Нов доклад за състоянието на сигурността на WordPress насочи вниманието към скритата заплаха, породена от премиум плъгини и към факта, че хакерите все повече използват уязвимости, преди много сайтове да могат да ги закърпят.
Сигурността е все по-голяма надпревара с времето
Докладът на компанията за сигурност на WordPress Patchstack за състоянието на сигурността на WordPress показва, че хакерите се възползват от празнината между момента, в който дадена уязвимост е открита, и момента, в който даден сайт се опитва да я поправи. Традиционното предположение е, че собствениците на сайтове имат време да оценят, коригират и внедрят корекции, но това все повече не е така.
Времевата линия между откриването и корекцията на сайта се компресира от по-бързо използване, понякога почти веднага след разкриването. Защитните процеси, които зависят от навременните корекции, се превръщат в надпревара с времето, когато експлоатацията започне в рамките на часове.
Докладът на Patchstack обяснява:
„Когато анализирахме скоростта, с която нападателите въоръжават нови уязвимости, установихме, че приблизително половината от уязвимостите със силно въздействие се експлоатират в рамките на 24 часа.
Когато отчитаме колко интензивна е била експлоатацията (чрез претегляне въз основа на наблюдавана активност), тогава претегленото средно време до първото използване е 5 часа. Това предполага, че най-тежко насочените уязвимости обикновено се атакуват в рамките на часове, а не дни.
Собствениците на сайтове трябва да интегрират това знание в своя работен процес по сигурността, за да минимизират времето между получаването на известие за уязвимост и коригирането й.
Мащабът на експозицията се разширява
Обемът на разкритите уязвимости нарасна рязко през 2025 г. Повечето от тези уязвимости бяха открити в плъгини, а не в ядрото на WordPress, поставяйки по-голямата част от експозицията в слоя за разширение, поддържан от хиляди независими разработчици.
В същото време докладът идентифицира допълнителен натиск, засягащ сигурността на WordPress:
- Ограничена видимост на премиум пазарните компоненти
- Срокове за бърза експлоатация след разкриване
- Многоетапно, постоянно поведение при атака след компрометиране
Разширяващ се приложен слой, който включва потребителски кодирани и софтуерни библиотеки или пакети на трети страни (като JavaScript или PHP компоненти)
Докладът обяснява:
„Общо 11 334 нови уязвимости бяха открити в екосистемата на WordPress през 2025 г. – това е 42% увеличение в сравнение с 2024 г.
От всички открити нови уязвимости 4124 (36%) представляват действителна заплаха и са достатъчно сериозни, за да изискват правила за защита на RapidMitigate.
1966 (17%) уязвимости имаха висок резултат на сериозност, което означава, че има вероятност да бъдат използвани в автоматизирани масови атаки.
Всъщност през 2025 г. бяха открити повече уязвимости с висока степен на сериозност в екосистемата на WordPress, отколкото през предходните две години, взети заедно. Това увеличение до голяма степен идва от първокласни компоненти на пазари като Envato и подчертава проблема с видимостта на сигурността на такива компоненти и пазара. Тъй като тези компоненти не са лесно достъпни за изследователите по сигурността, е по-трудно да се намерят проблеми със сигурността в тях.
Констатациите показват, че рискът се разпределя както в екосистемата на безплатните плъгини, така и в компонентите на първокласния пазар, където ограничената видимост прави недостатъците по-трудни за откриване.
Първокласните компоненти показват високи нива на експлоатируемост
Плъгините и темите на първокласния пазар често получават по-малко независим контрол поради ограничения достъп до кода. Но по-малко открити уязвимости не означава непременно по-нисък риск. Данните на Patchstack показват, че висок процент от уязвимостите, открити в премиум плъгини и теми, са били използвани при атаки в реалния свят.
Patchstack обяснява:
„За да разберем пейзажа на заплахите от премиум плъгините и темите, миналата година проведохме целенасочено проучване на премиум пазари като Envato.
Като цяло получихме 1983 валидни доклада за уязвимости за Premium или freemium компоненти, което представлява 29% от общия брой доклади.
59% от тях са били уязвимости с висок приоритет на Patchstack, които могат да се използват при автоматизирани масови атаки.
Други 17% са имали среден приоритет на Patchstack, което означава, че могат да бъдат използвани при по-насочени атаки.
Това означава, че 76% от уязвимостите, открити в Premium компонентите, са били експлоатирани в реални атаки.
Освен това нашата програма Zero Day откри 33 силно критични уязвимости в Premium компоненти, в сравнение със само 12 в безплатни компоненти.“
Изводът е, че висок процент от уязвимостите, открити в първокласни компоненти, са били използвани при атаки в реалния свят.
Закъснения в наличността на корекцията
Софтуерните актуализации са крайъгълен камък на сигурността на плъгините и темите на WordPress, но те зависят от наличните корекции, когато се разкрият уязвимости, което не винаги е така. Закъсненията на корекцията оставят собствениците на сайтове изложени на опасност през периода, когато интересът към експлоатация е най-голям.
Patchstack споделя, че разработчиците на плъгини и теми не са успели да осигурят навременна корекция за 46% от уязвимостите.
Защитите на инфраструктурата блокират само малка част от атаките
Хостинг доставчиците разчитат на защитни стени за уеб приложения и подобни защити, но тестването показа, че тези мерки блокират само малка част от атаките за уязвимост на WordPress.
Patchstack споделя резултатите от своите тестове:
„В мащабен пентест на популярни компании за уеб хостинг само 26% от всички атаки за уязвимост бяха блокирани.“
По-старите уязвимости остават активни цели
Стряскаща констатация е, че нападателите продължават да използват по-стари уязвимости. Patchstack споделя, че само четири от първите десет уязвимости, които са били насочени най-много, са публикувани през 2025 г., останалите са по-стари.
„Когато разглеждаме десетте най-големи уязвимости, които са били насочени най-много от нападателите, виждаме, че само четири са публикувани през 2025 г.“
Те изброяват следните по-стари версии на добавки, които сайтовете не са актуализирали до безопасни версии:
- WordPress LiteSpeed Cache Plugin <= 5.7 (2024)
- WordPress tagDiv Composer Plugin < 4.2 (2023)
- WordPress Startklar Elementor Addons Plugin <= 1.7.13 (2024)
- WordPress GiveWP плъгин <= 3.14.1 (2024)
- WordPress LiteSpeed Cache Plugin <= 6.3.0.1 (2024)
- WordPress WooCommerce плъгин за плащания <= 5.6.1 (2023)
Дейността след компромиса набляга на постоянството
След като бъде получен достъп, нападателите все повече се стремят да запазят достъпа след първоначалния компромет, вместо да разгръщат еднократни полезни товари.
Patchstack обяснява:
„Това устойчиво увеличение предполага, че нападателите преминават отвъд опортюнистични, еднократни компромиси. Вместо това, те инвестират в постоянна инфраструктура – поставяне на програми за качване, които позволяват многоетапни атаки и дългосрочен достъп до компрометирани сайтове.
Постоянната инфраструктура означава, че нападателите не просто използват уязвимостите веднъж и продължават напред. Те установяват опорни точки, които им позволяват да се върнат, да разположат допълнителни полезни товари и да поддържат достъп дори след като първоначалните инфекции бъдат изчистени.“
Съвременният зловреден софтуер често се вгражда в легитимни файлове или използва техники за изпълнение, за да избегне откриването. Това прави почистването по-трудно от простото изтриване на очевидно злонамерени файлове.
Прогнозата за 2026 г
Patchstack предвижда, че кодът, работещ със сайтове на WordPress, ще продължи да се разширява отвъд традиционните пакетирани компоненти. Защитата на WordPress средите вече изисква отчитане на код, който съществува извън стандартните дистрибуции на плъгини и теми.
Разширяващата се повърхност за атака включва персонализирана функционалност, код на трета страна, добавен чрез JavaScript или PHP компоненти, и генериран от AI код, всички от които може да не преминат през нормални канали за актуализиране на плъгини или теми. Разширяващата се повърхност за атака включва:
- Специално кодирани добавки, разработени за отделни сайтове или агенции
- JavaScript и PHP пакети, изтеглени в проекти като зависимости
- Код, генериран от AI, използван за изграждане на функции или цели предни части
Защитата на WordPress вече изисква видимост в персонализирани кодирани и генерирани компоненти, а не само инсталирани плъгини и теми.
Представено изображение от Shutterstock/Kues
Източник: searchenginejournal.com