Mennyire biztonságosak a WordPress bővítményei?

Egy érdekes kutatási eredmény jelent meg a WordPress-hez elérhető kiegészítők biztonságával kapcsolatban.
 
hirdetés
A RIPS Technologies szakemberei úgy határoztak, hogy alaposan szemügyre veszik a WordPress bővítmények biztonságát. Ez a gondolat persze nem véletlenül fordult meg a fejükben, hiszen a tartalomkezelő biztonságát alapvetően határozzák meg az azokhoz elérhető kiegészítők.
 
A RIPS úgy határozott, hogy a WordPress hivatalos Plugin weboldaláról az összes - több mint 48 ezer - kiegészítőt letölti, és statikus kódelemzéseknek veti alá azokat. A statisztikákból látszik, hogy a vizsgált bővítmények közül 14 ezerhez mindössze 2-5 fájl tartozott, és csak 10.500-ról volt elmondható, hogy a forráskód hossza meghaladta az 500 sort.
 
A vizsgálati eredmények szerint körülbelül 36.000 ezer bővítményben nem lehetett kimutatni biztonsági rést az alkalmazott módszerekkel. Természetesen ez nem azt jelenti, hogy egyéb kódelemző technikák nem hozhatnak felszínre további sebezhetőségeket. 1426 bővítmény kapcsán lehetett kimutatni legalább egy alacsony veszélyességi besorolású biztonsági hibát. A közepes kockázatú hibát rejtő pluginek száma 4600-ra, míg a magas besorolású sérülékenységekkel tarkított kiegészítők mennyisége 2799-re adódott. 41 bővítmény pedig kritikus veszélyességű biztonsági rést is tartalmazott.
 
Hibatípusok

A legtöbb sebezhetőség XSS (cross-site scripting) alapú támadásokhoz képes hozzájárulni. Az esetek 20 százalékában pedig SQL injectionre módot adó biztonsági résekre derült fény. Ez a kétfajta sérülékenység okozza a legtöbb gondot.
 
A RIPS felmérése szerint idén a legtöbb támadás az alábbi bővítmények ellen irányult:
  • Revolution Slider
  • Beauty & Clean Theme
  • MiwoFTP
  • Simple Backup
Vélemények
 
  1. 4

    A Solaris kapcsán több biztonsági hibajavítás is elérhetővé vált.

  2. 4

    Az Oracle az E-Business Suite-hoz is számos frissítést adott ki a negyedéves hibajavításának keretében.

  3. 4

    Az Oracle a Fusion Middleware-t sem hagyta érintetlenül a negyedéves frissítései során.

 
Partnerhírek
​Térj át https-re, hogy ne veszíts látogatókat

Ki szeretné kényszeríteni a https kapcsolatot a Google Chrome, ezért idén július elsejétől minden, nem biztonságos kapcsolatot használó weboldalra történő látogatás előtt megjelenik egy jelzés: nem biztonságos weboldal.

​PUBG Ransomware – Játékkal szerezhetjük vissza kódolt adatainkat

Az ESET szakemberei újfajta zsarolóvírusra hívják fel a figyelmet, amely ezúttal nem pénzt, hanem egy órányi játékot kér az adatokat helyreállító kulcsért.

hirdetés
Közösség
1