20% wtyczek do WordPressa posiada dziury

Written by Arek Mikler. Posted in Blog

Dziura w wordpressPrzygotowany przez firmę Checkmarx raport dotyczący bezpieczeństwa najpopularniejszych wtyczek dla WordPressa nie napawa optymizmem. Ponad 20 procent z przeanalizowanych rozszerzeń jest podatnych na ataki przy użyciu technik SQL Injection, Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF), Remote / Local File Inclusion (RFI / LFI) lub Path Traversal. Co gorsza, w ciągu pół roku znalezione błędy zostały poprawione tylko w 6 na 18 problematycznych wtyczek.


W styczniu 2013 specjaliści z Checkmarx wykonali statyczną analizę kodu 50 najpopularniejszych wtyczek z oficjalnego repozytorium WordPressa. Testy wykazały podatność na ataki w 18 przypadkach, z czego 4 okazały się na tyle poważne, że firma zaoferowała twórcom pomoc w usunięciu błędów. Wspomniane rozszerzenia pobrano w sumie ponad 18,5 miliona razy, aczkolwiek trzeba pamiętać, że nie ma to realnego przełożenia na ilość serwisów z nich korzystających.

W czerwcu 2013 test powtórzono. Wszystkie 18 problematycznych wtyczek otrzymało w tym czasie co najmniej jedną aktualizację, przy czym tylko w sześciu przypadkach poprawiono błędy związane z bezpieczeństwem. Warto wspomnieć, że do tematu poważnie podeszli autorzy rozszerzeń BuddyPress, BBPress, E-Commerce, WooCommerce, W3 Total Cache i Super Cache.

Dodatkowo w czerwcu 2013 w analogiczny sposób przetestowano 10 najpopularniejszych wtyczek z kategorii e-commerce, z których aż 7 okazało się podatnych na ataki.

Autorzy raportu nie podają nazw rozszerzeń, w których błędy nie zostały poprawione. Jednak na podstawie ich opisów można wywnioskować, że chodzi między innymi o wtyczki Yet Another Related Posts Plugin, Broken Link Checker, Add Link to Facebook, FeedWordPress, WordPress Backup to Dropbox i UppSite.

[Więcej na wpzen.pl]

Tags: , , , , ,

NOTA PRAWNA: Komentarze czytelników pod artykułami są ich własnością. Serwer WWW GrupaPROJEKT.NET loguje standardowe informacje związane z wymianą ruchu HTTP (adres IP oraz nagłówki: User-Agent i Referer)

Szybki start

Startujemy zawsze od kołowania aby móc wzbić się wysoko. Oferta ta jest skierowana głównie do firm, które zaczynają swoją działalność. Dzięki ujednoliconemu systemowi identyfikacji wizualnej zyskacie przewagę już na starcie.
Czytaj więcej...

Reaktywacja

Nieustannie zmieniają się warunki na rynkach: popyt na produkty ulega zmianie, pojawiają się nowi mocni konkurenci, zmieniają się wartości i preferencje klientów - rebranding może w tej sytuacji uratować firmę. 
Czytaj więcej...

WEB

W obecnych realiach rynkowych głównym kanałem komunikacji  firmy 
z otoczeniem jest Internet. Odpowiadając na ten fakt stworzyliśmy ofertę, która pozwala na pozyskanie nowej grupy klientów, jakimi są internauci. 
Czytaj więcej...

VIP

Projekt VIP to kompleksowe podejście do kształtowania wizerunku Twojej firmy i jej produktów. Efektem końcowym jest stworzenie systemu identyfikacji wizualnej wspartego profesjonalnym serwisem internetowym. 
Czytaj więcej...