Mennyire biztonságosak a WordPress bővítményei?

Egy érdekes kutatási eredmény jelent meg a WordPress-hez elérhető kiegészítők biztonságával kapcsolatban.
 
hirdetés
A RIPS Technologies szakemberei úgy határoztak, hogy alaposan szemügyre veszik a WordPress bővítmények biztonságát. Ez a gondolat persze nem véletlenül fordult meg a fejükben, hiszen a tartalomkezelő biztonságát alapvetően határozzák meg az azokhoz elérhető kiegészítők.
 
A RIPS úgy határozott, hogy a WordPress hivatalos Plugin weboldaláról az összes - több mint 48 ezer - kiegészítőt letölti, és statikus kódelemzéseknek veti alá azokat. A statisztikákból látszik, hogy a vizsgált bővítmények közül 14 ezerhez mindössze 2-5 fájl tartozott, és csak 10.500-ról volt elmondható, hogy a forráskód hossza meghaladta az 500 sort.
 
A vizsgálati eredmények szerint körülbelül 36.000 ezer bővítményben nem lehetett kimutatni biztonsági rést az alkalmazott módszerekkel. Természetesen ez nem azt jelenti, hogy egyéb kódelemző technikák nem hozhatnak felszínre további sebezhetőségeket. 1426 bővítmény kapcsán lehetett kimutatni legalább egy alacsony veszélyességi besorolású biztonsági hibát. A közepes kockázatú hibát rejtő pluginek száma 4600-ra, míg a magas besorolású sérülékenységekkel tarkított kiegészítők mennyisége 2799-re adódott. 41 bővítmény pedig kritikus veszélyességű biztonsági rést is tartalmazott.
 
Hibatípusok

A legtöbb sebezhetőség XSS (cross-site scripting) alapú támadásokhoz képes hozzájárulni. Az esetek 20 százalékában pedig SQL injectionre módot adó biztonsági résekre derült fény. Ez a kétfajta sérülékenység okozza a legtöbb gondot.
 
A RIPS felmérése szerint idén a legtöbb támadás az alábbi bővítmények ellen irányult:
  • Revolution Slider
  • Beauty & Clean Theme
  • MiwoFTP
  • Simple Backup
Vélemények
 
  1. 4

    A McAfee ePO két sérülékenységet tartalmaz.

  2. 3

    Az OpenSSL kapcsán két sérülékenységről hullt le a lepel.

  3. 3

    Az IBM Security Guardium biztonsági hibája a titkosítási szintek manipulálását teszi lehetővé.

 
Partnerhírek
Egy repülőgépet is fel lehet törni?

Nem laboratóriumi körülmények között, távolról be lehet törni egy repülőgép hálózatába.

​A Google mindig tudja, hol vagy?

Akkor is gyűjti az androidos készülékek tulajdonosainak lokációs adatait a Google, amikor kikapcsolták a helyfüggő szolgáltatásokat – ezt az adatvédelmi szabályzatban nem jelezték.

hirdetés
Közösség
1