WordPress-Ökosystem verzeichnet 150% Anstieg der Sicherheitslücken im Jahr 2021 – WP Tavern

11. März 2022

Patchstack hat seine Stand der WordPress-Sicherheit Whitepaper mit einer Zusammenfassung der im Jahr 2021 registrierten Bedrohungen für das WordPress-Ökosystem. Das Whitepaper fasst Daten aus verschiedenen Quellen zusammen, darunter die Patchstack Datenbank für Sicherheitslückendie Patchstack Alliance (die Bug Bounty-Plattform des Unternehmens) und öffentlich gemeldete CVEs aus anderen Quellen.

Im Jahr 2021 verzeichnete Patchstack fast 1.500 Sicherheitslücken, ein Anstieg um 150 % im Vergleich zu 2020, wo ~600 gemeldet wurden. Patchstack fand heraus, dass die meisten davon aus dem WordPress.org-Verzeichnis stammen:

Das WordPress.org Repository ist die wichtigste Quelle für WordPress Plugins und Themes. Schwachstellen in diesen Komponenten machten 91,79 % der Schwachstellen aus, die der Patchstack-Datenbank hinzugefügt wurden.

Die restlichen 8,21 % der gemeldeten Schwachstellen im Jahr 2021 wurden in Premium- oder kostenpflichtigen Versionen der WordPress-Plugins oder -Themes gemeldet, die über andere Marktplätze wie Envato, ThemeForest, Code Canyon verkauft oder nur zum direkten Download angeboten werden.

WordPress Core hat vier Sicherheitsversionen herausgegeben, von denen nur eine einen Patch für eine kritische Sicherheitslücke enthielt. Diese spezielle Sicherheitslücke befand sich nicht in WordPress selbst, sondern in einer der gebündelten Open-Source-Bibliotheken, der PHPMailer-Bibliothek.

Patchstack schätzt, dass 99,31% aller Sicherheitslücken aus dem Jahr 2021 in Komponenten - WordPress Plugins und Themes - zu finden waren. Themes wiesen die meisten kritischen Sicherheitslücken auf: 55 wurden in diesem Jahr registriert. Patchstack fand heraus, dass 12,4 % der gemeldeten Schwachstellen in Themes einen kritischen CVSS-Wert von 9,0-10,0 hatten. Am häufigsten wurden Schwachstellen beim willkürlichen Datei-Upload gemeldet.

Plugins wiesen insgesamt 35 kritische Sicherheitslücken auf. Das sind zwar weniger Schwachstellen als bei Themes, aber für 29 % dieser Schwachstellen wurde kein öffentlicher Patch veröffentlicht.

"Die überraschendste Erkenntnis war eigentlich auch die unglücklichste Wahrheit", sagte Patchstack Security Advocate Robert Rowley. "Ich hatte nicht erwartet, dass so viele Plugins mit kritischen Sicherheitslücken keine Patches erhalten würden.

"Einige dieser Schwachstellen erforderten keine Authentifizierung und haben öffentlich zugängliche Proof of Concepts (Exploit-Code), die online weit verbreitet sind. Für die Website-Besitzer, die keine Benachrichtigung erhalten haben, dass ihre Websites verwundbar sind, ist es wahrscheinlich schon zu spät."

Patchstack befragte 109 WordPress-Site-Besitzer und fand heraus, dass 28% der Befragten kein Budget für Sicherheit hatten, 27% gaben $1-3/Monat an und nur 7% gaben ~$50/Monat an. Agenturen gaben eher an, monatliche Kosten für die Sicherheit einzuplanen als einzelne Website-Betreiber.

Umgekehrt gaben dieselben Befragten an, dass die durchschnittlichen Kosten für die Entfernung von Malware bei 613 Dollar liegen. Die Preise für die Bereinigung nach der Kompromittierung lagen zwischen 50 und 4.800 US-Dollar.

Rowley sieht den signifikanten Anstieg der im Jahr 2021 gefundenen Sicherheitslücken als Beweis für engagiertere Sicherheitsexperten und nicht als Zeichen dafür, dass das WordPress-Ökosystem unsicherer wird.

"Wahrscheinlich liegt das daran, dass mehr Sicherheitslücken gemeldet werden (mehr verwundbarer Code wird gefunden, weil mehr Leute danach suchen)", so Rowley. "Patchstack betreibt ein Bug Bounty Programm, das Sicherheitsforscher für die gemeldeten Fehler im WordPress-Ökosystem bezahlt, was Sicherheitsforscher (und sogar Entwickler, die mit WordPress vertraut sind) dazu anregt, nach mehr Sicherheitslücken zu suchen."

Insgesamt zeigen die diesjährigen Ergebnisse von Patchstack, dass der WordPress-Kern sehr sicher ist und die überwiegende Mehrheit der Sicherheitslücken in Themes und Plugins gefunden wird. Nutzer/innen sollten ihre Erweiterungen im Auge behalten und regelmäßig überprüfen, ob sie aufgegeben wurden, denn nicht jede anfällige Software wird garantiert gepatcht. Schau dir die vollständige Whitepaper zur Sicherheit für weitere Details über die Arten von Schwachstellen, die im Jahr 2021 am häufigsten gefunden werden.

Quelle


Dieser Artikel ist im Original von wptavern.com und wurde übersetzt
https://wptavern.com/patchstack-whitepaper-wordpress-ecosystem-records-150-increase-in-security-vulnerabilities-in-2021

Abonniere den RSS-Feed von unseren WP News und verpasse keine Meldung: https://die-mainagentur.de/feed/?post_type=wp-news

Alternativ kannst du unseren WP-Newsletter abonnieren

Mit dem Eintrag in den WP-Newsletter bekommst du per Mail über neue Artikel zugesendet. Du kannst den Newsletter jederzeit abbestellen.
Mehr dazu in der Datenschutzerklärung