WordPress on maailma populaarseim sisuhaldussüsteem, millel töötavad 41% kõigist veebis olevatest veebisaitidest. Sellise turuosaga saab see aina ahvatlevamaks ründeobjektiks ning WordPressi turvalisus muutub aina olulisemaks. Seega on väga oluline teada, millised turvanõrkused ja ohud sel veebiplatvormil praegu on ja mis selle platvormi haavatavaks teevad. Eesti küberturbefirma Patchstack korraldas uuringu, milles võttis kokku eelmisel aastal leitud turvaohud WordPressis. Seda tutvustab Patchstacki tegevjuht ja asutaja Oliver Sild.
Turvaohtude uuringus “WordPressi turvanõrkused 2020. aastal” avaldatakse täielik statistika kõigi WordPressi haavatavuste kohta, sealt leiab edetabelid erinevate turvaohtude liikide järgi, OWASP 10 edetabelid (kümne suurema turvaohu hindamise TOP), plugin´ide ehk pistikprogrammide turvaohtude ülevaated ja palju muud.
WordPressil on praegu ligi 85 tuhat erinevat lisandmoodulit ehk plugin´i. Need ongi WordPressi peamiseks turvaohuks. WordPressi arendajad ja kasutajad saavad neid mooduleid lihtsalt lisada, otsides WordPressi plugin´ide kogust välja endale sobiva, et oma veebisaidi funktsionaalsust laiendada mõne kolmanda osapoole laiendusega.
Ainuüksi 2020. aastal leiti 582 ainulaadset turvaohtu. Need haavatavused mõjutasid WordPressi tuuma, kolmanda osapoole pistikprogramme ja teemasid ehk templiite.
Kõige levinumad haavatavused on saitidevaheline kood (Cross-Site Scripting), mis moodustab üle 36,2% 2020. aastal leitud unikaalsete haavatavuste koguarvust. SQL Injection ehk SQL-i süstimine moodustas teisena 9,1% haavatavustest ning saitidevaheliste päringute võltsimine ehk Cross-Site Request Forgery oli kolmandal kohal 6,5 protsendiga kõigist haavatavustest.
Kõige suuremad probleemid esinevadki seoses plugin´idega: 96,22% haavatavustest pärinevad kolmandate osapoolte koodist. Eelmisel aastal leiti kokku vaid 22 haavatavust WordPressi enda tuuma koodist.
Asja teeb halvemaks see, et paljudel populaarsetel pistikprogrammidel on miljoneid aktiivseid paigaldusi, seega mõjutavad haavatavused väga suurt hulka veebisaite. Ligi 70 miljonit veebi kasutasid möödunud aastal plugin´e, millel olid turvaohud.
Keskmiselt on ühel WordPressi lehel 23 kolmanda osapoole plugin´i
Uuringus sai analüüsitud 50 000 veebisaiti ning selgus ka keskmine pistikprogrammide ehk ja teemade paigalduste arv.
Leidsime, et keskmiselt on ühel WordPressi veebisaidil installitud 23 erinevat kolmanda osapoole komponenti. Umbes neli 23-st olid vananenud ja neile plugin´idele oli uus versioon saadaval.
Iga täiendava pistikprogrammi installimisel veebisaidile suureneb potentsiaalse haavatavuse oht. Veebisaitide värskendustega hilinemine suurendab aga riski veelgi. WordPressi plugin´e ei uuendata regulaarselt.
Veebiarendajad muutuvad aina murelikumaks
2020. aasta teises kvartalis küsitles Patchstack ligi 400 veebiarendajat, vabakutselist töötajat ja digiagentuuri, et uurida nende veebisaitide turvalisuse kohta.
Vastused näitasid üsna selgelt, et nad olid hästi teadlikud WordPressi turvaohtudest ja väljakutsetest.
Üle 70% vastas, et nad on üha enam mures oma veebisaidi turvalisuse pärast ja peamine põhjus oligi kolmandate osapoolte pistikprogrammide haavatavus.
Ligikaudu 45% vastanutest tajus rünnakute suurenemist nende hallatavate veebisaitide vastu ja 25% pidi uuringus osalemisele eelnenud kuu jooksul toime tulema häkkinud veebisaidiga.
Kokkuvõtteks: plugin´id on suurim oht
Kolmandate osapoolte lisandprogrammide koodide haavatavus on kokkuvõtteks endiselt üks suurimaid ohte WordPressil põhinevatele veebisaitidele.
WordPressi pistikprogrammides ja teemades on kasvanud ka teatatud uute ja unikaalsete haavatavuste arv võrreldes 2020. aastat 2021. aasta algusega. WordPressi jälgivad erinevad küberturvafirmad on aga juba teinud palju tööd, pakkudes arvukalt lahendusi rünnakute ja pahavara nakkuste kõrvaldamiseks.
