WordPress için eklentiler veya daha özel olarak ücretsiz WordPress eklentileri, birçoğu tehdit aktörlerinin hedef web sitesini tamamen ele geçirmesine izin veren ve çoğu asla yamalanmayan gerçek bir ilkel kusur ve güvenlik açığı çorbasıdır.
Bu, popüler web sitesi oluşturucu platformu için tehdit istihbaratı ve güvenlik araçları sağlayan bir şirket olan Patchstack’in raporundaki korkunç sonuçtur.
Rapora göre, WordPress ile bağlantılı güvenlik açıklarının sayısı 2021’de bir önceki yıla göre %150 arttı. Bu güvenlik açıklarından yalnızca %0,58’i gerçek web sitesi oluşturucusu olan WordPress çekirdeğindedir. Onda dokuzdan fazlası (%91,38) ücretsiz eklentilerde ve %8,62 ticari eklentilerde bulundu.
XSS en popüler kusur
WordPress eklentilerinde bulunan kritik kusurların neredeyse üçte biri (%29) hiçbir zaman yamalanmaz. İyi haber şu ki, yamalanmayan eklentiler sonunda eklenti deposundan atılır. Rapor, dokuz eklentinin hiçbir zaman yama almadığını ve daha sonra kaldırıldığını söyledi.
Geçen yıl şirket, toplam 55 WordPress temasını etkileyen kritik önemde beş güvenlik açığı keşfetti. Bunlardan biri, özellikle tehlikeli bir bulgu olan dosya yükleme özelliklerini kötüye kullandı. Eklentiler arasında Patchstack, ikisi dört milyon web sitesinde bulunan 35 kritik güvenlik açığı buldu.
Patchstack ayrıca, bildirilecek en popüler kusurun siteler arası komut dosyası çalıştırma (XSS) olduğunu ve ardından “karma” siteler arası istek sahteciliği, SQL enjeksiyonları ve rastgele dosya yüklemeleri olduğunu buldu.
Ortalama bir WordPress sitesinde, en az biri içinde tehlikeli bir güvenlik açığı bulunan 18 yüklü bileşen bulunur. Rapor, bir yıl önce kurulan ortalama 23 eklentiye kıyasla sayının düştüğünü söylüyor.
Tüm savunmasız eklentiler arasında geçen yıl en popüler hedefler OptinMonster, PublishPress Capabilities, Booster for WooCommerce eklentisi ve Image Hover Effects Ultimate eklentisiydi.
İnternetteki tüm web sitelerinin neredeyse yarısı (%43,2) WordPress tarafından desteklenmektedir.
Üzerinden: BleeBilgisayar