Согласно данным отчета компании Checkmarx, большое количество плагинов к WordPress уязвимо к типичным атакам на web-приложения. В частности, эксперты проанализировали 50 самых популярных плагинов к системе управления web-контентом, из них 20% (12 плагинов) содержат уязвимости. Количество загрузок уязвимых плагинов составляет практически 8 млн. Все эти расширения уязвимы к SQL-инъекциям, XSS, CSRF нападениям и обходу каталога.
Более подробный анализ кода осуществлялся для 10 самых популярных плагинов, связанных с электронной коммерцией, уязвимости были выявлены в 7 (70%). Таким образом, пользователи уже загрузили 1,7 млн уязвимых плагинов для электронной коммерции.
В Checkmarx отмечают, что нет никакой корреляции между числом строчек кода и уровнем уязвимости плагинов. Каждая строка кода может быть уязвимой. Специалисты компании опровергают мнение о том, что чем меньше код, тем он безопаснее. Напротив – некоторые плагины, состоящие только из нескольких тысяч строк кода, были уязвимы к большему количеству атак, нежели расширения, включающие в себя десятки тысяч строк кода.
Интересно, что Checkmarx проводило похожее исследование в январе текущего года. В то время уязвимыми оказались 18 из 50 плагинов. Таким образом, за шесть месяцев текущего года была улучшена безопасность только 6 плагинов, несмотря на то, что для всех 50-ти были выпущены обновления.
Эксперты отмечают, что для того, чтобы бороться со сложившейся ситуацией следует ужесточить процедуру приема плагинов в каталог WordPress.org. Нужно принимать только те плагины, код которых прошел тщательную проверку.
Источник: SecurityLab
|