WordPress: egyre nehezebb fenntartani a biztonságot
Egyre komolyabb biztonsági aggályok merülnek fel a WordPress kapcsán. Az látszik, hogy valamit tenni kell, hiszen sok millió weboldal biztonságáról van szó.A WordPress biztonságával foglalkozó Patchstack egy érdekes felmérést készített azzal kapcsolatban, hogy az elmúlt évben miként változott a népszerű, széles körben használt, nyílt forráskódú tartalomkezelő védelmi szintje. A kutatók sajnos rossz hírekkel szolgáltak, ugyanis kiderült, hogy 2021-ben 150 százalékkal több olyan sérülékenység került napvilágra, amelyek érintették WordPress-t.
Fontos megjegyezni, hogy alapvetően nem a WordPress "motorjával" van probléma, hanem sokkal inkább az ahhoz kapcsolódó egyéb összetevőkkel. A feltárt sebezhetőségeknek ugyanis mindössze a 0,58 százaléka érintette a WordPress Core-t. A többi biztonsági rés különféle sablonokban és bővítményekben volt kimutatható.
A biztonsági kutatók arra is felhívták a figyelmet, hogy a bővítményeket sújtó hibák 91 százaléka ingyenes kiegészítőkkel volt kapcsolatba hozható. A fizetős plugin-ek esetében jóval kevesebb sebezhetőségről hullt le a lepel. Ugyanakkor összességében az is megállapíthatóvá vált, hogy a bővítmények sebezhetőségeinek 29 százalékára nem érkezett hibajavítás. Ez pedig igencsak aggasztó a kockázatok csökkentése szempontjából.
Az elmúlt évben a leggyakrabban támadott bővítmények a következők voltak:
- OptinMonster
- PublishPress Capabilities
- Booster for WooCommerce
- Image Hover Effects Ultimate
A WordPress és a hozzá kapcsolódó egyéb összetevők kapcsán felfedezett sérülékenységek 3 százaléka kapott kritikus veszélyességi besorolást. A 18 százalékuk magas, míg a több közepes vagy alacsony veszélyességi kategóriába került. A biztonsági rések által felvetett kockázatok toplistája a következőképpen alakult:
- Cross-Site Scriptig (XSS)
- Cross-Site Request Forgery (CSRF)
- SQL injection
- Jogosulatlan fájlfeltöltések
- Hitelesítési hibák
- Jogosulatlan adathozzáférés
A Patchstack a kutatási eredményei kapcsán kiemelte a WordPress, valamint a sablonok és bővítmények rendszeres frissítésének fontosságát. Emellett a szakemberek megfontolandónak tartják a megbízható fejlesztőktől származó - akár fizetős - összetevők használatát a bizonytalan származású és nem megfelelően frissített komponensek telepítése helyett.
-
A FreeRDP-hez öt patch vált elérhetővé.
-
A Dell biztonsági frissítést adott ki a Custom VMware ESXi-hez.
-
A Google kritikus veszélyességű sebezhetőségeket orvosolt a Chrome webböngésző kapcsán.
-
Az IBM QRadar SIEM-hez egy biztonsági javítás érkezett.
-
A Fortinet FortiNAC-F kapcsán egy biztonsági hibára derült fény.
-
A Firefox legújabb kiadása számos sebezhetőséget orvosolt.
-
A CrushFTP fejlesztői egy biztonsági rést foltoztak be.
-
A GNU C Library kapcsán egy veszélyes biztonsági résre derült fény.
-
A Microsoft Edge legújabb verziója számos sebezhetőséget szüntet meg.
-
Kritikus fontosságú hibajavítás vált elérhetővé a ChromeOS-hez.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.