Przygotowany przez firmę Checkmarx raport dotyczący bezpieczeństwa najpopularniejszych wtyczek dla WordPressa nie napawa optymizmem. Ponad 20 procent z przeanalizowanych rozszerzeń jest podatnych na ataki przy użyciu technik SQL Injection, Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF), Remote / Local File Inclusion (RFI / LFI) lub Path Traversal. Co gorsza, w ciągu pół roku znalezione błędy zostały poprawione tylko w 6 na 18 problematycznych wtyczek.
W styczniu 2013 specjaliści z Checkmarx wykonali statyczną analizę kodu 50 najpopularniejszych wtyczek z oficjalnego repozytorium WordPressa. Testy wykazały podatność na ataki w 18 przypadkach, z czego 4 okazały się na tyle poważne, że firma zaoferowała twórcom pomoc w usunięciu błędów. Wspomniane rozszerzenia pobrano w sumie ponad 18,5 miliona razy, aczkolwiek trzeba pamiętać, że nie ma to realnego przełożenia na ilość serwisów z nich korzystających.
W czerwcu 2013 test powtórzono. Wszystkie 18 problematycznych wtyczek otrzymało w tym czasie co najmniej jedną aktualizację, przy czym tylko w sześciu przypadkach poprawiono błędy związane z bezpieczeństwem. Warto wspomnieć, że do tematu poważnie podeszli autorzy rozszerzeń BuddyPress, BBPress, E-Commerce, WooCommerce, W3 Total Cache i Super Cache.
Dodatkowo w czerwcu 2013 w analogiczny sposób przetestowano 10 najpopularniejszych wtyczek z kategorii e-commerce, z których aż 7 okazało się podatnych na ataki.
Autorzy raportu nie podają nazw rozszerzeń, w których błędy nie zostały poprawione. Jednak na podstawie ich opisów można wywnioskować, że chodzi między innymi o wtyczki Yet Another Related Posts Plugin, Broken Link Checker, Add Link to Facebook, FeedWordPress, WordPress Backup to Dropbox i UppSite.
Wniosków z tego badania można by wyciągnąć kilka. Główny moim zdaniem problem polega na tym, że (jak się okazuje) nie można traktować oficjalnego repozytorium WordPressa jako w stu procentach zaufanego źródła wtyczek. Nie mam jednak pojęcia w jaki sposób zwykli użytkownicy mogliby weryfikować bezpieczeństwo instalowanych rozszerzeń – to zadanie dla doświadczonych programistów, a nie dla ludzi, którzy chcą po prostu prowadzić stronę internetową.
Gdy marudziłem na temat problemów z oficjalnym repozytorium nie miałem jeszcze świadomości, jak duży problem stanowią luki bezpieczeństwa w znajdujących się tam wtyczkach. Być może twórcy WordPressa powinni zastanowić się nad skorzystaniem z narzędzi podobnych do tych użytych przez Checkmarx, które potrafią automatycznie wyłapać niektóre (bo oczywiście nie wszystkie) błędy? Na pewno by to nie zaszkodziło.
Pełen raport można znaleźć tutaj (PDF).