Belangrijke kwetsbaarheden in WordPress worden niet altijd direct aangepakt. Dit constateert WordPress-securityspecialist Patchstack in zijn overzicht over 2021.
In zijn onderzoek constateert de securityspecialist dat niet alle belangrijke kwetsbaarheden voor het CMS-systeem direct worden oplost. In totaal nam het aantal kwetsbaarheden voor WordPress met maar liefst 150 procent toe. Tot nu toe heeft 29 procent van deze belangrijke kwetsbaarheden in vooral WordPress plugins nog geen update gekregen. De onderzoekers van Patchstack zijn hier zeer bezorgd over, aangezien 43,2 procent van alle websites op WordPress draait.
In totaal ging het in 3,4 procent van de gevonden kwetsbaarheden om zeer kritieke kwetsbaarheden. Het percentage zeer belangrijke kwetsbaarheden lag in 2021 op 17,9 procent. De overgrote meerderheid kreeg het label ‘medium risk’ mee.
42 procent heeft een kwetsbaarheid
De onderzoekers geven ook aan dat ongeveer 42 procent van alle WordPress-websites nu ten minste één kwetsbaar onderdeel heeft ten opzichte van de gemiddeld 18 geïnstalleerde thema’s of plugins.
Verder zijn zes van de 18 componenten ouderwets en daardoor kwetsbaarder. De meeste kwetsbaarheden werden voor thema’s en plugins geconstateerd. Het aantal kwetsbaarheden in de core van het bekende CMS-systeem waren zeer beperkt; iets meer dan een half procent.
Vooral gratis plugins
Wanneer wordt ingezoomd, ontdekten de securityspecialisten dat 91,38 procent van de kwetsbaarheden in gratis plugins werd gevonden. Betaalde en premium add-ons waren voor 8,62 procent verantwoordelijk. Dit lagere percentage is vooral het gevolg van het beter beoordelen van code en goede testprocedures, zo geven de experts van Patchstack aan.
Uit het onderzoek blijkt ook dat kwetsbaarheden een effect hebben op meerdere WordPress thema’s of plugins. De vijf grootse kwetsbaarheden voor thema’s hadden een effect op 55 WordPress thema’s. Op het gebied van plugins blijkt onder meer dat twee gevonden kritieke kwetsbaarheden -van de 35 in totaal een effect hebben op maar liefst vier miljoen websites.
De meest gevonden kwetsbaarheden richtten zich in het afgelopen jaar op cross-site scripting (XSS), gevolgd door “mixed”, cross-site request forgery, SQL injecties en arbitrary file upload.
Veel werk aan de winkel
In het onderzoek concluderen de onderzoekers van Patchstack dat er dus veel werk aan de winkel is voor het veiliger maken van WordPress-omgevingen. Als tips geven zij de voorkeur van betaalde plugins boven gratis plugins, het aantal add-ons zoveel mogelijk beperken en het vaker en sneller upgraden van thema’s en plugins naar de nieuwste versie.