Пользователи WordPress за последние месяцы столкнулись с массовым выявлением дыр в безопасности плагинов. Некоторые из этих уязвимостей оказались настолько широко распространены, что в дело вмешались даже FBI: они предупредили пользователей об атаках, созданных с целью эксплуатации WordPress-сайтов.
После того, как WordPress опубликовала свой отчет безопасности, повалились многочисленные проблемы, начиная с SQL-инъекции в WordPress SEO by Yoast и заканчивая уязвимостью в Pods Framework и в других плагинах.
Разработчики WordPress.org пока еще не придумали способа публичной идентификации плагинов, для которых команда безопасности выдает автоматические обновления. Процесс включает в себя координацию между автором плагина и разработчиками ядра, которые проверяют и тестируют уязвимости.
Как только автоматический процесс обновления для смягчения серьезных уязвимостей будет отлажен, мы, возможно, получим отдельную секцию WordPress.org, в которой будут приводиться данные об обновленных плагинах.
А пока пользователи WordPress должны самостоятельно устанавливать все необходимые обновления. Plugin Vulnerabilities – плагин, который позволяет пользователям быть уведомленными по поводу релизов безопасности. После своей установки плагин будет автоматически обнаруживать известные уязвимости безопасности в любом из ваших плагинов. Он будет выдавать уведомления в панели администратора. Также вы можете включить оповещения на почту.
Плагин был создан White Fir Design, компанией из Колорадо, которая специализируется на безопасности WordPress и исправлении взломанных сайтов. Компания также предлагает программу вознаграждения за найденные уязвимости в WordPress и плагинах.
White Fir Design постоянно обновляют плагин, который сообщает о новых уязвимостях. Страница описания плагина приводит статистику по найденным уязвимостям, которая на 6 апреля составляет:
- 257 найденных уязвимостей
- 61 уязвимость в последних версиях плагинов (57 из них были удалены из каталога плагинов)
- 24 уязвимости были частично исправлены благодаря этому плагину
- 5 уязвимостей в плагинах безопасности
Основные виды уязвимостей:
- CSRF/XSS: 52 уязвимости
- Reflected cross-site scripting: 45 уязвимостей
- Произвольная загрузка файлов: 45 уязвимостей
- Произвольный просмотр файлов: 23 уязвимости
- SQL-инъекции: 16 уязвимостей
Плагин имеет администраторскую страницу, перечисляющую все уязвимости, связанные с установленными вами плагинами (а также с разными их версиями). Бывает так, что уязвимость обнаруживается еще до того, как появляется обновление – в таком случае вы можете деактивировать или удалить плагин.
Обновление программ вследствие проблем с безопасностью – естественная часть жизни в сети. Учитывая то, что популярность WordPress постоянно растет, это далеко не все открытые уязвимости, и со временем их количество будет увеличиваться. Если вы не готовы постоянно следить за новостями, связанными с уязвимостями в плагинах, вы можете поставить себе плагин Plugin Vulnerabilities, который позволит вам оперативно отреагировать на потенциальные угрозы.
Источник: wptavern.com
