Giải pháp Patchstack chuyên về bảo mật trên WordPress xuất bản sách trắng hàng năm của nó về lỗ hổng của các trang web trên CMS. Nó xem xét các vấn đề bảo mật hàng đầu được báo cáo vào năm 2022. Nhà xuất bản dựa vào dữ liệu từ Patchstack Alliance, nền tảng nhận thưởng lỗi giúp kết nối các nhà nghiên cứu bảo mật và nhà phát triển plugin. Việc phân tích dựa trên 4 các phiên bản bảo mật được WordPress trình bày vào năm 2022: 5.8.3, 5.9.2, 6.0.2 Và 6.0.3.
Lỗ hổng trên WordPress: những số liệu quan trọng cần nhớ từ năm 2022
Vào năm 2022, Patchstack rút ra những bài học sau:
Phần lớn các lỗ hổng được báo cáo đến từ plugin (93%), Số lượng lỗ hổng được báo cáo trong plugin đã tăng 328% so với năm 2021, mức tăng đáng kể trong một năm,
6,7 % lỗ hổng đến từ các chủ đề WordPress, Rất ít lỗi được tìm thấy trong trung tâm của nền tảng WordPress (0,6 %), 26% plugin có lỗ hổng nghiêm trọng chưa bao giờ nhận được bản vá, 42% trang WordPress cài đặt ít nhất một phần mềm dễ bị tấn công.
Do đó, trong nghiên cứu của mình, người biên tập nhấn mạnh vào trách nhiệm của người dùng nền tảng, cho dù họ là nhà phát triển trang web hay người tạo plugin và chủ đề.
Nếu bạn là nhà phát triển trang web WordPress, hãy chú ý đến các plugin và chủ đề bạn sử dụng trong trang web của mình. […] Nếu bạn là nhà phát triển plugin hoặc chủ đề, hãy chú ý đến các thư viện bạn sử dụng trong dự án của riêng mình và kiểm tra xem chúng có nhận được bất kỳ bản cập nhật nào không, đặc biệt là các bản cập nhật bảo mật.
Các loại lỗ hổng phổ biến nhất trong WordPress
Trong nghiên cứu trước đây vào năm 2021, Patchstack lưu ý rằng gần một trong hai lỗ hổng (49,82%) có tính chất XSS (Cross-site Scripting): chèn mã độc vào trang web của các trang web.
Vào năm 2022, tỷ lệ này đã giảm đáng kể (27.2 %). Giả mạo yêu cầu chéo trang (CSRF) hiện là mối đe dọa bảo mật nghiêm trọng nhất (29,4 %). Xin nhắc lại, CSRF là một lỗ hổng bao gồm việc buộc người dùng được xác thực trên một trang web thực hiện các hành động cụ thể mà họ không biết. Loại lỗ hổng này chỉ chiếm 11% số lỗ hổng vào năm 2021. Patchstack phần nào giải thích sự gia tăng này là do các vấn đề được nền tảng Freemius xác định.
Các vấn đề bảo mật CSRF thường dễ tìm thấy hơn và do đó được báo cáo thường xuyên hơn. Thứ hai, năm ngoái một lỗ hổng CSRF đã được phát hiện trong SDK Freemius, ảnh hưởng đến một số lượng lớn plugin.
Các plugin phổ biến gây ra lỗ hổng nghiêm trọng trong WordPress
Ngoài bản chất của các lỗ hổng, Patchstack còn quan tâm đến mức độ nghiêm trọng của các vấn đề bảo mật. Do đó, nhà xuất bản ấn định điểm CVSS (Hệ thống chấm điểm lỗ hổng bảo mật phổ biến), tương ứng với đánh giá của 0 lúc 10:
của 0,1 có 3,9 /10: lỗ hổng nghiêm trọng thấp, 4 có 6,9 /10: lỗ hổng ở mức độ nghiêm trọng trung bình, của 7 có 8,9 /10: lỗ hổng ở mức độ nghiêm trọng nghiêm trọng, của 9 ở mức 10/10: lỗ hổng ở mức độ nghiêm trọng nghiêm trọng.
Vào năm 2022, 3 % vấn đề bảo mật ở mức độ nghiêm trọng thấp, 84% mức độ nghiêm trọng trung bình, 11% mức độ nghiêm trọng nghiêm trọng và 2 % mức độ nghiêm trọng tới hạn. Hơn nữa, trong số các plugin phổ biến (> to 1 triệu lượt tải xuống), 5 trong số họ đã gặp phải một lỗ hổng có mức độ nghiêm trọng nghiêm trọng:
Trình tạo trang web Elementor : điểm của 8,8/10,
Addons cần thiết cho Elementor : điểm của 8,6/10,
Sao lưu WordPress UpdraftPlus : điểm của 8,5/10,
Nhập bản demo bằng một cú nhấp chuột : điểm của 7,2/10,
MonsterInsights : điểm của 7,1/10.
Lưu ý rằng vào năm 2021, 2 các tiện ích mở rộng phổ biến (All in One SEO và WP Fastest Cache) đã gặp phải lỗ hổng ở mức nghiêm trọng.
Cảnh báo của Patchstack về bảo mật WordPress CMS
Chuyên gia an ninh mạng WordPress lưu ý một số điểm khác. Đầu tiên, Patchstack nhấn mạnh sự nguy hiểm của các plugin bị bỏ rơi. Thật vậy, nếu những thứ này bị xóa khỏi thư mục WordPress, chúng vẫn hoạt động trên các trang web đã tải chúng xuống. Do đó, chúng đặc biệt dễ bị tấn công và không có bản cập nhật nào, tạo cho người dùng ấn tượng rằng chúng được cập nhật.
Phần mềm có sẵn trong kho công cộng đôi khi không được hỗ trợ vì nó đã bị ngừng sản xuất. Vấn đề này càng trở nên trầm trọng hơn do chủ sở hữu trang web sẽ nhìn thấy nhãn “không có bản cập nhật” gây hiểu lầm cho các thành phần không an toàn này. Nhiều chủ sở hữu trang web không hề biết rằng họ đang sử dụng các thành phần không an toàn.
Mặt khác, Patchstack nhấn mạnh sự tham gia tốt hơn của các tác nhân trong hệ sinh thái vào vấn đề bảo mật trên WordPress. Nhà xuất bản đặc biệt nhấn mạnh công việc của các dịch vụ lưu trữ WordPress trong việc cảnh báo khách hàng về các lỗ hổng trên trang web của họ. Đối với năm 2023, Patchstack rất lạc quan. Theo giải pháp, số lượng lỗ hổng được báo cáo tăng lên không có nghĩa là chúng tăng lên mà là nhiều lỗ hổng đã được giải quyết.
