Patchstack 328٪ بیشتر باگ های امنیتی گزارش شده در افزونه های وردپرس در سال 2022 را ردیابی می کند – WP Tavern

مشابه سال‌های گذشته، اکثر این باگ‌های امنیتی در افزونه‌ها (93%)، پس از آن تم‌ها (6.7%) و هسته وردپرس (0.6%) یافت شدند.

حل مشکل توسعه دهندگان که کار خود را رها می کنند چالش برانگیز است و بسیاری از کاربران نمی دانند چگونه افزونه هایی را انتخاب کنند که احتمال بیشتری برای پشتیبانی از آنها وجود دارد.

در سال 2022 دیدیم 328 درصد بیشتر باگ های امنیتی گزارش شده است در افزونه های وردپرس – اضافه کردیم 4,528 اشکالات امنیتی را در پایگاه داده ما در مقایسه با 1,382 در سال 2021.

این اعداد از داده های عمومی Patchstack و سایر شرکت های امنیتی و محققان در اکوسیستم وردپرس به دست آمده اند. تعداد کل آسیب‌پذیری‌ها از سه CNA رسمی در فضای وردپرس است که مجاز به اختصاص شناسه‌های CVE به آسیب‌پذیری‌های امنیتی جدید هستند و محققان مسائل را به آنها گزارش می‌دهند. اینها عبارتند از Patchstack، Automattic (WPscan) و WordFence. الیور سیلد، مدیر عامل Patchstack گفت که برخی از آسیب‌پذیری‌ها نیز به‌طور مستقل در جای دیگری منتشر شده یا مستقیماً به MITRE گزارش شده‌اند.

او گفت: “ما هنوز فکر می کنیم که این یک مشکل بزرگ را نشان می دهد، و آن این است که برخی از افزونه ها پشتیبانی نمی شوند یا رها شده اند و وصله های به موقع دریافت نمی کنند.”

در این گزارش تاکید شده است که افزایش تعداد آسیب‌پذیری‌های گزارش‌شده به این معنی است که اکوسیستم در نتیجه یافتن و اصلاح مسائل امنیتی بیشتر، ایمن‌تر می‌شود.

Sild گفت که کاربران اغلب در تاریکی رها می شوند زیرا هسته وردپرس فقط در صورت موجود بودن به روز رسانی نشان می دهد. اگر یک افزونه توسط WordPress.org به دلیل یک مشکل امنیتی اصلاح نشده بسته شود، کاربران مطلع نمی شوند.

سیلد گفت: “من فکر می کنم مهم است که شفاف باشیم.” همچنین اشکالی ندارد که پروژه ها به پایان برسد. من اخیراً به همکارم گفتم که “وقتی شخصی یک افزونه جدید می‌سازد، باید در نظر داشته باشد که ممکن است کسی واقعاً از آن استفاده کند.” این به نوعی به من چسبید، زیرا حتی اگر توسعه‌دهنده پلاگین به کار خود ادامه داده باشد و دیگر روی پروژه کار نکند، ممکن است هنوز افرادی وجود داشته باشند که به آن تکیه کنند.

یکی دیگر از پیشرفت های کوچک نسبت به سال گذشته درصد باگ های امنیتی مهمی است که هرگز وصله ای دریافت نکردند. در سال 2022، این عدد 26 درصد در مقابل 29 درصد در سال 2021 بود. آسیب‌پذیری‌های بحرانی در این سال بهتر مورد بررسی قرار گرفتند، اما سیلد گفت تا کنون تغییر قابل توجهی نیست که آنها با هیچ روندی ارتباط برقرار کنند.

سایر بینش های قابل توجه از وایت پیپر شامل تفکیک اشکالات امنیتی وردپرس بر اساس شدت است. در سال 2022، اکثر آسیب‌پذیری‌ها (84 درصد) به‌عنوان شدت متوسط، با درصد کمتری از شدت بالا (11 درصد) و بحرانی (2 درصد) طبقه‌بندی شدند.

این یافته‌ها خطر استفاده از تم‌ها و افزونه‌های نگهداری‌نشده را به همراه نیاز توسعه‌دهندگان به همگامی با به‌روزرسانی‌های کتابخانه‌ها و وابستگی‌های موجود در کارشان برجسته می‌کند. Patchstack افزایش قابل توجهی در آسیب پذیری های گزارش شده در سال 2022 را دنبال می کند:

از محبوب‌ترین افزونه‌ها (بیش از 1 میلیون نصب) که دارای مشکلات امنیتی بودند، تنها پنج افزونه حاوی اشکالات با شدت بالا بودند. دو موردی که بیشترین آسیب‌پذیری CVSS را داشتند Elementor و Essential Add-ons برای Elementor بودند و پس از آن UpdraftPlus Backup WordPress، One Click Demo Import و MonsterInsights قرار گرفتند.

Patchstack، یک ابزار مدیریت و نگهداری امنیت وردپرس، خود را منتشر کرده است.وضعیت امنیت وردپرسکاغذ سفید برای سال 2022، ردیابی چند معیار کلیدی در مورد آسیب پذیری های گزارش شده عمومی.

وایت پیپر چند روند دیگر را برجسته می‌کند، از جمله شرکت‌های میزبانی که به مشتریان خود در مورد آسیب‌پذیری‌ها هشدار می‌دهند، رشد جامعه تحقیقاتی امنیتی، و افزایش آگاهی امنیتی در اکوسیستم وردپرس. برای جزئیات بیشتر در مورد وضعیت امنیت وردپرس در سال 2022 و پیش‌بینی‌های این سال، به ادامه مطلب مراجعه کنید کاغذ سفید در وب سایت Patchstack.


منبع: https://wptavern.com/patchstack-tracks-328-more-security-bugs-reported-in-wordpress-plugins-in-2022

او گفت: “این چیزی است که ما سعی می کنیم همراه با شرکای خود مانند سایر پلاگین های امنیتی و شرکت های میزبان بهبود دهیم.” “ارتباطات کلیدی است. ما اخیراً همچنین یک سرویس رایگان برای توسعه دهندگان پلاگین به نام “برنامه افشای آسیب پذیری مدیریت شده” به زودی mVDP ایجاد کرده ایم. هدف کمک به توسعه دهندگان پلاگین است که شیوه های امنیتی بالغ تری اتخاذ کنند و به کاربران نشان دهند که امنیت را جدی می گیرند.