Mennyire biztonságosak a WordPress bővítményei?

Egy érdekes kutatási eredmény jelent meg a WordPress-hez elérhető kiegészítők biztonságával kapcsolatban.
 
hirdetés
A RIPS Technologies szakemberei úgy határoztak, hogy alaposan szemügyre veszik a WordPress bővítmények biztonságát. Ez a gondolat persze nem véletlenül fordult meg a fejükben, hiszen a tartalomkezelő biztonságát alapvetően határozzák meg az azokhoz elérhető kiegészítők.
 
A RIPS úgy határozott, hogy a WordPress hivatalos Plugin weboldaláról az összes - több mint 48 ezer - kiegészítőt letölti, és statikus kódelemzéseknek veti alá azokat. A statisztikákból látszik, hogy a vizsgált bővítmények közül 14 ezerhez mindössze 2-5 fájl tartozott, és csak 10.500-ról volt elmondható, hogy a forráskód hossza meghaladta az 500 sort.
 
A vizsgálati eredmények szerint körülbelül 36.000 ezer bővítményben nem lehetett kimutatni biztonsági rést az alkalmazott módszerekkel. Természetesen ez nem azt jelenti, hogy egyéb kódelemző technikák nem hozhatnak felszínre további sebezhetőségeket. 1426 bővítmény kapcsán lehetett kimutatni legalább egy alacsony veszélyességi besorolású biztonsági hibát. A közepes kockázatú hibát rejtő pluginek száma 4600-ra, míg a magas besorolású sérülékenységekkel tarkított kiegészítők mennyisége 2799-re adódott. 41 bővítmény pedig kritikus veszélyességű biztonsági rést is tartalmazott.
 
Hibatípusok

A legtöbb sebezhetőség XSS (cross-site scripting) alapú támadásokhoz képes hozzájárulni. Az esetek 20 százalékában pedig SQL injectionre módot adó biztonsági résekre derült fény. Ez a kétfajta sérülékenység okozza a legtöbb gondot.
 
A RIPS felmérése szerint idén a legtöbb támadás az alábbi bővítmények ellen irányult:
  • Revolution Slider
  • Beauty & Clean Theme
  • MiwoFTP
  • Simple Backup
Vélemények
 
  1. 4

    A Cisco magas és kritikus veszélyességi besorolású sebezhetőségeket szüntetett meg az IOS/IOS XE esetében.

  2. 3

    A Samba egy biztonsági frissítéssel gyarapodott.

  3. 1

    Az Actoin trójai hátsó kapuk kiépítésében segíti a támadókat, akiknek minden parancsát teljesíti.

 
Partnerhírek
Vault 7: Semmi sincs biztonságban?

A Wikileaks megszellőztette CIA dokumentumok azt támasszák alá, amit a biztonsági szakemberek régóta gyanítottak: a titkosszolgálatok saját kibertámadási eszközöket fejlesztenek, hogy céljaikat elérhessék.

Hiba vagy beépített funkció?

Beépített parancssorok segítségével a helyi adminisztrátor átveheti az ellenőrzést egy másik felhasználó Windows fiókja felett, úgy, hogy még a jelszavát sem kell tudnia. ​A Microsoft álláspontja szerint ez nem biztonsági hiba.

hirdetés
Közösség
1