WordPress
WordPress

WordPress: aumento de 150% nas vulnerabilidades detectadas em 2021

A Patchstack, uma empresa de segurança cibernética, apresentou seu novo white paper, State of WordPress Security in 2021 . Ele analisa as ameaças ao ecossistema WordPress, em particular aos plugins e temas CMS usados ​​por 43,2% dos sites em 2021 (vs 39,5% em 2020). O relatório é baseado em dados de seu banco de dados de vulnerabilidades, o Patchstack Alliance, que corresponde ao programa de recompensas de bugs da editora, bem como em relatórios públicos. No total, a editora analisou 50.000 sites e verificou a segurança dos plugins e temas instalados.

Os principais dados a serem lembrados:

  • 1.500 novas vulnerabilidades foram descobertas em plugins, temas e núcleo do WordPress em 2021 (vs. 600 em 2020), um aumento de 150% em um ano.
  • 91,79% deles vieram do repositório oficial de plugins e temas no WordPress.org, o restante foi relatado em versões premium ou oferecido em outros sites de download (Envato, ThemeForest, Code Canyon…).
  • 99,42% do número total de vulnerabilidades detectadas eram de temas e plugins do WordPress (vs. 96,22% em 2020). 92,81% foram para extensões e 6,61% para temas.
  • 91,38% dos plugins identificados como vulneráveis ​​eram extensões gratuitas.
  • Quase uma em cada duas (49,82%) vulnerabilidades eram de natureza XSS ( Cross-site Scripting ).
  • 42% dos sites WordPress instalaram pelo menos um componente vulnerável (tema ou plugin) no ano passado.

Em 2021, vimos 6 dos 18 componentes desatualizados em um único site WordPress. Com cada plugin adicional instalado no site, o risco de ser exposto a uma potencial vulnerabilidade aumenta. Sites atrasados ​​com atualizações aumentam ainda mais o risco.

O Patchstack também especifica que as vulnerabilidades fáceis de instalar são os principais alvos dos invasores, assim como as falhas antigas que já foram detectadas, mesmo há vários anos.

Isso pode ser explicado pelo uso de ferramentas de hacking disponíveis online. Essas ferramentas são pré-programadas para tentar todas as explorações e vulnerabilidades populares contra um alvo, e tudo o que o invasor precisa fazer é selecionar um site de destino (ou lista de alvos).

35 vulnerabilidades críticas identificadas em plugins do WordPress

Entre as 35 vulnerabilidades críticas relatadas nos plugins do WordPress em 2021, existem duas extensões populares, que foram baixadas mais de um milhão de vezes, a saber:

  • All in One SEO (versão 4.1.5.2) : mais de 3 milhões de downloads
  • WP Fastest Cache (versão 0.0.4) : mais de um milhão de downloads

Se esses dois plugins receberam um patch de segurança para corrigir a falha, esse não é o caso de 29% das extensões do WordPress, dentre as que apresentaram vulnerabilidades críticas identificadas no ano passado.

Nos casos em que não há correção disponível, os usuários precisam verificar manualmente se instalaram esses plugins e removê-los ou encontrar alternativas. Não há como comunicar esse problema diretamente aos proprietários de sites que executam esses plug-ins, pois eles aparecerão “atualizados” nas páginas de administração do WordPress, se instalados.

55 temas são afetados por vulnerabilidades críticas

De acordo com o white paper, 55 temas no ano passado tiveram problemas de segurança relacionados aos recursos de upload de arquivos. O Patchstack as categorizou com base na pontuação do Common Vulnerability Scoring System (CVSS ), que está na forma de uma pontuação de 10. É uma avaliação padronizada da criticidade das vulnerabilidades, que é baseada em critérios objetivos e mensuráveis.

  • CVSS 10/10: 10 temas afetados pelo download de arquivos não identificados arbitrários com remoções de opções.
  • CVSS 9.8/10: 1 tema direcionado a um download não identificado levando à vulnerabilidade de execução remota de código e 1 outro tema identificado com uma vulnerabilidade de injeção de SQLi cego não autenticada .
  • CVSS 8.8/10: 42 temas afetados por uma vulnerabilidade arbitrária de download de arquivos e 1 outro afetado por uma vulnerabilidade XSS ( Cross-Site Scripting ) não autenticada.

2021 mostrou uma tendência contínua de vulnerabilidades críticas em temas relacionados à funcionalidade de upload de arquivos fornecida pelo tema WordPress. Esta não é uma nova tendência, mas um problema recorrente com temas que geralmente incluem código personalizado para a funcionalidade de upload de arquivos.

Além de verificar os temas que você está usando e baixar atualizações de segurança, Patchstack recomenda que proprietários e desenvolvedores de sites WordPress “ proíbam a execução de arquivos PHP em diretórios de upload de arquivos (…) através do arquivo .htaccess do Apache, regras Nginx ou até mesmo uma regra de firewall WAF  ”. Você também pode bloquear o acesso a URLs que terminam em “.php” e que contenham a menção “upload”. ” É uma proteção relativamente sólida para implementar, porque os downloads de sites devem ser mídia, como imagens, vídeos ou PDFs, mas não código PHP “, disse ele. ‘editor.

Consciência e orçamento insuficientes para a segurança do site WordPress

De uma pesquisa realizada pela Patchstack no final de 2021 entre desenvolvedores freelance (27%), proprietários de sites (13%) e agências (43%), 53% dos entrevistados indicaram que atualizam seus componentes do WordPress (plugins, temas e core ) uma vez por semana, 20% ao dia e 18% ao mês. O restante dos entrevistados apenas ativou as atualizações automáticas ou não possui informações sobre a segurança de seu site. A maioria deles lida com problemas de segurança, conta com seu provedor de hospedagem ou com a equipe de suporte do plug-in afetado pela vulnerabilidade.

Quanto ao orçamento destinado à segurança dos sites WordPress, 28% dos entrevistados não o possuem e 27% gastam entre 1 e 3 dólares por mês. Para 7% deles, o orçamento é de R$ 233,32 por site por mês. A pesquisa também revela que o custo médio para remover malware foi de R$ 2.860,44 em 2021, variando de R$ 233,32 a R$ 22.398,24 .

Consciência e orçamento insuficientes para a segurança do site WordPress
Consciência e orçamento insuficientes para a segurança do site WordPress
pt_BRPortuguese