Bezpečnost | Plugin | WordPress

Téměř třetina kritických chyb v pluginech pro WordPress se v loňském roce nedočkala opravy

Firma Patchstack, zabývající se bezpečností webů postavených na redakčním systému WordPress, zveřejnila zprávu o stavu zabezpečení WordPressu za rok 2021. Nutno konstatovat, že její závěry vykreslují poměrně děsivý obraz této oblíbené publikační platformy.

Konkrétně v roce 2021 došlo k nárůstu nahlášených zranitelností o 150 % oproti předchozímu roku. Patrně nejzásadnější je informace, že 29 % kritických chyb v zásuvných modulech pro WordPress vůbec neobdrželo bezpečnostní aktualizaci.

Díry bez záplaty

Zpráva je alarmující zejména s ohledem na skutečnost, že WordPress je celosvětově nejoblíbenějším systémem pro správu obsahu – běží na něm 43,2 % všech webových stránek. Z chyb nahlášených v roce 2021 bylo pouze 0,58 % v jádru WordPressu, zbytek se týkal témat a pluginů, které pocházely z různých zdrojů a od vývojářů třetích stran.

Pozoruhodné je, že 91,38 % chyb bylo nalezeno v bezplatných zásuvných modulech, zatímco placené/prémiové doplňky pro WordPress tvořily pouze 8,62 % z celkového počtu. Tato čísla naznačují vyšší úroveň kontroly a testování kódu komerčními subjekty.

V roce 2021 Patchstack napočítal pět zranitelností s kritickou závažností, které se týkaly 55 témat, přičemž nejzávažnější z nich zahrnovala zneužití funkcí pro nahrávání souborů. V zásuvných modulech bylo nahlášeno 35 kritických zranitelností, z nichž dvě se týkaly čtyř milionů webových stránek.

Jednalo se o pluginy OptinMonster, který ovlivnil jeden milion webů, a All in One SEO, který vystavil potenciálním útokům tři miliony webových stránek. Zatímco vývojáři tyto zranitelnosti opravili prostřednictvím bezpečnostních aktualizací, jiných devět zásuvných modulů záplaty nikdy neobdrželo. Z důvodu neřešení závažných problémů proto byly odstraněny z oficiálních zdrojů.

Statistika není nuda

Bezpečnostní experti uvádějí, že v roce 2021 se na prvním místě žebříčku nejčastěji hlášených typů chyb umístil cross-site scripting (XSS), následovaný „smíšenými“ chybami, SQL injektáží a nahráváním libovolných souborů.

Z hlediska závažnosti nahlášených chyb bylo 3,41 % kritických, 17,94 % bylo klasifikováno jako velmi závažné a 76,76 % jako středně závažné. Přibližně 42 % webů na WordPressu mělo v roce 2021 alespoň jednu zranitelnou komponentu z průměrně 18 nainstalovaných.

V souhrnu zpráva Patchstack zdůrazňuje, že správci stránek postavených na WordPressu mohou zvládnout většinu bezpečnostních problémů tím, že budou používat placené doplňky namísto bezplatných, udržováním počtu nainstalovaných pluginů na minimu a jejich co možná nejrychlejší aktualizací na poslední dostupné verze.

Diskuze (5) Další článek: Vyhledávač DuckDuckGo bude ve výsledcích penalizovat weby šířící ruskou propagandu a dezinformace

Témata článku: Bezpečnost, Plugin, WordPress, Webová stránka, XSS, Kritická chyba, Záplata, Zranitelnost, Modul, Oprava, Chyba



Sex manželských párů? Jen výjimečně. Ložnice ovládnou roboti s umělou inteligencí

Sex manželských párů? Jen výjimečně. Ložnice ovládnou roboti s umělou inteligencí

** Sex manželských párů jen při zvláštních příležitostech. ** Ložnice ovládnou sexuální roboti s umělou inteligencí. ** I to je jeden ze závěrů Mezinárodní robotické konference.

Filip KůželJiří Liebreich
RobotiSexUmělá inteligence
Americká DARPA vyvíjí těžký ekranoplán Liberty Lifter. Je to něco mezi letadlem, vznášedlem a lodí

Americká DARPA vyvíjí těžký ekranoplán Liberty Lifter. Je to něco mezi letadlem, vznášedlem a lodí

** Koncept tzv. ekroplánů nebyl považován za příliš životaschopný ** Americká DARPA se ho však rozhodla oživit ** ** Pracuje na ekranoplánu pro transport velmi velkých a těžkých nákladů na velké vzdálenosti, bez využití letištních drah

Stanislav Mihulka
DARPAVojenstvíDoprava
Facebook a Instagram mohou přes své prohlížeče sledovat veškerou vaši aktivitu, odhalila analýza
Markéta Mikešová
SledováníSoukromíInstagramFacebookSociální sítě
Jak zrcadlit obrazovku mobilu a počítače do televize

Jak zrcadlit obrazovku mobilu a počítače do televize

Ať už se chcete pochlubit fotkami z dovolené na velké obrazovce, nebo si přehrát video uložené na disku počítače, neobejdete se bez zrcadlení obrazovky. Ve výchozím stavu jej podporuje Windows i Android.

Stanislav Janů
NávodyTelevizeWindows
Americká armáda testuje britský stratosférický dron Airbus Zephyr

Americká armáda testuje britský stratosférický dron Airbus Zephyr

** Pozoruhodný dron Airbus Zephyr byl navržený k misím ve stratosféře ** Díky solárním panelům by měl vydržet létat bez přistání velmi dlouhou dobu ** Takové letouny mohou pozorovat rozsáhlé území z velké výšky anebo přenášet komunikaci

Stanislav Mihulka
LétáníVojenstvíDrony
Amazfit chystá dva nové prémiové modely hodinek. Uvnitř budou stejné, navenek rozhodne tvar těla

Amazfit chystá dva nové prémiové modely hodinek. Uvnitř budou stejné, navenek rozhodne tvar těla

** Amazfit připravuje dva modely polochytrých hodinek vyšší třídy ** GTS 4 a GTR 4 rozeznáte na první pohled podle tvaru těla ** Ořezanou variantu GTS 4 Mini už potvrdil i sám výrobce

Martin Chroust
Zepp OSPolochytré hodinkyAmazfit
Oppo a OnePlus nesmí v Německu prodávat telefony. Zákaz hrozí i v dalších zemích EU

Oppo a OnePlus nesmí v Německu prodávat telefony. Zákaz hrozí i v dalších zemích EU

** Patentové spory většinou ústí k tomu, že jedna z firem zaplatí ** Oppo ani OnePlus však nechtějí platit 2,50 EUR za každý telefon ** Firmy už v Německu nesní prodávat, a to může platit i o dalších trzích

Martin Chroust
NěmeckoPatentSmartphony
Nastal pravý čas na výměnu telefonu. Jak poznat, že ten váš už dosluhuje?

Nastal pravý čas na výměnu telefonu. Jak poznat, že ten váš už dosluhuje?

** Jak poznat, že váš telefon má nejlepší dny za sebou? ** Vypadá potlučeně, má pavučinu nebo nedostává aktualizace? ** Ukážeme si, kdy má smysl jeho oprava, a kdy už jen koupě nového

Martin Chroust
Prasklý displejVysloužilý mobilSmartphony
Jak poznat, že máte možná hacknutý telefon? Toto je devět symptomů, které můžete pozorovat

Jak poznat, že máte možná hacknutý telefon? Toto je devět symptomů, které můžete pozorovat

** Jak poznat, že je váš smartphone hacknutý? ** Hledejte známky po nestandardním chování telefonu ** Stačí když telefon vydrží méně nebo topí i v klidovém režimu...

Martin Chroust
Jak...Malware
Kde se vzala potřeba velkých operačních pamětí v telefonech a kolik RAM zabírá Android?

Kde se vzala potřeba velkých operačních pamětí v telefonech a kolik RAM zabírá Android?

** RAM je po procesoru druhým nejdůležitějším HW parametrem ** Stará se o rychlý multitasking a o svižné načítání dat ** Věděli jste, kolik v RAM průměrně zabírá Android 12?

Martin Chroust
Virtuální RAMOperační paměť
Sociální síť BeReal jde proti proudu. Žádné filtry a přetvařování, tohle má být čistá realita

Sociální síť BeReal jde proti proudu. Žádné filtry a přetvařování, tohle má být čistá realita

** BeReal je novou hvězdou mezi sociálními sítěmi ** Ukazuje pouze všední realitu běžných dní ** Aplikace vám jednou denně dá dvě minuty na poslání vlastní fotky

Martin Chroust
BeRealMobilní aplikaceSociální sítě