Patchstack, инструмент для технического обслуживания и управления безопасностью WordPress, опубликовал обзор «Состояние безопасности WordPress» за 2022 год, в котором отражены несколько ключевых показателей уязвимостей.
Результаты исследования указывают на риск использования необслуживаемых тем и плагинов, а также на необходимость разработчикам следить за обновлениями библиотек и зависимостей, включенных в работу сайта. Patchstack отмечает существенное увеличение количества уязвимостей.
В 2022 году мы зафиксировали на 328% больше сообщений об ошибках безопасности в плагинах WordPress. Результат мы добавили в нашу базу данных, где 4 528 подтвержденных ошибок безопасности в сравнении с 1 382 за 2021 год.
Как и в предыдущие годы, большинство ошибок безопасности было обнаружено в плагинах (93%), затем в темах (6,7%) и в ядре WordPress (0,6%).
Эти цифры были получены из открытых данных Patchstack и других компаний, которые занимаются исследованием безопасности экосистемы WordPress. Общее количество уязвимостей получено от трех официальных информационных центров WordPress, которые могут присваивать идентификаторы CVE новым уязвимостям безопасности. К ним относятся Patchstack, Automattic (WPscan) и WordFence. Генеральный директор Patchstack Оливер Силд заявил, что некоторые из уязвимостей были также опубликованы независимыми источниками или сообщены непосредственно в MITRE.
В отчете подчеркивается, что увеличение количества сообщений об уязвимостях означает, что экосистема WordPress становится более безопасной в результате того, что все больше проблем безопасности обнаруживается и исправляется в новых релизах.
Еще одним небольшим минусом можно отметить, что по сравнению с прошлым годом некоторые критические ошибки безопасности так и не получили исправления. В 2022 году это число составило 26% по сравнению с 29% 2021 года. В этом году критические уязвимости устранялись лучше, но связать это с постоянной тенденцией для новых релизов не удаётся.
«Мы по-прежнему считаем, что это свидетельствует о большой проблеме, которая заключается в том, что некоторые плагины не поддерживаются разработчиками или заброшены вовсе, в результате чего они не получают своевременных исправлений» — отметил Оливер Силд.
Решение проблемы обязать разработчиков поддерживать свои продукты является сложной задачей, и многие пользователи не имеют представления о том, какой выбрать плагин, чтобы быть уверенным в том, что продукт будет поддерживаться разработчиками и обновляться согласно последним тенденциям и релизам WordPress.
«Я думаю, что разработчикам важно быть открытыми», — отметил Силд. «Это нормально, когда проекты закрываются. Совсем недавно я сказал своему коллеге, что «когда кто-то создает новый плагин, он должен помнить, что кто-то может его продукт использовать и не знать, что проект закрыт», потому что даже если разработчик плагина поменял локацию, переехал в другую страну или например, поменял род деятельности и больше не работает над проектом, все равно могут быть люди, которые на его продукт рассчитывают».
По словам Силда, пользователи часто остаются в неведении, потому что ядро WordPress показывает, доступность обновления. Если плагин закрывается на WordPress.org, пользователи не получают уведомления из-за непроработанной проблемы безопасности.
«Это то, что мы стараемся улучшить вместе с нашими партнерами, например создавая другие плагины безопасности и продвинутые хостинговые компании. Коммуникация — это ключевой момент. Недавно мы также создали бесплатную услугу для разработчиков плагинов под названием «Программа по раскрытию контролируемых уязвимостей», сокращенно mVDP. Цель — помочь разработчикам плагинов внедрить более развитые методы обеспечения безопасности и показать пользователям, что они серьезно относятся к безопасности».
Другие важные сведения из доклада включают распределение ошибок безопасности WordPress по категории сложности. В 2022 году большинство уязвимостей (84%) были классифицированы как уязвимости средней сложности, с меньшей долей уязвимостей высокой сложности (11%) и критических (2%).
Из наиболее популярных плагинов (более 1 миллиона установок), в которых были обнаружены проблемы безопасности, только пять содержали ошибки высокой степени сложности. Два плагина с наибольшим количеством уязвимостей по шкале CVSS — это Elementor и Essential Add-ons for Elementor, за ними следуют UpdraftPlus WordPress Backup, One Click Demo Import и MonsterInsights.
В документе отмечается еще несколько других положительных тенденций, включая предупреждение хостинг-компаниями своих клиентов об уязвимостях продуктов, рост сообщества разработчиков безопасности и повышение уведомлений о безопасности в экосистеме WordPress. Более подробную информацию о состоянии безопасности WordPress в 2022 году и прогнозы на этот год можно найти в документе на сайте Patchstack.