ElegantThemes

Libro blanco de Patchstack: El ecosistema de WordPress registra un aumento del 150 % en las vulnerabilidades de seguridad en 2021

Patchstack ha lanzado su Estado de seguridad de WordPress El libro blanco resume las amenazas al ecosistema de WordPress documentadas en 2021.El libro blanco agrega datos de múltiples fuentes, incluyendo Base de datos de vulnerabilidades de la pila de parchesPatchstack Alliance (la plataforma de recompensas por errores de la empresa) y publica CVE informados de otras fuentes.

En 2021, Patchstack registró casi 1500 vulnerabilidades, un aumento del 150 % con respecto a las aproximadamente 600 registradas en 2020. Patchstack encontró la mayoría de ellos en el directorio de WordPress.org:

El repositorio de WordPress.org es la fuente principal de complementos y temas de WordPress. Las vulnerabilidades en estos componentes representaron el 91,79% de las vulnerabilidades agregadas a la base de datos de Patchstack.

El 8,21 % restante de las vulnerabilidades informadas en 2021 se informaron en versiones premium o pagas de complementos o temas de WordPress vendidos a través de otros mercados como Envato, ThemeForest, Code Canyon, o solo disponibles para descarga directa.

Hay cuatro versiones de seguridad del núcleo de WordPress, de las cuales solo una contiene parches para vulnerabilidades críticas. Esta vulnerabilidad en particular no está en WordPress en sí, sino en una de sus bibliotecas de código abierto incluidas, la biblioteca PHPMailer.

Patchstack estima que, a partir de 2021, el 99,31 % de las vulnerabilidades de seguridad estarán en componentes: complementos y temas de WordPress. Los temas tienen las vulnerabilidades más graves, con 55 registradas este año. Patchstack descubrió que el 12,4 % de las vulnerabilidades informadas en el tema tenían una puntuación CVSS crítica de 9,0-10,0. Las vulnerabilidades de carga de archivos arbitrarios son las más comunes.

Artículo Recomendado:  BetterDocs Pro v1.3.9 – Make Your Knowledge Base Standout

El complemento tiene un total de 35 problemas críticos de seguridad. Esto tiene menos vulnerabilidades en comparación con los temas, pero el 29% de ellos no han recibido parches públicos.

«El hallazgo más sorprendente es en realidad el hecho más desafortunado», dijo Robert Rowley, defensor de la seguridad de Patchstack. «No esperaba ver tantos complementos con vulnerabilidades críticas que no recibieron parches.

«Algunas de estas vulnerabilidades no requieren autenticación para ejecutarse, y las pruebas de concepto disponibles públicamente (código de explotación) están ampliamente disponibles en línea. Puede ser demasiado tarde para los propietarios de sitios web que no han sido notificados de que sus sitios web son vulnerables».

Patchstack encuestó a 109 propietarios de sitios de WordPress y encontró que el 28 % de los encuestados tenía un presupuesto de seguridad de cero, el 27 % tenía un presupuesto de $1-3 por mes y solo el 7 % tenía un presupuesto de alrededor de $50 por mes. Es más probable que las agencias asignen costos mensuales a la seguridad que los propietarios de sitios individuales.

En cambio, los resultados de estos encuestados mostraron que el costo promedio de eliminación de malware fue de $613. Los precios de limpieza posteriores al compromiso informados oscilan entre $ 50 y $ 4,800.

Rowley considera que el aumento significativo de las infracciones de seguridad descubiertas en 2021 es una prueba de una mayor participación de los profesionales de la seguridad, no una señal de que el ecosistema de WordPress se esté volviendo inseguro.

«Es probable que esto se deba a que se informan más vulnerabilidades de seguridad (se encuentra un código más vulnerable porque más personas están buscando)», dijo Rowley. «Patchstack ejecuta un programa de recompensas por errores que paga a los investigadores de seguridad por las vulnerabilidades que informan en el ecosistema de WordPress, incentivando a los investigadores de seguridad (incluso a los desarrolladores familiarizados con WordPress) a encontrar más agujeros de seguridad».

En general, los hallazgos de Patchstack este año muestran que el núcleo de WordPress es muy seguro y que la gran mayoría de las vulnerabilidades residen en temas y complementos. Los usuarios deben monitorear sus extensiones y verificar regularmente si han sido abandonadas, ya que no todo el software vulnerable se puede parchear.Ver completo Documento técnico de seguridad Más detalles sobre los tipos de vulnerabilidades más comunes en 2021.

Artículo Recomendado:  Industrial v1.3.9 - Corporativo, Industria y Fábrica

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada.