Næsten 30 pct af de kritiske WordPress-plugin-fejl bliver ikke patchtet

Sikkerhedstilstanden i WordPress-plugins og temaer lader noget tilbage at ønske.

Har du en hjemmeside baseret på WordPress, så er det måske værd at læse videre.

Patchstack, som er en virksomhed dedikeret til at holde øje med WordPress-sikkerhed, har her i marts udgivet en hvidbog om WordPress-sikkerhedstilstanden i 2021, den såkaldte ’State of WordPress Security 2021’. Det skriver Bleeping Computer.

Rapporten tegner et ’dystert’ billede. Således har der i 2021 været en vækst på 150 pct i de indrapporterede sårbarheder sammenlignet med det foregående år, og 29 pct. af de kritiske fejl i WordPress-plugins har aldrig modtaget en sikkerhedsopdatering.

I betragtning af, at WordPress er verdens mest populære CMS med 43 pct af alle websteder på samvittigheden, så er det ifølge Bleeping Computer ’alarmerende’.

Gratis produkter koster på sikkerheden

Selve systemet er der såmend ikke noget galt med, da kun under en pct. af de rapporterede fejl fandtes i WordPress-kernen. Alle andre fejl blev fundet på temaer og plugins til platformen, der kommer fra forskellige kilder og forskellige udviklere. Disse udviklere har typisk en forretning på at lave WordPress-plugins, fx statistikværktøjer mv, som man WordPress-bruger køber for at forbedre sit website.

Men nogle af disse plugins og temaer er gratis, og det er her, problemet ligger ud fra en sikkerhedsmæssig synsvinkel. Af de rapporterede fejl, som PatchStack har noteret sig, findes over 91 pct. af dem i gratis plugins, mens betalte WordPress-plugins udgjorde godt 8 pct af det samlede antal.

Dette er ikke overraskende, da et udviklingshus med salg af plugins har større incitament til at fortsætte vedligeholdelsen og udviklingen af sine plugins fremfor udviklere, der laver plugins i fritiden. Det er altså et spørgsmål om sikkerheden ved open source, der er på dagsordenen her og om man vil betale nogen for at vedligeholde softwaren, eller man hellere vil spare pengene og håbe på det går. Noget som blev adresseret fra allerhøjeste sted her i starten af året, da Det Hvide Hus inviterede tech-giganter til at drøfte det spørgsmål på bagkant af Log4shell-sagen.

Kritiske sårbarheder

PatchStack oplister fem kritiske sårbarheder, der påvirker 55 WordPress-temaer, hvoraf den mest betydningsfulde vedrører misbrug af filupload-funktioner. På plugins-siden har 35 kritiske sårbarheder rapporteret, hvoraf to påvirkede fire millioner websteder.

PatchStack rapporterer, at cross-site scripting (XSS) topper listen med den mest rapporterede type WordPress-fejl i 2021.

Sammenfattende fremhæver Patchstacks rapport, at WordPress-webstedsadministratorer kan håndtere de fleste sikkerhedsrisici ved at bruge betalte plugins i stedet for gratis, holde antallet af installerede plugins på et minimum og opgradere dem til den seneste tilgængelige version så hurtigt som muligt.

Med til historien om denne rapport hører, at PatchStack sælger et værktøj, der kan identificere sårbarheder i WordPress-hjemmesider. Så derfor har PatchStack naturligvis en interesse i at udarbejde og publicere en rapport om sårbarheder i Wordpress.

Links:

https://www.bleepingcomputer.com/news/security/nearly-30-percent-of-critical-wordpress-plugin-bugs-dont-get-a-patch/

https://patchstack.com/whitepaper/the-state-of-wordpress-security-in-2021