WordPress Vulnerabilities Database zvaná ThreatPress je denně doplňována z různých zdrojů a obsahuje podrobné informace o jednotlivých bezpečnostních chybách objevených jak v samotném redakčním systému WordPress, tak především v jeho rozšířeních a tématech.
V roce 2017 bylo do databáze přidáno 221 nových bezpečnostních děr, což je o 69 % méně než v předloňském roce. Nemusí to zdaleka vypovídat o bezpečnějším WordPressu, může za tím stát například nižší aktivita vývojářů v tomto směru nebo třeba vyšší závažnost celkově nižšího počtu odhalených problémů.
Stejně jako v roce 2016 vedly i v loňském roce pomyslný žebříček chyby typu Cross-Site Scripting (XSS), které dlouhodobě patří mezi jedny z nejzneužívanějších na webu vůbec. Podmínky pro tento druh chyb nastávají tam, kde vývojář nedostatečně ošetřuje vstupy a výstupy své aplikace, takže útočník je schopen pak do stránky vložit svůj kód, který se provede v kontextu daného webu – tedy jako by ho skutečně doručil web sám. Je tak možné například ovlivnit chování uživatele nebo ukrást jeho sezení a vydávat se za něj.
Čtěte: XSS stále na scéně
V roce 2017 bylo také možné zaznamenat výrazný nárůst chyb typu SQL Injection. Tato technika opět naráží na nedostatečně ošetřený vstup aplikace, které je tak možné podsunout vlastní pozměňující SQL příkaz, který je vykonán na straně serveru. To umožňuje například získat přihlašovací údaje uživatelů, upravit obsah webu nebo provést libovolný privilegovaný zásah.
Nejčastější druhy zranitelností v rozšířeních pro WordPress
Dominykas Gelucevičius na webu SecurityAffairs uvádí, že je neuvěřitelné, jak velké množství webů s napadnutelnými rozšířeními existuje. Podle jeho statistik je takových instalací více než 17 milionů. Ve svém článku přidává ještě další čísla z uplynulého roku:
- celkem zranitelných rozšíření: 202
- celkem zranitelných témat: 5
- zranitelná rozšíření na WordPress.org: 153
- zranitelná rozšíření z jiných zdrojů: 24
Zajímavý je rozklad počtu zranitelných rozšíření podle typu odhalené bezpečnostní chyby:
- XSS (Cross-Site Scripting): 71
- SQL Injection: 40
- neomezený přístup: 20
- Cross Site Request Forgery (CSRF): 12
- více možností: 10
- únik informací: 10
- nahrávání libovolných souborů: 7
- BYPASS: 7
- stahování libovolných souborů: 7
- PHP Object Injection: 5
- vzdálené podstrčení dat do souboru: 3
- lokální podstrčení dat do souboru: 3
- spuštění libovolného kódu: 2
- přímá injektáž kódu: 1
- procházení adresářové struktury: 1
Dopad bezpečnostních děr v některých rozšířeních je dále násoben tím, že jde o populární a velmi často instalované moduly. V některých případech mají miliony instalací. Zde je žebříček pěti nejčastěji instalovaných rozšíření, u nichž byla v loňském roce objevena bezpečnostní díra:
| Název rozšíření | počet instalací | druh chyby |
|---|---|---|
| Yoast SEO (nejpopulárnější SEO) | více než 5 milionů | XSS (Cross-site Scripting) |
| WooCommerce (nejpopulárnější v ecommerce) | více než 3 miliony | XSS (Cross-site Scripting) |
| Smush Image Compression and Optimization | více než milion | procházení adresářů |
| Duplicator | více než milion | XSS (Cross-site Scripting) |
| Loginizer | více než 600 tisíc | SQL Injection |
Vývojářský tým projektu WordPress vydal v uplynulém roce osm bezpečnostních vydání. V databázi ThreatPress je celkem 3321 bezpečnostních chyb, první do ní byla zanesena už v únoru 2005.
