Statystyki luk bezpieczeństwa

Statystyki luk bezpieczeństwa

WPScan Vulnerability Database, jeden z serwisów zbierających informacje o lukach bezpieczeństwa w WordPressie oraz w przeznaczonych dla niego wtyczkach i motywach (o pozostałych przeczytać można tutaj), uruchomił moduł statystyk. Możemy się z niego dowiedzieć, która wersja WordPressa miała najwięcej problemów z bezpieczeństwem oraz które wtyczki i motywy zawierały najwięcej potencjalnie niebezpiecznych błędów.

Pierwsza sekcja Vulnerabilities zawiera najciekawsze informacje. Wykres Affecting pokazuje podział znajdujących się w bazie luk pomiędzy wtyczki (54,2%), motywy (14,3%) i samego WordPressa (31,5%). Jak widać, najwięcej problemów sprawiają błędy w rozszerzeniach.
Równie ciekawy, aczkolwiek bardziej techniczny, jest wykres Vulnerability Types, który pokazuje podział luk ze względu na ich rodzaj. Zdecydowanie najpopularniejszymi są luki typu XSS (Cross-site scripting). Zaraz za nimi uplasowały się luki SQLI (SQL Injection), a nieco dalej CSRF (Cross-site request forgery) i UPLOAD (możliwość nieautoryzowanego przesłania pliku na serwer ofiary).

Kolejne sekcje pokazują wersje WordPressa, w których wykryto najwięcej luk bezpieczeństwa (najbardziej felerną były wersje 3.0 i 3.0.1, w których znaleziono aż 15 błędów). Dalej znajdziemy analogiczne informacje dla wtyczek (WP eCommerce, NextGEN Gallery i Count per Day są w czołówce) oraz motywów.

Prezentowane informacje nikomu raczej do niczego się nie przydadzą ani niczego nie udowadniają – należy traktować je po prostu jako ciekawostkę.

Bezpośredni link

  • imogen

    Zastanawia mnie jedno, czy wtyczki płatne są znacznie bardziej „bezpieczne” od tych darmowych, dostępnych w repozytorium? Bezpieczeństwo mojej strony jest dla mnie bardzo ważne, jednak nie jestem do końca przekonana, czym różnią się płatne wersje (np. dostępne na envato) od tych dostępnych w repozytorium. Czy wersje płatne są mniej narazone na ataki? Czy może najlepszym rozwiązaniem jest zamówienie wtyczki autorskiej? Czy ta ostatnia opcja raczej się nie opłaca?

    • Nie, wtyczki płatne nie są bezpieczniejsze od darmowych. Nie są również mniej bezpieczne. ;) Zarówno w oficjalnym repozytorium, jak i w Envato są osoby, które sprawdzają każdą wtyczkę i szablon przed publikacją. Niestety, obu tym grupom zdarzają się błędy i przeoczenia. Tak więc gwarancji bezpieczeństwa nigdy nie ma.

      Zamówienie autorskiej będzie znacznie (serio, znacznie) droższe niż kupienie gotowego rozwiązania. I to również nie chroni Cię przed ryzykiem wystąpienia błędów związanych z bezpieczeństwem. Jedyną „zaletą” jest fakt, że nikt Twojej wtyczki nie będzie znał, w związku z tym nikt nie będzie próbował wykorzystać ewentualnych jej błędów.