3 min lugemine

Patchstacki turvauuring: millised suurimad ohud ähvardavad Wordpressi?

Oliver Sild
06. mai 2021

WordPress on maailma populaarseim sisuhaldussüsteem, millel töötavad 41% kõigist veebis olevatest veebisaitidest. Sellise turuosaga saab see aina ahvatlevamaks ründeobjektiks ning Wordpressi turvalisus muutub aina olulisemaks. Seega on väga oluline teada, millised turvanõrkused ja ohud sel veebiplatvormil praegu on ja mis selle platvormi haavatavaks teevad. Eesti küberturbefirma Patchstack korraldas uuringu, milles võttis kokku eelmisel aastal leitud turvaohud Wordpressis.

Turvaohtude uuringus "WordPressi turvanõrkused 2020. aastal" avaldatakse täielik statistika kõigi WordPressi haavatavuste kohta, sealt leiab edetabelid erinevate turvaohtude liikide järgi, OWASP 10 edetabelid (kümne suurema turvaohu hindamise TOP), plugin´ide ehk pistikprogrammide turvaohtude ülevaated ja palju muud.

Wordpressil on praegu ligi 85 tuhat erinevat lisandmoodulit ehk plugin´i. Need ongi Wordpressi peamiseks turvaohuks. WordPressi arendajad ja kasutajad saavad neid mooduleid lihtsalt lisada, otsides WordPressi plugin´ide kogust välja endale sobiva, et oma veebisaidi funktsionaalsust laiendada mõne kolmanda osapoole laiendusega.

Ainuüksi 2020. aastal leiti Wordpressis 582 ainulaadset turvaohtu. Need haavatavused mõjutasid WordPressi tuuma, kolmanda osapoole pistikprogramme ja teemasid ehk templiite.

Kõige levinumad haavatavused on saitidevaheline kood (Cross-Site Scripting), mis moodustab üle 36,2% 2020. aastal leitud unikaalsete haavatavuste koguarvust. SQL Injection ehk SQL-i süstimine moodustas teisena 9,1% haavatavustest ning saitidevaheliste päringute võltsimine ehk Cross-Site Request Forgery oli kolmandal kohal 6,5 protsendiga kõigist haavatavustest.

Kõige suuremad probleemid esinevadki seoses plugin´idega: 96,22% haavatavustest pärinevad kolmandate osapoolte koodist. Eelmisel aastal leiti kokku vaid 22 haavatavust WordPressi enda tuuma koodist.

Asja teeb halvemaks see, et paljudel populaarsetel pistikprogrammidel on miljoneid aktiivseid paigaldusi, seega mõjutavad haavatavused väga suurt hulka veebisaite. Ligi 70 miljonit veebi kasutasid möödunud aastal plugin´e, millel olid turvaohud.

Soovid teada, kuidas muuta oma WordPress turvalisemaks?

Meie spetsialist võtab ühendust ja räägib lähemalt!
Soovin infot

Keskmiselt on ühel Wordpressi lehel 23 kolmanda osapoole plugin´i

Uuringus sai analüüsitud 50 000 veebisaiti ning selgus ka keskmine pistikprogrammide ehk ja teemade paigalduste arv.

Leidsime, et keskmiselt on ühel WordPressi veebisaidil installitud 23 erinevat kolmanda osapoole komponenti. Umbes neli 23-st olid vananenud ja neile plugin´idele oli uus versioon saadaval.

Iga täiendava pistikprogrammi installimisel veebisaidile suureneb potentsiaalse haavatavuse oht. Veebisaitide värskendustega hilinemine suurendab aga riski veelgi. Wordpressi plugin´e ei uuendata regulaarselt.

Veebiarendajad muutuvad aina murelikumaks

2020. aasta teises kvartalis küsitles Patchstack ligi 400 veebiarendajat, vabakutselist töötajat ja digiagentuuri, et uurida nende veebisaitide turvalisuse kohta.

Vastused näitasid üsna selgelt, et nad olid hästi teadlikud WordPressi turvaohtudest ja väljakutsetest.

Üle 70% vastas, et nad on üha enam mures oma veebisaidi turvalisuse pärast ja peamine põhjus oligi kolmandate osapoolte pistikprogrammide haavatavus.

Ligikaudu 45% vastanutest tajus rünnakute suurenemist nende hallatavate veebisaitide vastu ja 25% pidi uuringus osalemisele eelnenud kuu jooksul toime tulema häkkinud veebisaidiga.

Kokkuvõtteks: plugin´id on suurim oht

Kolmandate osapoolte lisandprogrammide koodide haavatavus on kokkuvõtteks endiselt üks suurimaid ohte WordPressil põhinevatele veebisaitidele.

WordPressi pistikprogrammides ja teemades on kasvanud ka teatatud uute ja unikaalsete haavatavuste arv võrreldes 2020. aastat 2021. aasta algusega. WordPressi jälgivad erinevad küberturvafirmad on aga juba teinud palju tööd, pakkudes arvukalt lahendusi rünnakute ja pahavara nakkuste kõrvaldamiseks.

 

Oliver Sild

Patchstack on küberturbe startup, kes haldab tänaseks ainsat WordPress’i laiendustele suunatud turvatestijate kogukonda (Patchstack Red Team) ning ka kõige ajakohasemat WordPressi ja selle pistikute turvahaavatavuste andmebaasi (Patchstack Database). Lisaks pakub Patchstack tasulist teenust arendajatele ja digiagentuuridele, kes soovivad oma veebilehtedes olevaid haavatavusi automaatselt tuvastada ning paigata tulemüüri reeglitega.

Kasutajad kes lugesid seda artiklit lugesid ka neid

Mis on domeen ja mida vaja sellest teada enne kodulehe tegemist?
Millega veel jälgida oma veebi külastajaid lisaks Google Analytics´ile?
Kliendi lugu: Meemeistrite e-pood sai üleöö iluasjast oluliseks müügikohaks
Mis on backlink ehk tagasilink ja kuidas see mõjutab sinu veebilehe kohta Google´i otsingus?
Wordpress äri kodulehe tegemine
8 tehisintellekti moodulit WordPressile, mis panevad veebi ise tööle
Veebimajutus on Facebookis. Sina oled kah.
Saame sõpradeks? Meil on Sulle palju rääkida, küllap Sul meilegi. Teeme ära?
fox-head fox-head
Ka veebis tuleb targalt tegutseda. Eriti veebis!
Veebimajutuse 25 000 klienti rääkisid ja meie kuulasime - oleme teie vajaduste ning tagasiside põhjal loonud blogi, milleta ei saa hakkama ükski edukas e-ärimees. Eesti tippkirjutajad toovad Sinuni värskeimad nipid, uudised ja nõuanded. Ükski trend ei jää saladuseks ning väljakutse ületamatuks!
Klienditeenindus
Lisasime diili sinu ostukorvi, said ikka mega hea diili!

Vali paketi periood

1 kuu põhine arveldus

Kuus 12.08

Kokku 12.08

3 kuu põhine arveldus

Kuus 12.08

Kokku 36.24

6 kuu põhine arveldus

Kuus 12.08

Kokku 72.48

1 aasta põhine arveldus

Säästad 20% ehk -24.16

Kuus 10.07

Kokku 120.80

1 aasta
0.00
2 aastat
0.00
3 aastat
0.00
4 aastat
0.00
5 aastat
0.00
6 aastat
0.00
7 aastat
0.00
8 aastat
0.00
9 aastat
0.00
10 aastat
0.00