WordPress е най-популярната система за управление на съдържанието (content management system, CMS) в Интернет и има огромно влияние в Мрежата. Според данни, изведени от Imperva, почти една трета (28%) от ресурсите в Интернет са изградени именно на основата на WordPress, а сред сайтовете, създадени на основата на някоя от известните CMS платформи, делът ѝ е още по-голям (59%).

Не е случайно, в този смисъл, че именно проблемите, свързани с WordPress стоят в основата на годишния доклад на компанията за интернет и информационна защита. Imperva отбелязват притеснително обстоятелство, свързано с WP и 2018. Уязвимостите в платформата са се увеличили тройно в сравнение с 2017 (общият им брой е бил 542).

А причината за това е повече от ясна, както става ясно от изведените от компанията данни. Проблемите, открити в самият CMS са пренебрежимо малко на фона на тези, открити в добавките от външни страни.

„Не е изненадващо, че 98% от WordPress уязвимостите са свързани с плъгини, които обогатяват функционалностите и характеристиките на уебсайт или блог. Всеки може да създаде плъгин и да го публикува – WordPress е с открит код, лесен е за управление и не съществува задължение или някаква установена процедура, която изисква спазването на минимум стандарти за сигурност (като например анализ на кода). С оглед на това, WordPress е податлив на уязвимости“, пишат Imperva.

Сред десетте най-уязвими плъгини, които Imperva посочват са Event Calendar, Ultimate Member, Coming Soon Page, Ninja Forms и Duplicator Pro.

Опасности, свързани с WordPress не бяха изключение през миналата година, а освен плъгините, проблеми в WordPress Core, голяма заслуга за инцидентите имат и самите администриращи ресурси на основата на WP, като най-честите пропуски бяха, освен необновените инсталации и плъгини към тях, погрешно конфигурирани WP инстанции и такива, които имат слаби авторизационни механизми. За последно през декември научихме за последния по-голям инцидент тук, когато се разбра, че WordPress инсталации биват атакувани от огромен ботнет, който търси слабо защитени конфигурации. През ноември научихме и за уязвимост в GDPR плъгина, засягаща няколко други приставки, използвани често от потребителите на системата. През февруари, независим разработчик алармира за открита от него уязвимост в WP Core, която може да доведе до успешна DoS атака към всеки един ресурс, изграден на основата на WordPress.

Що се отнася до другите открития в доклада на компанията, то уязвимостите в уеб приложенията общо регистрират ръст с 21% в сравнение с 2017 и с цели 159% в сравнение с година по-рано. Особено тревожно звучи наблюдението на Imperva, че над за над половината от тези уязвимости могат да се намерят свободно експлойти в Интернет. Но още по-притеснително сякаш звучи това, че за 38% от тези проблеми, така и няма издадено адекватно решение, което да ги адресира.

Специално внимание бива обърнато и на Drupal. Макар и трети по популярност CMS, през 2018 той влезе в обектива на общественото внимание с разкритата критична уязвимост с името Drupalgeddon2 (а по-късно и със свързана сходна уязвимост, станала популярна като Drupalgeddon3). CVE-2018-7600 и CVE-2018-7602, по думите на специалистите са станали отговорни за компрометирането на стотици уеб сървъри по цял свят. Въпросните уязвимости позволяват на неоторизирана страна да инжектира отдалечено зловреден код и да го стартира необезпокоявано. Уязвимостта позволява на атакуващата страна да се свърже с бекенд базата данни, да сканира и инфектира вътрешни мрежи, копае криптовалута, заразява посетителите на сайтове и др.

Пълните открития в доклада може да откриете тук.

ДОБАВИ КОМЕНТАР

  Абонирай се  
Извести ме за