Eesti küberturbefirma Patchstack korraldas uuringu, et kokku võtta eelmisel aastal leitud turvaohud maailma populaarseimas sisuhaldussüsteemis WordPress.
WordPress on maailma populaarseim sisuhaldussüsteem, millel töötavad 43,2% kõigist veebis olevatest veebisaitidest, mida on rohkem kui 2020. aasta lõpus olnud 39,5%. Sellise turuosaga muutub WordPress iga aastaga järjest ahvatlevamaks ründeobjektiks ning WordPressi turvalisus muutub aina olulisemaks. Seega on väga oluline teada, millised turvanõrkused ja ohud sel veebiplatvormil praegu asetsevad ja mis antud platvormi haavatavaks muudavad.
Suurimaks ohuks on tasuta pluginad ja teemad
Turvaohtude uuringus "WordPressi turvanõrkused 2021. aastal" selgub, et pluginad ja teemad on jätkuvalt üks suurimaid ohte WordPressile ehitatud veebisaitidele. Aastal 2021. pärineb WordPress tuumast vaid 0,58% turvaaukudest:
Suurim osa tuvastatud haavatavustest on leitud just kasutusel olevatest tasuta lisamoodulitest:
Tuvastatud turvanõrkuste arv on teinud märkimisväärse kasvu
Aastal 2021 teavitati 2020. aastaga võrreldes 150% haavatavuste kasvust, mis on kahtlemata märkimisväärne tõus.
2021. aastal lisas Patchstack oma andmebaasi ligi 1500 uut turvaauku . Need haavatavused olid nii WordPressi lisamoodulites (plugin ja theme) kui ka WordPressi tuumas. Kui võrrelda neid numbreid 2020. aastaga, kus nägime ligi 600 uut turvaauku, on selge, et 2021. aasta on olnud WordPressi ökosüsteemi turvalisuse seisukohalt erakordne aasta.
Lisamoodulite kasutus on väiksem, kuid oht suurem
Eelmisel aastal on toimunud muutus ka üleüldises WordPressi lisamoodulite kasutamises, kus 50 000 kodulehe analüüsimise järel selgus, et keskmiselt kasutatakse ühel veebilehel 18 erinevat lisamoodulit. Aastal 2020 oli see number 23. Sealjuures on aga kasvanud turvariskidega moodulite kasutamine - aastal 2020 oli 23 lisamooduli kohta uuendamata 4 moodulit. Aastal 2021 oli aga 18 lisamooduli kohta juba 6 uuendamata moodulit.
Turvaline veebileht on mitmest osast koosnev tervik
Kokkuvõttes saab öelda, et turvalist veebilehte ei taga üks kindel tegevus, vaid tegemist on mitmest osast koosneva tervikuga. Järjest olulisem on kasutada oma veebilehel mõnda turvakaitset, näiteks Patchstacki pluginat, mis muuseas on Veebimajutus.ee Pluss paketis aktiveeritav lisatasudeta. Samuti on oluline silmas pidada, et WordPressi lisamoodulite ja tuuma uuendused on teostatud korrapäraselt ehk vähemalt kord kuus. Võimalusel isegi kord nädalas. Vähem oluline ei ole ka olla kursis juba tekkinud turvanõrkustega, et saaksid neid sisaldavate moodulitega tegeleda eelisjärjekorras.
Vaata üle ja veendu juba täna, et Sinu paroolid on võimalikult keerulised ja unikaalsed ning need oleksid teada vaid Sinule. Vaata üle ka WordPressis loodud kasutajad ning eemalda üleliigsed.