A bővítmények jelentik a WordPress gyenge pontját

A WordPress alapú weboldalak elsősorban az utólag telepített bővítmények miatt válhatnak kiszolgáltatottá a támadásokkal szemben.
 

A WordPress továbbra is komoly érdeklődésre tart számot a kiberbűnözők körében, akik egy-egy sebezhetőség - akár automatizált - kihasználásával rengeteg webhelyet tudnak veszélyeztetni. A Patchstack biztonsági cég a legutóbbi felmérésének elkészítése során arra volt kíváncsi, hogy mennyi sebezhetőség sújtja a népszerű webes alkalmazást, és a hibák milyen tényezőkre vezethetők vissza.
 
A Patchstack az elmúlt évben összesen 580 különböző, WordPress-t érintő sebezhetőségről szerzett tudomást. Ezek 96 százaléka azonban nem magát a WordPress "magját" érintette, hanem a bővítményeket, illetve a sablonokat (témákat). Mindez azt is jelenti, hogy a biztonsági kockázatok túlnyomó része az utólagosan telepített kiegészítőkre vezethetők vissza, és nem magára a WordPress alaprendszerre.
 
A Patchstack szerint a feltárt biztonsági hibák legtöbbször az alábbi fenyegetettségekkel és kockázatokkal párosultak:
  • XSS (Cross-site scripting)
  • SQL injection
  • CSRF (cross-site request forgery)
  • adatszivárgás
  • jogosulatlan fájlfelöltés.
 
A biztonsági szakemberek a felmérés során 50 ezer weboldalt vizsgáltak meg, majd megállapították, hogy átlagosan minden egyes webhely 23 különféle bővítményt használ, amelyek közül minden negyedik elavult verzió formájában fut.
 
Mivel sok ezer kiegészítő érhető el a WordPress-hez, ezért egyszerűen lehet bővíteni a weboldalak funkcionalitását, csakhogy eközben a biztonsági megfontolások sok esetben háttérbe szorulnak. A telepített bővítményeket (és nyilván az alaprendszert is) rendszeresen frissíteni kell ahhoz, hogy a kockázatok csökkenthetők legyenek.
Vélemények
 
  1. 4

    A Google ismét veszélyes biztonsági réseket foltozott be a Chrome böngészőn.

  2. 3

    Az Apple egy hibajavítást tett elérhetővé az iMovie alkalmazáshoz.

  3. 3

    Az AstroLocker egy meglehetősen komplex működésű zsarolóvírus, amely fájlok titkosításával okoz károkat.

 
Partnerhírek
A stalkerware alkalmazások veszélyei

​A stalkerware alkalmazások veszélynek teszik ki a megfigyelt áldozatokat, de az utánuk kémkedőket is.

Több lábon álló szakember lett az "Év információbiztonsági újságírója"

2021. május 31, Budapest – A Hétpecsét Információbiztonsági Egyesület 2006-ban alapította meg az "Év információbiztonsági újságírója" címet, melyet minden évben nyílt pályázati felhívás keretében hirdet meg.

hirdetés
Közösség