29% das falhas críticas de plugins do WordPress não receberam correção

Segundo informações de um whitepaper da Patchstack, 29% das falhas críticas de plugins do WordPress não receberam correção.

A Patchstack, líder em segurança e inteligência de ameaças do WordPress, lançou um whitepaper para apresentar o estado da segurança do WordPress em 2021, e o relatório mostra um quadro terrível.

Mais especificamente, 2021 teve um crescimento de 150% nas vulnerabilidades relatadas em comparação com o ano anterior, enquanto 29% das falhas críticas nos plugins do WordPress nunca receberam uma atualização de segurança.

29% das falhas críticas de plugins do WordPress não receberam correção

Esse número é alarmante, considerando que o WordPress é o sistema de gerenciamento de conteúdo mais popular do mundo, usado em 43,2% de todos os sites existentes.

De todas as falhas relatadas em 2021, apenas 0,58% estavam no núcleo do WordPress, sendo o restante em temas e plugins para a plataforma, vindos de várias fontes e diferentes desenvolvedores.

Notavelmente, 91,38% dessas falhas são encontradas em plugins gratuitos, enquanto os complementos pagos/premium do WordPress representaram apenas 8,62% do total, refletindo melhores procedimentos de verificação e teste de código.

Em 2021, o Patchstack contou cinco vulnerabilidades de gravidade crítica que afetam 55 temas do WordPress, sendo a mais impactante o abuso de recursos de upload de arquivos.

29% das falhas críticas de plugins do WordPress não receberam correção
29% das falhas críticas de plugins do WordPress não receberam correção – Falhas críticas que afetaram os temas do WordPress (Patchstack)

Do lado dos plugins, 35 vulnerabilidades críticas foram relatadas, duas delas afetando quatro milhões de sites.

Dois exemplos notáveis ​​cobertos pela Bleeping Computer no ano passado são o plug-in “OptinMonster” que impactou 1 milhão de sites e o plug-in de SEO “All in One” que expôs 3 milhões de sites a ataques de aquisição.

Enquanto os desenvolvedores corrigiram essas vulnerabilidades por meio de atualizações de segurança, nove plugins nunca receberam patches. Portanto, eles foram removidos dos mercados de plugins por não resolverem os problemas graves.

29% das falhas críticas de plugins do WordPress não receberam correção
29% das falhas críticas de plugins do WordPress não receberam correção – Plugins que nunca corrigiram suas falhas críticas (Patchstack)

Notavelmente, esse subconjunto também sofreu predominantemente com problemas de upload de arquivos não autenticados, seguidos por injeção de SQL e bugs de escalonamento de privilégios.

A PatchStack relata que o cross-site scripting (XSS) liderou a lista com o tipo mais relatado de falhas do WordPress em 2021, seguido por “misto”, falsificação de solicitação entre sites, injeção de SQL e upload arbitrário de arquivos.

29% das falhas críticas de plugins do WordPress não receberam correção
29% das falhas críticas de plugins do WordPress não receberam correção – Tipos de vulnerabilidades do WordPress relatadas em 2021 (Patchstack)

Quanto à gravidade das falhas relatadas, 3,41% foram críticas, 17,94% foram classificadas como muito importantes e 76,76% foram classificadas como médias, principalmente devido à presença de condições para exploração.

Cerca de 42% dos sites WordPress tinham pelo menos um componente vulnerável em 2021, dos 18 instalados em média. Embora esse número seja inferior aos 23 plugins instalados nos sites em 2020, o problema permanece devido a seis de 18 deles estarem desatualizados.

Os plug-ins desatualizados mais direcionados em 2021 foram OptinMonster, PublishPress Capabilities, Booster for WooCommerce e Image Hover Effects Ultimate.

Plugins desatualizados mais direcionados
29% das falhas críticas de plugins do WordPress não receberam correção – Plugins desatualizados mais direcionados (Patchstack

Em resumo, o relatório do Patchstack destaca que os administradores do site WordPress podem gerenciar a maioria dos riscos de segurança usando plugins pagos em vez de ofertas gratuitas, mantendo o número mínimo de complementos instalados e atualizando-os para a versão mais recente disponível o mais rápido possível.

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.

Deixe um comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.