Mennyire biztonságosak a WordPress bővítményei?

Egy érdekes kutatási eredmény jelent meg a WordPress-hez elérhető kiegészítők biztonságával kapcsolatban.
 
hirdetés
A RIPS Technologies szakemberei úgy határoztak, hogy alaposan szemügyre veszik a WordPress bővítmények biztonságát. Ez a gondolat persze nem véletlenül fordult meg a fejükben, hiszen a tartalomkezelő biztonságát alapvetően határozzák meg az azokhoz elérhető kiegészítők.
 
A RIPS úgy határozott, hogy a WordPress hivatalos Plugin weboldaláról az összes - több mint 48 ezer - kiegészítőt letölti, és statikus kódelemzéseknek veti alá azokat. A statisztikákból látszik, hogy a vizsgált bővítmények közül 14 ezerhez mindössze 2-5 fájl tartozott, és csak 10.500-ról volt elmondható, hogy a forráskód hossza meghaladta az 500 sort.
 
A vizsgálati eredmények szerint körülbelül 36.000 ezer bővítményben nem lehetett kimutatni biztonsági rést az alkalmazott módszerekkel. Természetesen ez nem azt jelenti, hogy egyéb kódelemző technikák nem hozhatnak felszínre további sebezhetőségeket. 1426 bővítmény kapcsán lehetett kimutatni legalább egy alacsony veszélyességi besorolású biztonsági hibát. A közepes kockázatú hibát rejtő pluginek száma 4600-ra, míg a magas besorolású sérülékenységekkel tarkított kiegészítők mennyisége 2799-re adódott. 41 bővítmény pedig kritikus veszélyességű biztonsági rést is tartalmazott.
 
Hibatípusok

A legtöbb sebezhetőség XSS (cross-site scripting) alapú támadásokhoz képes hozzájárulni. Az esetek 20 százalékában pedig SQL injectionre módot adó biztonsági résekre derült fény. Ez a kétfajta sérülékenység okozza a legtöbb gondot.
 
A RIPS felmérése szerint idén a legtöbb támadás az alábbi bővítmények ellen irányult:
  • Revolution Slider
  • Beauty & Clean Theme
  • MiwoFTP
  • Simple Backup
Vélemények
 
  1. 3

    A VMware egyes virtualizációs eszközeihez hibajavításokat adott ki.

  2. 4

    A McAfee Network Data Loss Prevention több hibajavítást is kapott.

  3. 2

    Az Uiwix zsaroló program amellett, hogy fájlokat tesz tönkre, és váltságdíjat követel, még a felhasználók értékes adatait is meglovasítja.

 
Partnerhírek
Parkolókat bénított meg a zsarolóvírus

A G DATA információi szerint Németországban fizetős teremgarázsokat bénított meg a WannaCry zsarolóvírus, amelyről még mindig nem tudni biztosan, hogyan terjedt el ilyen gyorsan.

Kiberbiztonsági veszélyek és a digitális gazdaság menetelése

Az ESET szakértőinek legújabb kutatása a kiberbiztonság és a digitális fogyasztói magatartás összefüggéseit vizsgálja.

hirdetés
Közösség
1