WordPress, плагины к нему и уязвимости в подарок

Скачивая плагины для WordPress, можно добавить серьёзную уязвимость для своего WordPress. Компания Checkmarx проанализировала 50 наиболее популярных плагинов к WordPress. Подводя итоги, можно сказать, что 12 плагинов из 50 оказались уязвимыми к типичным атакам, таким как SQL-иньекция, доступ к файлам в вышестоящим директориям, XSS и CSRF.

По мнению Checkmarx такое распространение уязвимых плагинов объясняется тем, что загружаемые плагины не проверяется администраторами сайтов. С другой стороны распространению уязвимостей способствует отсутствие должного тестирования плагинов на наличие проблем с безопасностью и отсутствие стандартов на проверку приложений, предоставляемых для запуска в PaaS-сервисах или загрузки из каталога WordPress.org.

Стоит заметить, что проведённое исследование в январе выявило 18 уязвимых плагинов для которых зафиксировано 18.5 млн загрузок, а повторная проверка, выполненная спустя 6 месяцев, показала, что уязвимости по прежнему сохраняются в 12 из них. Таким образом только в 6 плагинах уязвимости были устранены в течение 6 месяцев, несмотря на то, что функциональные обновления за указанный период были выпущены для всех плагинов. В качестве возможной меры по исправлению ситуации с безопасностью плагинов предлагается ужесточить критерии приёма плагинов в каталог WordPress.org, допуская размещение только плагинов прошедших проверку безопасности кода.