Согласно отчету Imperva, за последний год уязвимости WordPress утроились по сравнению с другими CMS.
Согласно отчету Imperva, опубликованному в среду, уязвимости новых веб-приложений увеличились на 21% в 2018 году по сравнению с 2017 годом.
Более половины этих уязвимостей (54%) имеют открытый доступ для хакеров, а более трети (38%) не имеют никакого решения с точки зрения обновления программного обеспечения или исправлений, говорится в отчете.
Согласно отчету, в категории системы управления контентом (CMS) уязвимости WordPress утроились с прошлого года до 542.
В отчете говорится, что WordPress столкнулся с большим количеством уязвимостей, чем любая другая CMS, отчасти из-за популярности платформы: по данным WebsiteSetup, он используется почти 60% всех веб-сайтов, что составляет более 22 миллионов сайтов.
В отчете говорится, что практически все уязвимости WordPress (98%) связаны с плагинами, которые расширяют функциональные возможности и возможности веб-сайта.
Любой пользователь может создать и опубликовать плагин, так как WordPress является открытым исходным кодом, и не соблюдаются минимальные стандарты безопасности, что делает его подверженным уязвимостям.
На момент публикации отчета в WordPress было 55 271 плагинов, и только 1 914 (или 3%) были добавлены в 2018 году.
Медленный рост плагинов и быстрый рост новых уязвимостей могут снова быть вызваны его широким использованием, поскольку злоумышленники могут быть более находчивыми.
В докладе отмечается, что они мотивированы разработкой специальных инструментов для поиска дыр в коде.
Между тем, хотя Drupal является третьей по популярности CMS после WordPress и Joomla, две его уязвимости (CVE-2018-7600 и CVE-2018-7602) стали причиной нарушений безопасности на сотнях тысяч веб-серверов в 2018 году.
Эти уязвимости позволили злоумышленникам, не прошедшим проверку подлинности, удаленно внедрять вредоносный код и запускать его по умолчанию или при общих установках Drupal, а затем позволять злоумышленникам подключаться к внутренним базам данных, сканировать и заражать внутренние сети, анализировать криптовалюты и заражать клиентов троянами, согласно отчету.
Вот 10 плагинов WordPress с наибольшим количеством уязвимостей в 2018 году (однако следует отметить, что это не означает, что они обязательно являются наиболее атакованными плагинами), согласно отчету:
- Event Calendar WD
- Ultimate Member
- Coming Soon Page
- GD Rating System
- Contact Form by WD
- WPGlobus
- From Maker
- Ninja Forms
- Affiliates Manager
- Duplicator Pro