Acaba de sair um relatório detalhado sobre a segurança no WordPress. O levantamento é da empresa líder em segurança e inteligência da pltaforma para blogs Patchstack. Ela lançou um whitepaper para apresentar o estado da segurança do WordPress em 2021. O cenário não é dos melhores. Quase 30% dos bugs críticos de plugins do WordPress não recebem um patch.
Mais especificamente, 2021 teve um crescimento de 150% nas vulnerabilidades relatadas em comparação com o ano anterior. Por outro lado, 29% das falhas críticas nos plugins do WordPress nunca receberam uma atualização de segurança.
Isso é alarmante, considerando que o WordPress é o sistema de gerenciamento de conteúdo mais popular do mundo, usado em 43,2% de todos os sites existentes.
De todas as falhas relatadas em 2021, apenas 0,58% estavam no núcleo do WordPress, sendo o restante em temas e plugins para a plataforma, vindos de várias fontes e diferentes desenvolvedores.
Notavelmente, 91,38% dessas falhas são encontradas em plugins gratuitos, enquanto os complementos pagos/premium do WordPress representaram apenas 8,62% do total, refletindo melhores procedimentos de verificação e teste de código.
Quase 30% dos bugs críticos de plugins do WordPress não recebem um patch
Em 2021, o Patchstack contou cinco vulnerabilidades de gravidade crítica que afetam 55 temas do WordPress, sendo a mais impactante o abuso de recursos de upload de arquivos.
Em relação aos plugins, 35 vulnerabilidades críticas foram relatadas, duas delas afetando quatro milhões de sites.
Dois exemplos notáveis cobertos pela Bleeping Computer no ano passado são o plug- in “OptinMonster” que impactou 1 milhão de sites e o plug-in de SEO “All in One” que expôs 3 milhões de sites a ataques de aquisição.
Enquanto os desenvolvedores corrigiram essas vulnerabilidades por meio de atualizações de segurança, nove plugins nunca receberam patches. Portanto, eles foram removidos dos mercados de plugins por não resolverem os problemas graves.
Notavelmente, esse subconjunto também sofreu predominantemente com problemas de upload de arquivos não autenticados, seguidos por injeção de SQL e bugs de escalonamento de privilégios.
Alvos mais importantes
O PatchStack relata que o cross-site scripting (XSS) liderou a lista com o tipo mais relatado de falhas do WordPress em 2021, seguido por “misto”, falsificação de solicitação entre sites, injeção de SQL e upload arbitrário de arquivos.
Quanto à gravidade das falhas relatadas, 3,41% foram críticas, 17,94% foram classificadas como muito importantes e 76,76% foram classificadas como médias, principalmente devido à presença de condições para exploração.
Cerca de 42% dos sites WordPress tinham pelo menos um componente vulnerável em 2021, dos 18 instalados em média. Embora esse número seja inferior aos 23 plugins instalados nos sites em 2020, o problema permanece devido a seis de 18 deles estarem desatualizados.
Os plug-ins desatualizados mais direcionados em 2021 foram OptinMonster, PublishPress Capabilities, Booster for WooCommerce e Image Hover Effects Ultimate.
Em resumo, o relatório do Patchstack destaca que os administradores do site WordPress podem gerenciar a maioria dos riscos de segurança usando plugins pagos em vez de ofertas gratuitas, mantendo o número mínimo de complementos instalados e atualizando-os para a versão mais recente disponível o mais rápido possível.
Via BleepingComputer