مشابه سالهای گذشته، اکثر این باگهای امنیتی در افزونهها (93%)، پس از آن تمها (6.7%) و هسته وردپرس (0.6%) یافت شدند.
حل مشکل توسعه دهندگان که کار خود را رها می کنند چالش برانگیز است و بسیاری از کاربران نمی دانند چگونه افزونه هایی را انتخاب کنند که احتمال بیشتری برای پشتیبانی از آنها وجود دارد.
در سال 2022 دیدیم 328 درصد بیشتر باگ های امنیتی گزارش شده است در افزونه های وردپرس – اضافه کردیم 4,528 اشکالات امنیتی را در پایگاه داده ما در مقایسه با 1,382 در سال 2021.
این اعداد از داده های عمومی Patchstack و سایر شرکت های امنیتی و محققان در اکوسیستم وردپرس به دست آمده اند. تعداد کل آسیبپذیریها از سه CNA رسمی در فضای وردپرس است که مجاز به اختصاص شناسههای CVE به آسیبپذیریهای امنیتی جدید هستند و محققان مسائل را به آنها گزارش میدهند. اینها عبارتند از Patchstack، Automattic (WPscan) و WordFence. الیور سیلد، مدیر عامل Patchstack گفت که برخی از آسیبپذیریها نیز بهطور مستقل در جای دیگری منتشر شده یا مستقیماً به MITRE گزارش شدهاند.
او گفت: “ما هنوز فکر می کنیم که این یک مشکل بزرگ را نشان می دهد، و آن این است که برخی از افزونه ها پشتیبانی نمی شوند یا رها شده اند و وصله های به موقع دریافت نمی کنند.”
در این گزارش تاکید شده است که افزایش تعداد آسیبپذیریهای گزارششده به این معنی است که اکوسیستم در نتیجه یافتن و اصلاح مسائل امنیتی بیشتر، ایمنتر میشود.
Sild گفت که کاربران اغلب در تاریکی رها می شوند زیرا هسته وردپرس فقط در صورت موجود بودن به روز رسانی نشان می دهد. اگر یک افزونه توسط WordPress.org به دلیل یک مشکل امنیتی اصلاح نشده بسته شود، کاربران مطلع نمی شوند.
سیلد گفت: “من فکر می کنم مهم است که شفاف باشیم.” همچنین اشکالی ندارد که پروژه ها به پایان برسد. من اخیراً به همکارم گفتم که “وقتی شخصی یک افزونه جدید میسازد، باید در نظر داشته باشد که ممکن است کسی واقعاً از آن استفاده کند.” این به نوعی به من چسبید، زیرا حتی اگر توسعهدهنده پلاگین به کار خود ادامه داده باشد و دیگر روی پروژه کار نکند، ممکن است هنوز افرادی وجود داشته باشند که به آن تکیه کنند.
یکی دیگر از پیشرفت های کوچک نسبت به سال گذشته درصد باگ های امنیتی مهمی است که هرگز وصله ای دریافت نکردند. در سال 2022، این عدد 26 درصد در مقابل 29 درصد در سال 2021 بود. آسیبپذیریهای بحرانی در این سال بهتر مورد بررسی قرار گرفتند، اما سیلد گفت تا کنون تغییر قابل توجهی نیست که آنها با هیچ روندی ارتباط برقرار کنند.
سایر بینش های قابل توجه از وایت پیپر شامل تفکیک اشکالات امنیتی وردپرس بر اساس شدت است. در سال 2022، اکثر آسیبپذیریها (84 درصد) بهعنوان شدت متوسط، با درصد کمتری از شدت بالا (11 درصد) و بحرانی (2 درصد) طبقهبندی شدند.
این یافتهها خطر استفاده از تمها و افزونههای نگهدارینشده را به همراه نیاز توسعهدهندگان به همگامی با بهروزرسانیهای کتابخانهها و وابستگیهای موجود در کارشان برجسته میکند. Patchstack افزایش قابل توجهی در آسیب پذیری های گزارش شده در سال 2022 را دنبال می کند:
از محبوبترین افزونهها (بیش از 1 میلیون نصب) که دارای مشکلات امنیتی بودند، تنها پنج افزونه حاوی اشکالات با شدت بالا بودند. دو موردی که بیشترین آسیبپذیری CVSS را داشتند Elementor و Essential Add-ons برای Elementor بودند و پس از آن UpdraftPlus Backup WordPress، One Click Demo Import و MonsterInsights قرار گرفتند.
Patchstack، یک ابزار مدیریت و نگهداری امنیت وردپرس، خود را منتشر کرده است.وضعیت امنیت وردپرسکاغذ سفید برای سال 2022، ردیابی چند معیار کلیدی در مورد آسیب پذیری های گزارش شده عمومی.
وایت پیپر چند روند دیگر را برجسته میکند، از جمله شرکتهای میزبانی که به مشتریان خود در مورد آسیبپذیریها هشدار میدهند، رشد جامعه تحقیقاتی امنیتی، و افزایش آگاهی امنیتی در اکوسیستم وردپرس. برای جزئیات بیشتر در مورد وضعیت امنیت وردپرس در سال 2022 و پیشبینیهای این سال، به ادامه مطلب مراجعه کنید کاغذ سفید در وب سایت Patchstack.
منبع: https://wptavern.com/patchstack-tracks-328-more-security-bugs-reported-in-wordpress-plugins-in-2022
او گفت: “این چیزی است که ما سعی می کنیم همراه با شرکای خود مانند سایر پلاگین های امنیتی و شرکت های میزبان بهبود دهیم.” “ارتباطات کلیدی است. ما اخیراً همچنین یک سرویس رایگان برای توسعه دهندگان پلاگین به نام “برنامه افشای آسیب پذیری مدیریت شده” به زودی mVDP ایجاد کرده ایم. هدف کمک به توسعه دهندگان پلاگین است که شیوه های امنیتی بالغ تری اتخاذ کنند و به کاربران نشان دهند که امنیت را جدی می گیرند.