Patchstack heeft zijn State of WordPress Security whitepaper gepubliceerd met een overzicht van bedreigingen voor het WordPress ecosysteem die in 2021 zijn geregistreerd. De whitepaper aggregeert gegevens uit meerdere bronnen, waaronder de Patchstack Vulnerability Database, de Patchstack Alliance (het bug bounty platform van het bedrijf), en publiekelijk gerapporteerde CVE’s uit andere bronnen.
In 2021 registreerde Patchstack bijna 1.500 kwetsbaarheden, een stijging van 150% ten opzichte van 2020, waarin ~600 kwetsbaarheden werden geregistreerd. Patchstack ontdekte dat het merendeel hiervan afkomstig is uit de WordPress.org repository:
De WordPress.org repository leidt de weg als de primaire bron voor WordPress plugins en thema’s. Kwetsbaarheden in deze componenten vertegenwoordigden 91,79% van de kwetsbaarheden die aan de Patchstack database werden toegevoegd.
De overige 8,21% van de gerapporteerde kwetsbaarheden in 2021 werden gerapporteerd in premium of betaalde versies van de WordPress plugins of thema’s die worden verkocht via andere marktplaatsen zoals Envato, ThemeForest, Code Canyon, of alleen beschikbaar worden gesteld om direct te downloaden.
WordPress heeft vier beveiligingsreleases uitgebracht, waarvan er slechts één een patch voor een kritieke kwetsbaarheid bevatte. Deze specifieke kwetsbaarheid zat niet in WordPress zelf, maar in een van de gebundelde open source bibliotheken, de PHPMailer bibliotheek.
Patchstack schat dat 99,31% van alle beveiligingsbugs van 2021 in componenten zaten – WordPress plugins en thema’s. Thema’s hadden de meeste kritieke kwetsbaarheden, met 55 logs dit jaar. Patchstack ontdekte dat 12,4% van de kwetsbaarheden die in thema’s werden gemeld een kritieke CVSS-score van 9,0-10,0 hadden. Arbitraire bestandsupload kwetsbaarheden kwamen het meest voor.
Plugins hadden in totaal 35 kritieke beveiligingsproblemen. Dit zijn minder kwetsbaarheden in vergelijking met thema’s, maar 29% van deze kreeg geen publieke patch.
“De meest verrassende bevinding was eigenlijk ook de meest ongelukkige waarheid,” zei Patchstack Security Advocate Robert Rowley. “Ik had niet verwacht dat zoveel plugins met kritieke kwetsbaarheden erin geen patches zouden ontvangen.
“Sommige van die kwetsbaarheden vereisten geen authenticatie om uit te voeren, en hebben publiekelijk beschikbare proof of concepts (exploit code) op grote schaal online beschikbaar gemaakt. Het is waarschijnlijk al te laat voor de site-eigenaren die geen bericht hebben gekregen dat hun websites kwetsbaar waren.”
Patchstack ondervroeg 109 eigenaren van WordPress sites en ontdekte dat 28% van de respondenten geen enkel budget had voor beveiliging, 27% begroot $1-3/maand, en slechts 7% begroot ~$50/maand. Agentschappen besteedden vaker maandelijkse kosten aan beveiliging dan individuele site-eigenaren.
Omgekeerd bleek uit de resultaten van dezelfde respondenten dat de gemiddelde kosten voor het verwijderen van malware $613 bedroegen. De prijzen voor het opschonen van malware varieerden van $50 tot $4.800.
Rowley ziet de significante toename van beveiligingslekken die in 2021 zijn gevonden als bewijs van meer betrokken beveiligingsprofessionals, niet als een teken dat het WordPress ecosysteem minder veilig wordt.
“Hoogstwaarschijnlijk komt dit doordat er meer beveiligingsbugs worden gerapporteerd (er wordt meer kwetsbare code gevonden, omdat meer mensen op zoek zijn),” aldus Rowley. “Patchstack runt een bug bounty-programma dat beveiligingsonderzoekers betaalt voor de bugs die ze melden in het WordPress-ecosysteem, wat beveiligingsonderzoekers (en zelfs ontwikkelaars die bekend zijn met WordPress) stimuleert om op zoek te gaan naar meer beveiligingsbugs.”
Over het algemeen laten de bevindingen van Patchstack dit jaar zien dat WordPress core zeer veilig is en dat de overgrote meerderheid van de kwetsbaarheden wordt gevonden in thema’s en plugins. Gebruikers moeten hun extensies in de gaten houden en periodiek controleren of ze zijn verlaten, aangezien niet alle kwetsbare software gegarandeerd wordt gepatcht. Bekijk de volledige whitepaper over beveiliging voor meer details over de soorten kwetsbaarheden die het vaakst worden aangetroffen in 2021.
Auteur: Sarah Gooding
https://wptavern.com/
