей высокой и критической серьезности.
XSS — главная уязвимость WordPress 2023 года
Существует много видов уязвимостей, но наиболее распространенными на сегодняшний день являются уязвимости межсайтового скриптинга (XSS), на которые приходится 53,3% всех новых уязвимостей безопасности WordPress.
XSS-уязвимости обычно возникают из-за недостаточной санитизации (очистки) пользовательских данных, которая включает в себя блокировку любого нежелательного или неожиданного ввода. Patchstack сообщил, что на Freemius, стороннюю платформу электронной коммерции, приходится более 1200 всех XSS-уязвимостей, что составляет 21% от всех новых XSS-уязвимостей, обнаруженных в 2023 году.
Freemius SDK — компонент многочисленных плагинов, которые, в свою очередь, установлены на более чем 7 миллионах сайтов WordPress. Это сигнализирует о проблемах с цепочками поставок, когда компонент используется как часть плагина WordPress, что впоследствии только увеличивает масштаб уязвимостей, выводя их за пределы одного плагина.
В отчете Patchstack содержится пояснение:
«В этом году мы стали свидетелями того, как единственная XSS-уязвимость в платформе Freemius привела к серьезной проблеме: 1248 плагинов унаследовали эту уязвимость безопасности, и их пользователи оказались подвержены рискам.
21% всех новых уязвимостей, обнаруженных в 2023 году, связаны с этой угрозой. Разработчикам крайне важно тщательно отбирать свой стек и оперативно устанавливать обновления безопасности, когда они становятся доступными».
Рост уязвимостей с высоким или критическим рейтингом
Уязвимостям присваивается уровень серьезности, который соответствует тому, насколько опасным является обнаруженный недостаток. Уровни разные: низкий, средний, высокий и критический.
В 2022 году только 13% новых уязвимостей были помечены как уязвимости высокого или критического уровня. В 2023 году этот процент резко возрос до 42,9%, а это означает, что в 2023 году было больше опасных уязвимостей.
Уязвимости, не требующие аутентификации
Еще один показатель, который имеется в отчете, — это процент уязвимостей, не требующих аутентификации, что означает, что злоумышленнику не требуется какой-либо уровень пользовательских разрешений для выполнения атаки.
Угрозы, требующие от злоумышленника наличия прав доступа (от уровня подписчика до уровня администратора), гораздо сложнее в эксплуатации.
Уязвимости, не требующие аутентификации, более опасны, поскольку их можно применять в автоматизированных атаках, например, с помощью ботов, которые проверяют сайт на наличие уязвимости, а затем автоматически запускают атаки.
Patchstack обнаружил, что 58,9% всех новых уязвимостей осуществляются без какой-либо аутентификации.
Резкий рост числа заброшенных плагинов как фактор риска
Еще одной существенной причиной роста уязвимостей является большое количество заброшенных плагинов. В 2022 году Patchstack обнаружил на WordPress.org 147 заброшенных плагинов и тем; из них 87 были удалены, остальные скорректированы.
В 2023 году количество заброшенных плагинов и тем резко возросло со 147 в 2022 году до 827 в 2023 году. Если в 2022 году было удалено 87 уязвимых заброшенных плагинов, то в 2023 году — уже 481.
Patchstack пишет об этом:
«Мы разом сообщили о 404 подобных плагинах, чтобы привлечь внимание к «пандемии зомби-плагинов» в WordPress. Такие зомби-плагины представляют собой решения, которые на первый взгляд кажутся безопасными и современными, но могут иметь неисправленные дыры. Более того, такие плагины могут оставаться активными на пользовательских сайтах, даже если они удалены из репозитория плагинов WordPress».
Самые популярные плагины с уязвимостями
Как упоминалось ранее, уровень серьезности уязвимости варьируется от низкого до критического. Patchstack составил список самых популярных плагинов с уязвимостями. В 2022 году было 11 уязвимых плагинов с более чем миллионом активных установок. В 2023 году Patchstack снизил планку числа установок с миллиона до 100 000. Тем не менее, несмотря на то, что попасть в список стало проще, было выявлено только 9 популярных плагинов с уязвимостями, что меньше, чем в 2022 году. В 2022 году только 5 из 11 самых популярных плагинов с уязвимостями содержали уязвимость высокой степени серьезности, ни один не содержал уязвимостей критического уровня; остальные же имели среднюю степень серьезности.
В 2023 году все ухудшилось. Несмотря на снижение порога того, какой плагин считать популярным, все 9 плагинов в списке содержали уязвимости критического уровня. Подавляющее большинство плагинов в этом списке, 6 из 9, содержали уязвимости, не требующие аутентификации, а это означает, что их эксплуатацию легко масштабировать с помощью автоматизации. Оставшимся трем, требующим аутентификации, нужен был только доступ на уровне подписчика, который является самым простым уровнем разрешений: для этого достаточно просто зарегистрироваться и подтвердить адрес электронной почты. Это тоже можно масштабировать с помощью автоматизации.
Список самых популярных плагинов с уязвимостями:
- Essential Addons for Elementor — более 1 млн установок (рейтинг опасности 9.8)
- WP Fastest Cache — более 1 млн установок (рейтинг опасности 9.3)
- Gravity Forms — 940k установок (рейтинг опасности 8.3)
- Fusion Builder — 900k установок (рейтинг опасности 8.5)
- Flatsome (тема) — 618k установок (рейтинг опасности 8.3)
- WP Statistics — 600k установок (рейтинг опасности 9.9)
- Forminator — 400k установок (рейтинг опасности 9.8)
- WPvivid Backup and Migration — 300k установок (рейтинг опасности 8.8)
- JetElements For Elementor — 300k установок (рейтинг опасности 8.2)
Состояние безопасности WordPress ухудшается
Если вам кажется, что в последнее время уязвимостей стало больше, чем когда-либо прежде – вам не кажется. Статистика говорит сама за себя. В 2023 году выросло число уязвимостей высокого и критического уровня, доступных для эксплуатации с помощью автоматизации в промышленных масштабах. Это означает, что владельцам сайтов необходимо больше беспокоиться о безопасности, выполнять регулярный аудит установленных плагинов и тем.
SEO-специалистам следует обратить на это внимание, поскольку безопасность быстро превращается в проблемы ранжирования: Google удаляет взломанные сайты из результатов поиска. Многие оптимизаторы, выполняющие аудит сайта, не делают даже самых простых проверок безопасности.
Всегда обсуждайте с клиентами вопросы их безопасности, чтобы убедиться, что они осведомлены о рисках.
Отчет Patchstack доступен по ссылке.
Источник: https://www.searchenginejournal.com/
У меня так было с кулинарным сайтом, взломали вход в админку сайта, пришлось менять её адрес.
Да постоянно пытаются ломать. Еще и нагрузку создают на сервер.