Živě Premium
Firma Patchstack, zabývající se bezpečností webů postavených na redakčním systému WordPress, zveřejnila zprávu o stavu zabezpečení WordPressu za rok 2021. Nutno konstatovat, že její závěry vykreslují poměrně děsivý obraz této oblíbené publikační platformy.

Firma Patchstack, zabývající se bezpečností webů postavených na redakčním systému WordPress, zveřejnila zprávu o stavu zabezpečení WordPressu za rok 2021. Nutno konstatovat, že její závěry vykreslují poměrně děsivý obraz této oblíbené publikační platformy.

Konkrétně v roce 2021 došlo k nárůstu nahlášených zranitelností o 150 % oproti předchozímu roku. Patrně nejzásadnější je informace, že 29 % kritických chyb v zásuvných modulech pro WordPress vůbec neobdrželo bezpečnostní aktualizaci.

Konkrétně v roce 2021 došlo k nárůstu nahlášených zranitelností o 150 % oproti předchozímu roku. Patrně nejzásadnější je informace, že 29 % kritických chyb v zásuvných modulech pro WordPress vůbec neobdrželo bezpečnostní aktualizaci.

Zpráva je alarmující zejména s ohledem na skutečnost, že WordPress je celosvětově nejoblíbenějším systémem pro správu obsahu – běží na něm 43,2 % všech webových stránek. Z chyb nahlášených v roce 2021 bylo pouze 0,58 % v jádru WordPressu, zbytek se týkal témat a pluginů, které pocházely z různých zdrojů a od vývojářů třetích stran.

Zpráva je alarmující zejména s ohledem na skutečnost, že WordPress je celosvětově nejoblíbenějším systémem pro správu obsahu – běží na něm 43,2 % všech webových stránek. Z chyb nahlášených v roce 2021 bylo pouze 0,58 % v jádru WordPressu, zbytek se týkal témat a pluginů, které pocházely z různých zdrojů a od vývojářů třetích stran.

Pozoruhodné je, že 91,38 % chyb bylo nalezeno v bezplatných zásuvných modulech, zatímco placené/prémiové doplňky pro WordPress tvořily pouze 8,62 % z celkového počtu. Tato čísla naznačují vyšší úroveň kontroly a testování kódu komerčními subjekty.

Pozoruhodné je, že 91,38 % chyb bylo nalezeno v bezplatných zásuvných modulech, zatímco placené/prémiové doplňky pro WordPress tvořily pouze 8,62 % z celkového počtu. Tato čísla naznačují vyšší úroveň kontroly a testování kódu komerčními subjekty.

V roce 2021 Patchstack napočítal pět zranitelností s kritickou závažností, které se týkaly 55 témat, přičemž nejzávažnější z nich zahrnovala zneužití funkcí pro nahrávání souborů. V zásuvných modulech bylo nahlášeno 35 kritických zranitelností, z nichž dvě se týkaly čtyř milionů webových stránek.

V roce 2021 Patchstack napočítal pět zranitelností s kritickou závažností, které se týkaly 55 témat, přičemž nejzávažnější z nich zahrnovala zneužití funkcí pro nahrávání souborů. V zásuvných modulech bylo nahlášeno 35 kritických zranitelností, z nichž dvě se týkaly čtyř milionů webových stránek.

Jednalo se o pluginy OptinMonster, který ovlivnil jeden milion webů, a All in One SEO, který vystavil potenciálním útokům tři miliony webových stránek. Zatímco vývojáři tyto zranitelnosti opravili prostřednictvím bezpečnostních aktualizací, jiných devět zásuvných modulů záplaty nikdy neobdrželo. Z důvodu neřešení závažných problémů proto byly odstraněny z oficiálních zdrojů.

Jednalo se o pluginy OptinMonster, který ovlivnil jeden milion webů, a All in One SEO, který vystavil potenciálním útokům tři miliony webových stránek. Zatímco vývojáři tyto zranitelnosti opravili prostřednictvím bezpečnostních aktualizací, jiných devět zásuvných modulů záplaty nikdy neobdrželo. Z důvodu neřešení závažných problémů proto byly odstraněny z oficiálních zdrojů.

Bezpečnostní experti uvádějí, že v roce 2021 se na prvním místě žebříčku nejčastěji hlášených typů chyb umístil cross-site scripting (XSS), následovaný „smíšenými“ chybami, SQL injektáží a nahráváním libovolných souborů.

Bezpečnostní experti uvádějí, že v roce 2021 se na prvním místě žebříčku nejčastěji hlášených typů chyb umístil cross-site scripting (XSS), následovaný „smíšenými“ chybami, SQL injektáží a nahráváním libovolných souborů.

Z hlediska závažnosti nahlášených chyb bylo 3,41 % kritických, 17,94 % bylo klasifikováno jako velmi závažné a 76,76 % jako středně závažné. Přibližně 42 % webů na WordPressu mělo v roce 2021 alespoň jednu zranitelnou komponentu z průměrně 18 nainstalovaných.

Z hlediska závažnosti nahlášených chyb bylo 3,41 % kritických, 17,94 % bylo klasifikováno jako velmi závažné a 76,76 % jako středně závažné. Přibližně 42 % webů na WordPressu mělo v roce 2021 alespoň jednu zranitelnou komponentu z průměrně 18 nainstalovaných.

Konkrétně v roce 2021 došlo k nárůstu nahlášených zranitelností o 150 % oproti předchozímu roku. Patrně nejzásadnější je informace, že 29 % kritických chyb v zásuvných modulech pro WordPress vůbec neobdrželo bezpečnostní aktualizaci.
Zpráva je alarmující zejména s ohledem na skutečnost, že WordPress je celosvětově nejoblíbenějším systémem pro správu obsahu – běží na něm 43,2 % všech webových stránek. Z chyb nahlášených v roce 2021 bylo pouze 0,58 % v jádru WordPressu, zbytek se týkal témat a pluginů, které pocházely z různých zdrojů a od vývojářů třetích stran.
Pozoruhodné je, že 91,38 % chyb bylo nalezeno v bezplatných zásuvných modulech, zatímco placené/prémiové doplňky pro WordPress tvořily pouze 8,62 % z celkového počtu. Tato čísla naznačují vyšší úroveň kontroly a testování kódu komerčními subjekty.
V roce 2021 Patchstack napočítal pět zranitelností s kritickou závažností, které se týkaly 55 témat, přičemž nejzávažnější z nich zahrnovala zneužití funkcí pro nahrávání souborů. V zásuvných modulech bylo nahlášeno 35 kritických zranitelností, z nichž dvě se týkaly čtyř milionů webových stránek.
8
Fotogalerie

Téměř třetina kritických chyb v pluginech pro WordPress se v loňském roce nedočkala opravy

Karel Kilián
11. března 2022
Diskuze (5)

Firma Patchstack, zabývající se bezpečností webů postavených na redakčním systému WordPress, zveřejnila zprávu o stavu zabezpečení WordPressu za rok 2021. Nutno konstatovat, že její závěry vykreslují poměrně děsivý obraz této oblíbené publikační platformy.

Konkrétně v roce 2021 došlo k nárůstu nahlášených zranitelností o 150 % oproti předchozímu roku. Patrně nejzásadnější je informace, že 29 % kritických chyb v zásuvných modulech pro WordPress vůbec neobdrželo bezpečnostní aktualizaci.

Díry bez záplaty

Zpráva je alarmující zejména s ohledem na skutečnost, že WordPress je celosvětově nejoblíbenějším systémem pro správu obsahu – běží na něm 43,2 % všech webových stránek. Z chyb nahlášených v roce 2021 bylo pouze 0,58 % v jádru WordPressu, zbytek se týkal témat a pluginů, které pocházely z různých zdrojů a od vývojářů třetích stran.

Pozoruhodné je, že 91,38 % chyb bylo nalezeno v bezplatných zásuvných modulech, zatímco placené/prémiové doplňky pro WordPress tvořily pouze 8,62 % z celkového počtu. Tato čísla naznačují vyšší úroveň kontroly a testování kódu komerčními subjekty.

V roce 2021 Patchstack napočítal pět zranitelností s kritickou závažností, které se týkaly 55 témat, přičemž nejzávažnější z nich zahrnovala zneužití funkcí pro nahrávání souborů. V zásuvných modulech bylo nahlášeno 35 kritických zranitelností, z nichž dvě se týkaly čtyř milionů webových stránek.

Jednalo se o pluginy OptinMonster, který ovlivnil jeden milion webů, a All in One SEO, který vystavil potenciálním útokům tři miliony webových stránek. Zatímco vývojáři tyto zranitelnosti opravili prostřednictvím bezpečnostních aktualizací, jiných devět zásuvných modulů záplaty nikdy neobdrželo. Z důvodu neřešení závažných problémů proto byly odstraněny z oficiálních zdrojů.

Statistika není nuda

Bezpečnostní experti uvádějí, že v roce 2021 se na prvním místě žebříčku nejčastěji hlášených typů chyb umístil cross-site scripting (XSS), následovaný „smíšenými“ chybami, SQL injektáží a nahráváním libovolných souborů.

Z hlediska závažnosti nahlášených chyb bylo 3,41 % kritických, 17,94 % bylo klasifikováno jako velmi závažné a 76,76 % jako středně závažné. Přibližně 42 % webů na WordPressu mělo v roce 2021 alespoň jednu zranitelnou komponentu z průměrně 18 nainstalovaných.

V souhrnu zpráva Patchstack zdůrazňuje, že správci stránek postavených na WordPressu mohou zvládnout většinu bezpečnostních problémů tím, že budou používat placené doplňky namísto bezplatných, udržováním počtu nainstalovaných pluginů na minimu a jejich co možná nejrychlejší aktualizací na poslední dostupné verze.

Vstoupit do diskuze (5)

Určitě si přečtěte

Články odjinud