WordPress ma problem z wtyczkami i motywami. Są pełne backdoorów
Dziesiątki motywów i wtyczek WordPress okazało się mieć backdoory zapewniające atakującym pełną kontrolę administracyjną nad stronami internetowymi. Do tej pory wykryto łącznie 10359 luk we wtyczkach do WordPressa.
Tego rodzaju statystyki zostały naszykowane przez Risk Based Security. Zgodnie z ich informacjami pod koniec 2021 r. wykryto i zgłoszono aż 2240 luk bezpieczeństwa we wtyczkach WordPress przygotowanych przez firmy trzecie, To zaś stanowi wzrost o 142 proc. w porównaniu z rokiem poprzednim, kiedy ujawniono niecałe tysiąc luk.
Rosnące zagrożenie
Badacze, którzy przygotowali raport zauważają, że spośród wszystkich znanych luk w zabezpieczeniach wtyczek dla WordPressa, aż 77 proc. z nich ma znane publicznie exploity. Te liczby to jednak wierzchołek góry lodowej problemów związanych ze wspomnianymi wtyczkami.
Na tę chwilę użytkownicy mogą korzystać z ponad 58 tysięcy darmowych wtyczek z których niewielką zaledwie część zaprojektowano z myślą o bezpieczeństwie użytkowników. Biorąc pod uwagę popularność WordPressa (gdzie korzysta z niego ponad 40 proc. stron), jedna luka może potencjalnie dotknąć miliony użytkowników i sparaliżować sporą część internetu.
Rozwiązanie problemu
Zdaniem Risk Based Security, specjaliści ds. bezpieczeństwa powinni zacząć od łatania luk, które można wykorzystać zdalnie, mają publiczny exploit i znane rozwiązanie. Naprawiając tego typu problemy, firmy mogą najlepiej chronić się przed potencjalnymi atakami. Argumentacja ta ma jednak pewien problem.
Takie rozwiązanie przerzuca praktycznie w całości odpowiedzialność za bezpieczeństwo z twórcy danej wtyczki czy motywu na jej użytkownika. Być może mniej kontrowersyjne byłoby zgłaszanie znanych problemów twórcom dodatków do WordPressa i wymaganie od nich odpowiedzialnego zabezpieczenia swojego kodu.