Patchstack, een bedrijf gespecialiseerd in cyberbeveiliging, presenteerde in 2021 zijn nieuwe whitepaper State of WordPress Security. Het analyseert de bedreigingen voor het WordPress-ecosysteem, in het bijzonder voor CMS-plug-ins en thema’s die in 2021 door 43,2% van de websites werden gebruikt (versus 39,5% in 2020). Het rapport is gebaseerd op gegevens uit de kwetsbaarheidsdatabase, Patchstack Alliance, die overeenkomt met het bugbountyprogramma van de redacteur, en op openbare rapporten. In totaal analyseerde de redacteur 50.000 pagina’s en controleerde de veiligheid van geïnstalleerde plug-ins en thema’s.
Belangrijkste gegevens om te onthouden:
In 2021 werden 1.500 nieuwe kwetsbaarheden ontdekt in WordPress-plug-ins, thema’s en kern (tegen 600 in 2020), een stijging van 150% over het jaar. 91,79% daarvan kwam uit de officiële plugin- en themarepository op WordPress.org, de rest werd ingediend als premiumversie of aangeboden op andere downloadsites (Envato, ThemeForest, Code Canyon…). 99,42% van het totale aantal gedetecteerde kwetsbaarheden was afkomstig van WordPress-thema’s en plug-ins (vergeleken met 96,22% in 2020). 92,81% was voor extensies en 60,61% voor thema’s. 91,38% van de als kwetsbaar geïdentificeerde plug-ins zijn gratis extensies. XSS (Cross-site Scripting) kwam dicht bij kwetsbaarheid 2 (49,82%). 42% van de WordPress-sites heeft het afgelopen jaar ten minste één kwetsbaar onderdeel (thema of plug-in) geïnstalleerd.
In 2021 zagen we 6 verouderde 18 componenten op één WordPress-site. Met elke extra plug-in die op een site wordt geïnstalleerd, neemt het risico op blootstelling aan een potentiële kwetsbaarheid toe. Sites die achterlopen op het gebied van updates vergroten het risico nog verder.
Patchstack specificeert ook dat eenvoudig te installeren kwetsbaarheden een belangrijk doelwit zijn voor aanvallers, net als oude kwetsbaarheden die al ontdekt zijn, zelfs al enkele jaren.
Dit kan worden verklaard door het gebruik van hacktools die op internet beschikbaar zijn. Deze tools zijn voorgeprogrammeerd om alle voorkomende exploits en kwetsbaarheden tegen het doelwit uit te proberen, en het enige wat de aanvaller hoeft te doen is een doelwebsite (of een lijst met doelwitten) selecteren.
35 kritieke kwetsbaarheden geïdentificeerd in WordPress-plug-ins
Onder de 35 kritieke kwetsbaarheden die in 2021 in WordPress-plug-ins zijn gemeld, bevinden zich twee populaire extensies die meer dan een miljoen keer zijn gedownload, namelijk:
Alles-in-één SEO (versie 4.1.5.2) : 3 miljoen extra downloadsSnelste WP-cache (versie 0.0.4) : meer dan een miljoen downloads
Als deze twee plug-ins een beveiligingspatch ontvingen om de kwetsbaarheid aan te pakken, had dit geen invloed op 29% van de WordPress-extensies onder de plug-ins die vorig jaar kritieke kwetsbaarheden vertoonden.
In gevallen waarin er geen oplossing beschikbaar is, moeten gebruikers handmatig controleren of ze deze plug-ins hebben geïnstalleerd en deze verwijderen of alternatieven zoeken. Er is geen manier om dit probleem rechtstreeks aan site-eigenaren te communiceren die deze plug-ins gebruiken, omdat ze als “up-to-date” worden weergegeven op de WordPress-beheerpagina’s als ze zijn geïnstalleerd.
55 thema’s worden getroffen door kritieke kwetsbaarheden
Volgens het witboek hadden vorig jaar 55 onderwerpen beveiligingsproblemen met betrekking tot de functies voor bestandsoverdracht. Patchstack rangschikte ze op basis van de CVSS-score (Common Vulnerability Scoring System), wat een score op 10 is.
CVSS 10/10: 10 onderwerpen gerelateerd aan het downloaden van niet-geïdentificeerde bestanden met verwijderoptie.CVSS 9,8/10: Eén onderwerp is getroffen door een ongeïdentificeerde download die leidt tot een kwetsbaarheid voor het uitvoeren van externe code en nog één onderwerp dat is geïdentificeerd met een niet-geauthenticeerde SQL-injectie (Blind SQLi) kwetsbaarheid.CVSS 8.8/10: 42 thema’s zijn het slachtoffer van een kwetsbaarheid bij het downloaden van bestanden en 1 andere is getroffen door een niet-geverifieerde XSS-kwetsbaarheid (Cross-Site Scripting).
2021 heeft een aanhoudende trend laten zien van kritieke thema-kwetsbaarheden gerelateerd aan de functionaliteit voor het uploaden van bestanden die door het WordPress-thema wordt geboden. Dit is geen nieuwe trend, maar een terugkerend probleem met thema’s, die meestal aangepaste code bevatten voor de functionaliteit voor bestandsoverdracht.
Naast het controleren van de thema’s die je gebruikt en het downloaden van beveiligingsupdates, raadt Patchstack eigenaren en ontwikkelaars van WordPress-sites aan om “het uitvoeren van PHP-bestanden in bestandsuploadmappen (…) te verbieden via een Apache .htaccess-bestand, Nginx-regels of zelfs een WAF-firewallregel.” U kunt ook de toegang blokkeren tot URL’s die eindigen op “.php” en “submit” vermelden. “Dit is een relatief robuuste bescherming om te implementeren, omdat bestanden die van websites worden gedownload bedoeld zijn als media zoals afbeeldingen, video’s of pdf-bestanden, maar niet als PHP-code”, aldus de redacteur.
Onvoldoende bewustzijn en budget voor de beveiliging van WordPress-sites
Volgens Patchstack’s onderzoek uit eind 2021 onder freelance ontwikkelaars (27%), website-eigenaren (13%) en bureaus (43%), gaf 53% van de respondenten aan dat ze hun WordPress-componenten (plug-ins, thema’s en core) één keer per jaar updaten week, 20% dagelijks en 18% maandelijks. De overige respondenten hebben alleen automatische updates aangezet of hadden geen informatie over de beveiliging van hun site. De meesten van hen behandelen beveiligingsproblemen zelf en vertrouwen op hun hostingprovider of het ondersteuningsteam van de getroffen plug-in.
Als het gaat om een budget voor de beveiliging van WordPress-sites, heeft 28% van de respondenten er geen, en geeft 27% tussen de €1 en €3 per maand uit. Tot 7% van hen budgetteert $ 50 per site per maand. Uit het onderzoek blijkt ook dat de gemiddelde kosten voor het verwijderen van malware in 2021 $613 bedroegen, variërend van $50 tot $4.800.
