Segundo informações de um whitepaper da Patchstack, 29% das falhas críticas de plugins do WordPress não receberam correção.
A Patchstack, líder em segurança e inteligência de ameaças do WordPress, lançou um whitepaper para apresentar o estado da segurança do WordPress em 2021, e o relatório mostra um quadro terrível.
Mais especificamente, 2021 teve um crescimento de 150% nas vulnerabilidades relatadas em comparação com o ano anterior, enquanto 29% das falhas críticas nos plugins do WordPress nunca receberam uma atualização de segurança.
29% das falhas críticas de plugins do WordPress não receberam correção
Esse número é alarmante, considerando que o WordPress é o sistema de gerenciamento de conteúdo mais popular do mundo, usado em 43,2% de todos os sites existentes.
De todas as falhas relatadas em 2021, apenas 0,58% estavam no núcleo do WordPress, sendo o restante em temas e plugins para a plataforma, vindos de várias fontes e diferentes desenvolvedores.
Notavelmente, 91,38% dessas falhas são encontradas em plugins gratuitos, enquanto os complementos pagos/premium do WordPress representaram apenas 8,62% do total, refletindo melhores procedimentos de verificação e teste de código.
Em 2021, o Patchstack contou cinco vulnerabilidades de gravidade crítica que afetam 55 temas do WordPress, sendo a mais impactante o abuso de recursos de upload de arquivos.
Do lado dos plugins, 35 vulnerabilidades críticas foram relatadas, duas delas afetando quatro milhões de sites.
Dois exemplos notáveis cobertos pela Bleeping Computer no ano passado são o plug-in “OptinMonster” que impactou 1 milhão de sites e o plug-in de SEO “All in One” que expôs 3 milhões de sites a ataques de aquisição.
Enquanto os desenvolvedores corrigiram essas vulnerabilidades por meio de atualizações de segurança, nove plugins nunca receberam patches. Portanto, eles foram removidos dos mercados de plugins por não resolverem os problemas graves.
Notavelmente, esse subconjunto também sofreu predominantemente com problemas de upload de arquivos não autenticados, seguidos por injeção de SQL e bugs de escalonamento de privilégios.
A PatchStack relata que o cross-site scripting (XSS) liderou a lista com o tipo mais relatado de falhas do WordPress em 2021, seguido por “misto”, falsificação de solicitação entre sites, injeção de SQL e upload arbitrário de arquivos.
Quanto à gravidade das falhas relatadas, 3,41% foram críticas, 17,94% foram classificadas como muito importantes e 76,76% foram classificadas como médias, principalmente devido à presença de condições para exploração.
Cerca de 42% dos sites WordPress tinham pelo menos um componente vulnerável em 2021, dos 18 instalados em média. Embora esse número seja inferior aos 23 plugins instalados nos sites em 2020, o problema permanece devido a seis de 18 deles estarem desatualizados.
Os plug-ins desatualizados mais direcionados em 2021 foram OptinMonster, PublishPress Capabilities, Booster for WooCommerce e Image Hover Effects Ultimate.
Em resumo, o relatório do Patchstack destaca que os administradores do site WordPress podem gerenciar a maioria dos riscos de segurança usando plugins pagos em vez de ofertas gratuitas, mantendo o número mínimo de complementos instalados e atualizando-os para a versão mais recente disponível o mais rápido possível.