- XSS بالاترین آسیب پذیری وردپرس در سال 2023 است
- دیگر هیچ آسیبپذیری با رتبه بالا یا بحرانی وجود ندارد
- آسیب پذیری های احراز هویت شده و تایید نشده
- پلاگین های رها شده به عنوان یک عامل خطر افزایش می یابند
- محبوب ترین افزونه های دارای آسیب پذیری
- لیست محبوب ترین افزونه های دارای آسیب پذیری
- وضعیت امنیت وردپرس بدتر است
محققان امنیت وردپرس در Patchstack، کاغذ سفید سالانه خود را در مورد وضعیت امنیت وردپرس منتشر کردهاند که نشاندهنده افزایش آسیبپذیریهای با شدت بالا و حیاتی است و اهمیت امنیت برای همه وبسایتها را برجسته میکند. پلتفرم وردپرس.
XSS بالاترین آسیب پذیری وردپرس در سال 2023 است
انواع مختلفی از آسیبپذیریها وجود دارد، اما تا حد زیادی رایجترین آسیبپذیری اسکریپت بین سایتی (XSS) است که 53.3 درصد از آسیبپذیریهای امنیتی جدید وردپرس را تشکیل میدهد.
آسیبپذیریهای XSS معمولاً بهدلیل «ضعیفسازی» ناکافی ورودی کاربر رخ میدهند، که شامل مسدود ، هر ورودی است که با آنچه مورد انتظار است مطابقت ندارد. Patchstack گزارش داد که چارچوب Freemius، یک پلتفرم تجارت الکترونیک مدیریت شده توسط شخص ثالث، بیش از 1200 آسیب پذیری XSS یا 21 درصد از تمام آسیب پذیری های جدید XSS کشف شده در سال 2023 را شامل می شود.
Freemius SDK به عنوان جزئی از بیش از 1200 افزونه استفاده می شود که به نوبه خود در بیش از 7 میلیون سایت وردپرس نصب شده اند. این موضوع آسیبپذیریهای زنجیره تامین را هنگامی که یک جزء به عنوان بخشی از افزونه وردپرس استفاده میشود، برجسته میکند و متعاقباً دامنه آسیبپذیری را فراتر از یک افزونه افزایش میدهد.
گزارش Patchstack توضیح می دهد:
امسال، بار دیگر دیدیم که چگونه یک آسیبپذیری اسکریپت بین سایتی در چارچوب Freemius به 1248 افزونه اجازه میدهد تا آسیبپذیری امنیتی را به ارث ببرند و کاربران خود را در معرض خطر قرار دهند.
21 درصد از تمام آسیب پذیری های جدید کشف شده در سال 2023 را می توان به این نقص نسبت داد. بسیار مهم است که توسعه دهندگان پشته خود را با دقت انتخاب کرده و بهروزرسانیهای امنیتی را بهمحض دردسترس شدن به سرعت اعمال کنند.
دیگر هیچ آسیبپذیری با رتبه بالا یا بحرانی وجود ندارد
به آسیبپذیریها یک نمره شدت اختصاص داده میشود که با درجه اختلال یک نقص کشفشده مطابقت دارد. رتبه بندی ها از پایین، متوسط، بالا و بحرانی متغیر است.
در سال 2022، 13 درصد از آسیب پذیری های جدید به عنوان بالا یا بحرانی طبقه بندی شدند. این درصد در سال 2023 به 42.9 درصد افزایش یافت، به این معنی که در سال 2023 آسیب پذیری های مخرب بیشتری نسبت به سال قبل وجود داشت.
آسیب پذیری های احراز هویت شده و تایید نشده
معیار دیگری که در گزارش ظاهر میشود، درصد آسیبپذیریهایی است که نیازی به احراز هویت ندارند (غیر احراز هویت)، به این معنی که مهاجم برای راهاندازی یک حمله به هیچ سطحی از مجوز کاربر نیاز ندارد.
آسیبپذیریهایی که مهاجم را ملزم به داشتن مجوزهای سطح مشترک تا سرپرست میکند، نوار بالاتری برای غلبه بر مهاجمان دارند. آسیبپذیریهای احرازنشده به مهاجم نیاز ندارند ابتدا سطح مجوز را دریافت کند، که این نوع آسیبپذیریها را نگرانکنندهتر میکند، زیرا میتوانند از طریق حملات خودکار مورد سوء استفاده قرار گیرند، مانند رباتهایی که سایتی را به دنبال آسیبپذیری بررسی میکنند و سپس بهطور خودکار حملات را راهاندازی میکنند.
Patchstack دریافت که 58.9 درصد از تمام آسیبپذیریهای جدید نیازی به احراز هویت ندارند.
پلاگین های رها شده به عنوان یک عامل خطر افزایش می یابند
یکی دیگر از دلایل مهم آسیب پذیری، تعداد زیاد افزونه های رها شده است. در سال 2022، Patchstack 147 پلاگین و تم رها شده را در WordPress.org گزارش کرد که از بین آنها، 87 مورد حذف و بقیه رفع شدند.
در سال 2023، تعداد پلاگین های رها شده از 147 در سال 2022 به 827 افزونه و تم در سال 2023 رسید. در حالی که 87 افزونه آسیب پذیر رها شده در سال 2022 حذف شدند، 481 افزونه در سال 2023 حذف شدند.
Patchstack اشاره کرد:
ما 404 مورد از این افزونهها را در یک روز گزارش کردیم تا توجه را به «همهگیری افزونه زامبی» در وردپرس جلب کنیم. این گونه پلاگینهای «زامبی» اجزایی هستند که در نگاه اول امن و بهروز به نظر میرسند، اما ممکن است حاوی مسائل امنیتی اصلاحنشده باشند. علاوه بر این، این افزونه ها حتی اگر از مخزن افزونه وردپرس حذف شوند، در سایت های کاربران فعال باقی می مانند.
محبوب ترین افزونه های دارای آسیب پذیری
همانطور که قبلا ذکر شد، سطوح شدت از کم، متوسط، زیاد و بحرانی متغیر است. Patchstack لیستی از محبوب ترین افزونه های دارای آسیب پذیری را گردآوری کرده است.
از سال 2022، 11 افزونه محبوب با بیش از 1 میلیون نصب فعال حاوی آسیب پذیری وجود دارد. در سال 2023، Patchstack نوار نصب را از یک میلیون به بیش از 100000 نصب کاهش داد. با این حال، اگرچه ساختن فهرست آسانتر بود، اما تنها ۹ افزونه محبوب آسیبپذیری داشتند که بسیار کمتر از سال ۲۰۲۲ بود.
در سال 2022، تنها پنج مورد از 11 افزونه پرطرفدار دارای آسیبپذیری دارای آسیبپذیری با شدت بالا بودند، هیچ کدام دارای آسیبپذیری بحرانی نبودند و بقیه با شدت متوسط بودند.
این اعداد در سال 2023 به طور قابل توجهی بدتر شدند. علیرغم کاهش آستانه برای افزونه محبوبی که در نظر گرفته می شود، هر 9 افزونه موجود در لیست دارای آسیب پذیری های سطح بحرانی بودند. اکثریت قریب به اتفاق افزونههای این فهرست، شش مورد از نه، دارای آسیبپذیریهای تایید نشده بودند، به این معنی که مقیاسپذیری از آنها از طریق اتوماسیون آسان است. سه مورد دیگر که نیاز به احراز هویت داشتند، فقط به دسترسی در سطح مشترک نیاز داشتند، که سادهترین سطح مجوز برای کسب است. فقط ثبت نام کنید، ایمیل را بررسی کنید و آنها آنجا هستند. این نیز از طریق اتوماسیون قابل گسترش است.
لیست محبوب ترین افزونه های دارای آسیب پذیری
- افزونه های ضروری برای نصب Elementor 1M+ (رده بندی شدت 9.8)
- WP Fastest Cache 1M+ نصب (شاخص شدت 9.3)
- نصبهای Gravity Forms 940k (امتیاز جاذبه 8.3)
- فیوژن بیلدر 900000 نصب (رده بندی شدت 8.5)
- Flatsome (موضوع) 618000 نصب (رده بندی شدت 8.3)
- WP Statistics 600000 نصب (شاخص شدت 9.9)
- نصبهای Forminator 400k (شاخص شدت 9.8)
- نصبهای WPvivid Backup and Migration 30ok (رده بندی شدت 8.8)
- JetElements برای نصب Elementor 30ok (رده بندی شدت 8.2)
وضعیت امنیت وردپرس بدتر است
اگر احساس میکنید آسیبپذیریها بیش از هر زمان دیگری وجود دارد، اکنون دلیل آن را میدانید، آمارها خودشان صحبت میکنند. در سال 2023 آسیب پذیری های بیشتری وجود خواهد داشت و درصد بالاتری در سطوح بالا و بحرانی خواهد بود که می تواند از طریق اتوماسیون در مقیاس بزرگ مورد سوء استفاده قرار گیرد.
این بدان معنی است که همه ناشران باید امنیت خود را بهبود بخشند و اطمینان حاصل کنند که شخصی مسئولیت بازرسی منظم افزونه ها و مضامین آنها را بر عهده می گیرد تا اطمینان حاصل شود که همه آنها به روز شده و فعالانه نگهداری می شوند.
سئوکاران باید این را در نظر بگیرند، زیرا وقتی گوگل یک سایت هک شده را از نتایج جستجو حذف می کند، امنیت به سرعت به یک مسئله رتبه بندی تبدیل می شود. بسیاری از سئوکارانی که ممیزی سایت را انجام می دهند حتی ابتدایی ترین بررسی های امنیتی را انجام نمی دهند، مانند بررسی سرصفحه های امنیتی که من به عنوان بخشی از هر ممیزی انجام می دهم. همیشه مطمئن شوید که با مشتریان در مورد ایمنی آنها بحث می کنید تا اطمینان حاصل کنید که آنها از خطرات آگاه هستند.
Patchstack نمونهای از سرویسی است که به طور خودکار از سایتهای وردپرس در برابر آسیبپذیریها محافظت میکند، حتی قبل از اینکه افزونه یک وصله برای رفع آسیبپذیری منتشر کند. این نوع خدمات به منظور ایجاد دفاع در برابر هک و از دست دادن دید جستجو و درآمد مهم هستند.
گزارش Patchstack را بخوانید:
وضعیت امنیت وردپرس در سال 2023
تصویر برجسته توسط Shutterstock/Iurii Stepanov
منبع: https://www.searchenginejournal.com/wordpress-security-vulnerabilities/512622/