Mennyire biztonságosak a WordPress bővítményei?

Egy érdekes kutatási eredmény jelent meg a WordPress-hez elérhető kiegészítők biztonságával kapcsolatban.
 
hirdetés
A RIPS Technologies szakemberei úgy határoztak, hogy alaposan szemügyre veszik a WordPress bővítmények biztonságát. Ez a gondolat persze nem véletlenül fordult meg a fejükben, hiszen a tartalomkezelő biztonságát alapvetően határozzák meg az azokhoz elérhető kiegészítők.
 
A RIPS úgy határozott, hogy a WordPress hivatalos Plugin weboldaláról az összes - több mint 48 ezer - kiegészítőt letölti, és statikus kódelemzéseknek veti alá azokat. A statisztikákból látszik, hogy a vizsgált bővítmények közül 14 ezerhez mindössze 2-5 fájl tartozott, és csak 10.500-ról volt elmondható, hogy a forráskód hossza meghaladta az 500 sort.
 
A vizsgálati eredmények szerint körülbelül 36.000 ezer bővítményben nem lehetett kimutatni biztonsági rést az alkalmazott módszerekkel. Természetesen ez nem azt jelenti, hogy egyéb kódelemző technikák nem hozhatnak felszínre további sebezhetőségeket. 1426 bővítmény kapcsán lehetett kimutatni legalább egy alacsony veszélyességi besorolású biztonsági hibát. A közepes kockázatú hibát rejtő pluginek száma 4600-ra, míg a magas besorolású sérülékenységekkel tarkított kiegészítők mennyisége 2799-re adódott. 41 bővítmény pedig kritikus veszélyességű biztonsági rést is tartalmazott.
 
Hibatípusok

A legtöbb sebezhetőség XSS (cross-site scripting) alapú támadásokhoz képes hozzájárulni. Az esetek 20 százalékában pedig SQL injectionre módot adó biztonsági résekre derült fény. Ez a kétfajta sérülékenység okozza a legtöbb gondot.
 
A RIPS felmérése szerint idén a legtöbb támadás az alábbi bővítmények ellen irányult:
  • Revolution Slider
  • Beauty & Clean Theme
  • MiwoFTP
  • Simple Backup
Vélemények
 
  1. 4

    Az OpenSSL komolyabb kockázatok felvető sebezhetőség miatt szorul frissítésre.

  2. 3

    A Windows egyik rendszerfájlja kapcsán egy sebezhetőségre derült fény.

  3. 3

    A Cisco Email/Web Security Appliance egy-egy biztonsági frissítést kapott.

 
Partnerhírek
​Flash Player frissítésnek álcázott androidos trójai

Az ESET szakemberei felfedeztek egy androidos eszközöket támadó veszélyes alkalmazást. Az Agent.JI trójai program feltört weboldalakon keresztül, Flash Player frissítésnek álcázva terjed.

Az ESET elnyerte a 100. Virus Bulletin díjat

Az ESET elnyerte a 100. Virus Bulletin díjat a NOD32 termékkel. Ennyi VB100-at egyetlen másik termék sem kapott még a minősítő szervezettől.

hirdetés
Közösség
1