Прочитайте Годовой отчет об уязвимостях WordPress за 2021 год
Опубликовано: 2022-01-27Как пользователь или разработчик WordPress, вы уже знаете, что одной из самых больших проблем, с которыми вы сталкиваетесь, является полная защита вашего сайта от уязвимостей и угроз вредоносных атак.
В нестабильном мире, где безопасность веб-сайтов и онлайн-ресурсов постоянно подвергается атакам, всем владельцам сайтов WordPress необходимо относиться к своим протоколам безопасности более серьезно, чем в прошлом.
Данные, только что опубликованные в нашем первом в истории отчете об уязвимостях WordPress за 2021 год, не только показывают весь год зарегистрированных уязвимостей WordPress за 2021 год, но также раскрывают конкретные уязвимости, которые чаще всего используют хакеры.
Например, знаете ли вы, что 97,1% всех уязвимостей WordPress в 2021 году были связаны с плагинами? Это важно знать, если для вас важен безопасный сайт WordPress.
Здесь, в iThemes, мы не хотим просто указывать на проблемы. Мы также хотим предоставить вам проверенные решения, которые обеспечивают полную защиту вашего веб-сайта WordPress от уязвимостей. И вы точно узнаете, что нужно сделать, чтобы полностью обезопасить свой сайт WordPress после просмотра этих данных.
Главный вывод 2021 года: внимательно следите за своими плагинами WordPress
В 2021 году 97,1% всех уязвимостей WordPress, раскрытых в прошлом году, были связаны с проблемами с плагинами. Вы правильно прочитали.
Уязвимости 2021 года по источникам
| Источник уязвимости | Сообщенный номер | Процент от общего числа (1628) |
|---|---|---|
| Ядро WordPress | 8 | 0,05% |
| Плагины | 1581 | 97,1% |
| Тема | 39 | 2,4% |
Но что больше всего беспокоит, так это то, что из 1581 уязвимости плагинов, о которых сообщалось в 2021 году, 23,2% не имели известных исправлений. Это означает, что по мере того, как мы приближаемся к 2022 году и далее, нам нужно быть еще более бдительными в отношении подключаемых модулей, которые мы загружаем и используем.
Например, несмотря на то, что вы можете получить бесплатный плагин от неизвестного разработчика плагина, полностью ли вы доверяете его безопасности? Как показывают данные, 29% зарегистрированных уязвимостей плагинов еще не исправлены их разработчиками.
Статус плагина на момент раскрытия
| Уровень угрозы | Сообщенный номер | Процент от общего числа (1628) |
|---|---|---|
| Исправлено | 1156 | 71% |
| Неизвестное исправление | 377 | 23,2% |
| Плагин закрыт | 95 | 5,8% |
Когда это возможно, держитесь за разработчиков плагинов, которым вы доверяете, и никогда не используйте плагины и темы WordPress с нулевым значением. И, конечно же, обновляйте свои плагины и темы с помощью доступных исправлений всякий раз, когда они выпускаются.
Но даже если вы сделаете это, опытные хакеры и злоумышленники все равно будут использовать уязвимости, прежде чем разработчики плагинов смогут создать исправления для их исправления.
Именно поэтому вашему сайту WordPress нужна надежная защита безопасности, о чем мы поговорим через минуту.
На данный момент важно знать, что плагин iThemes Security Pro имеет встроенный сканер сайта, который сочетается с функцией управления версиями для автоматического сканирования известных уязвимостей и автоматического обновления любых уязвимых плагинов, поэтому вам не о чем беспокоиться. о безопасности вашего сайта.
Огромный всплеск зарегистрированных уязвимостей в сентябре 2021 г.
Сентябрь был месяцем, который выделялся среди остальных. Фактически, в сентябре было обнаружено 20,5% от общего числа зарегистрированных уязвимостей, или 335 всего. Для сравнения, вторым по величине числом уязвимостей был октябрь, когда было сообщено о 173 уязвимостях. Июль не сильно отставал, с 157 случаями.
Уязвимости по отдельным плагинам/темам/ядрам по месяцам (2021 г.)
| Месяц | Плагины | Тема | Основной |
|---|---|---|---|
| январь | 19 | 0 | 0 |
| февраль | 42 | 2 | 0 |
| Маршировать | 58 | 1 | 0 |
| апрель | 67 | 1 | 2 |
| Мая | 37 | 5 | 2 |
| Июнь | 80 | 7 | 0 |
| Июль | 157 | 7 | 0 |
| Август | 149 | 0 | 0 |
| Сентябрь | 335 | 3 | 1 |
| Октябрь | 173 | 1 | 0 |
| ноябрь | 120 | 0 | 0 |
| Декабрь | 45 | 0 | 0 |
Хотя, конечно, невозможно узнать, будет ли повторяться подобная картина по мере нашего продвижения в 2022 году, это, безусловно, важные данные, на которые стоит обратить внимание.
Уязвимости по уровню угрозы по месяцам (2021 г.)
| Месяц | Критический | Высоко | Середина | Низкий |
|---|---|---|---|---|
| январь | 5 | 3 | 11 | 1 |
| февраль | 25 | 10 | 0 | 21 |
| Маршировать | 16 | 19 | 35 | 0 |
| апрель | 25 | 27 | 37 | 1 |
| Мая | 4 | 18 | 32 | 3 |
| Июнь | 7 | 18 | 64 | 1 |
| Июль | 8 | 65 | 120 | 9 |
| Август | 11 | 135 | 56 | 37 |
| Сентябрь | 19 | 174 | 156 | 38 |
| Октябрь | 8 | 73 | 75 | 62 |
| ноябрь | 9 | 46 | 53 | 22 |
| Декабрь | 0 | 30 | 18 | 9 |
Межсайтовый скриптинг как наиболее распространенная уязвимость плагинов
Межсайтовый скриптинг (XSS) — это тип уязвимости безопасности веб-сайта, которая встречается во многих приложениях WordPress, таких как плагины и темы.
Эти XSS-атаки позволяют злоумышленникам внедрять скрипты на стороне клиента в веб-страницы WordPress, просматриваемые другими пользователями. Уязвимость межсайтового скриптинга может использоваться злоумышленниками для обхода контроля доступа и полного доступа к серверной части вашего сайта.
На межсайтовые сценарии, выполненные на сайтах WordPress в 2021 году, приходилось 54,4% всех уязвимостей WordPress. Всего было 885 уязвимостей.
| Уровень угрозы | Сообщенный номер | Процент от общего числа (1628) |
|---|---|---|
| Межсайтовый скриптинг (CSS) | 885 | 54,4% |
| Запрос на межсайтовую подделку (CSFR) | 167 | 10,2% |
| SQL-инъекции | 152 | 9,3% |
| Обходит | 68 | 4,2% |
| RCE-уязвимости | 20 | 1,2% |
| Уязвимости PHP | 19 | 1,2% |
| Var Раскрытие информации | 19 | 1,2% |
| ОТДЫХА API | 11 | 0,7% |
| Раскрытие конфиденциальной информации | 6 | 0,4% |
| Все другие | 281 | 17,3% |
Как видите, межсайтовый скриптинг является серьезной проблемой безопасности для всех владельцев сайтов WordPress. Но на этом проблемы уязвимости не заканчиваются.
Еще 10,2%, или 167 уязвимостей, связаны с запросами на межсайтовую подделку (CSFR).
Подделка межсайтовых запросов, также известная как атака одним щелчком мыши или управление сеансом, представляет собой тип вредоносного использования веб-сайта, когда несанкционированные команды отправляются от пользователя, которому веб-приложение доверяет.
Не нужно много времени, чтобы увидеть, что без надлежащих протоколов безопасности WordPress ваш веб-сайт широко открыт для межсайтовых атак всех видов.
Но это не единственные типы уязвимостей, о которых вам следует беспокоиться. Помимо них, есть еще семь различных типов уязвимостей, о которых сообщалось в 2021 году.
И не сбрасывайте со счетов 281, или 17,3%, зарегистрированных уязвимостей, которые помечены в отчете как «Другие».
Зачастую такие типы атак еще не поняты разработчиками тем и плагинов, и для них требуется мощный плагин безопасности WordPress, чтобы предотвратить повреждение или взлом вашего сайта.
Уровни угроз уязвимостей в 2021 году
| Уровень угрозы | Сообщенный номер | Процент от общего числа (1628) |
|---|---|---|
| Критический | 137 | 8,4% |
| Высоко | 630 | 38,7% |
| Середина | 678 | 41,6% |
| Низкий | 183 | 11,2% |
Уязвимости ядра и темы WordPress
Как владелец сайта WordPress, вы, вероятно, уже знаете о важности постоянного обновления ваших плагинов, чтобы избежать потенциальных атак.
Ведь подавляющее большинство уязвимостей эксплуатируется через плагины.
Но, как показывают цифры на 2021 год, плагины — это не то место, где начинаются и заканчиваются ваши протоколы безопасности. Даже если вы на 100 % следите за используемыми плагинами и постоянно обновляете их, ваш сайт все равно может быть подвержен уязвимостям в вашей теме.
Его также можно использовать с помощью основного программного обеспечения WordPress. В прошлом году мы обнаружили в общей сложности 47 уязвимостей, которые использовались в ядре WordPress и различных темах. На это число приходится около 2,5% всех уязвимостей безопасности WordPress 2021 года.
И хотя это может показаться не таким уж большим, достаточно одной эксплуатируемой уязвимости сайта, чтобы полностью разрушить репутацию вашего сайта и бизнеса.
Конечно, первое решение состоит в том, чтобы постоянно обновлять ядро WordPress и вашу тему. Но, как мы уже говорили о плагинах, это помогает устранить только известные ранее уязвимости.
Для новых вам нужно запустить программное обеспечение безопасности, которое знает, как обнаруживать, когда злонамеренные атаки происходят в режиме реального времени.
Убедитесь, что безопасность веб-сайта в центре внимания в 2022 году
Именно здесь подключаемый модуль iThemes Security Pro помогает обеспечить безопасность вашего сайта WordPress. С нашим простым в использовании и понятным решением для обеспечения безопасности WordPress вы сразу же сможете лучше спать по ночам, зная, что ваш сайт полностью защищен от хакеров и вредоносных атак.
Первый шаг — понять, что ваш сайт постоянно подвергается бомбардировке угроз безопасности. После этого пришло время получить iThemes Security Pro и серьезно отнестись к протоколу безопасности вашего сайта WordPress.
Благодаря встроенному сканеру сайта WordPress для сканирования известных уязвимостей WordPress, в сочетании с уровнями защиты вашей страницы входа, такими как защита от перебора, а также обнаружение изменений файлов и ведение журнала пользователей, ваш сайт имеет надежную защиту от взломов и нарушений безопасности. .
Лучший плагин безопасности WordPress для Безопасный & Защищать Вордпресс
Создан экспертами по безопасности WordPress с 2014 года.
В настоящее время WordPress поддерживает более 40% всех веб-сайтов, поэтому он стал легкой мишенью для хакеров со злым умыслом. iThemes Security Pro устраняет сомнения в безопасности WordPress, чтобы упростить защиту вашего веб-сайта WordPress.
