A bővítmények jelentik a WordPress gyenge pontját

A WordPress alapú weboldalak elsősorban az utólag telepített bővítmények miatt válhatnak kiszolgáltatottá a támadásokkal szemben.
 

A WordPress továbbra is komoly érdeklődésre tart számot a kiberbűnözők körében, akik egy-egy sebezhetőség - akár automatizált - kihasználásával rengeteg webhelyet tudnak veszélyeztetni. A Patchstack biztonsági cég a legutóbbi felmérésének elkészítése során arra volt kíváncsi, hogy mennyi sebezhetőség sújtja a népszerű webes alkalmazást, és a hibák milyen tényezőkre vezethetők vissza.
 
A Patchstack az elmúlt évben összesen 580 különböző, WordPress-t érintő sebezhetőségről szerzett tudomást. Ezek 96 százaléka azonban nem magát a WordPress "magját" érintette, hanem a bővítményeket, illetve a sablonokat (témákat). Mindez azt is jelenti, hogy a biztonsági kockázatok túlnyomó része az utólagosan telepített kiegészítőkre vezethetők vissza, és nem magára a WordPress alaprendszerre.
 
A Patchstack szerint a feltárt biztonsági hibák legtöbbször az alábbi fenyegetettségekkel és kockázatokkal párosultak:

• XSS (Cross-site scripting)
• SQL injection
• CSRF (cross-site request forgery)
• adatszivárgás
• jogosulatlan fájlfelöltés.

 
A biztonsági szakemberek a felmérés során 50 ezer weboldalt vizsgáltak meg, majd megállapították, hogy átlagosan minden egyes webhely 23 különféle bővítményt használ, amelyek közül minden negyedik elavult verzió formájában fut.
 
Mivel sok ezer kiegészítő érhető el a WordPress-hez, ezért egyszerűen lehet bővíteni a weboldalak funkcionalitását, csakhogy eközben a biztonsági megfontolások sok esetben háttérbe szorulnak. A telepített bővítményeket (és nyilván az alaprendszert is) rendszeresen frissíteni kell ahhoz, hogy a kockázatok csökkenthetők legyenek.