20 procent najpopularniejszych wtyczek dla WordPressa posiada luki w bezpieczeństwie

WordPressPrzygotowany przez firmę Checkmarx raport dotyczący bezpieczeństwa najpopularniejszych wtyczek dla WordPressa nie napawa optymizmem. Ponad 20 procent z przeanalizowanych rozszerzeń jest podatnych na ataki przy użyciu technik SQL Injection, Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF), Remote / Local File Inclusion (RFI / LFI) lub Path Traversal. Co gorsza, w ciągu pół roku znalezione błędy zostały poprawione tylko w 6 na 18 problematycznych wtyczek.

W styczniu 2013 specjaliści z Checkmarx wykonali statyczną analizę kodu 50 najpopularniejszych wtyczek z oficjalnego repozytorium WordPressa. Testy wykazały podatność na ataki w 18 przypadkach, z czego 4 okazały się na tyle poważne, że firma zaoferowała twórcom pomoc w usunięciu błędów. Wspomniane rozszerzenia pobrano w sumie ponad 18,5 miliona razy, aczkolwiek trzeba pamiętać, że nie ma to realnego przełożenia na ilość serwisów z nich korzystających.

W czerwcu 2013 test powtórzono. Wszystkie 18 problematycznych wtyczek otrzymało w tym czasie co najmniej jedną aktualizację, przy czym tylko w sześciu przypadkach poprawiono błędy związane z bezpieczeństwem. Warto wspomnieć, że do tematu poważnie podeszli autorzy rozszerzeń BuddyPress, BBPress, E-Commerce, WooCommerce, W3 Total Cache i Super Cache.

Dodatkowo w czerwcu 2013 w analogiczny sposób przetestowano 10 najpopularniejszych wtyczek z kategorii e-commerce, z których aż 7 okazało się podatnych na ataki.

Autorzy raportu nie podają nazw rozszerzeń, w których błędy nie zostały poprawione. Jednak na podstawie ich opisów można wywnioskować, że chodzi między innymi o wtyczki Yet Another Related Posts Plugin, Broken Link Checker, Add Link to Facebook, FeedWordPress, WordPress Backup to Dropbox i UppSite.

Wniosków z tego badania można by wyciągnąć kilka. Główny moim zdaniem problem polega na tym, że (jak się okazuje) nie można traktować oficjalnego repozytorium WordPressa jako w stu procentach zaufanego źródła wtyczek. Nie mam jednak pojęcia w jaki sposób zwykli użytkownicy mogliby weryfikować bezpieczeństwo instalowanych rozszerzeń – to zadanie dla doświadczonych programistów, a nie dla ludzi, którzy chcą po prostu prowadzić stronę internetową.

Gdy marudziłem na temat problemów z oficjalnym repozytorium nie miałem jeszcze świadomości, jak duży problem stanowią luki bezpieczeństwa w znajdujących się tam wtyczkach. Być może twórcy WordPressa powinni zastanowić się nad skorzystaniem z narzędzi podobnych do tych użytych przez Checkmarx, które potrafią automatycznie wyłapać niektóre (bo oczywiście nie wszystkie) błędy? Na pewno by to nie zaszkodziło.

Pełen raport można znaleźć tutaj (PDF).

Bezpośredni link