«Ребята» из компании Checkmarx, специализирующейся на статистическом анализе кода и тестировании безопасности приложений, проверили на уязвимость 50 наиболее часто используемых плагинов к предназначенной для построения блогов системе управления контентом WordPress. И результаты просто шокирующие — 24 % плагинов, а это целых 12 из тестируемых 50, имеют уязвимости по отношению к самым «обыкновенным» атакам на интернет-приложения: внедрение SQL-кода, доступ к информации в каталоге (через указание «../» в пути), межсайтовый скриптинг (Сross Site Sсriрting) и имитация межсайтовых запросов (CSRF). Если выборку сократить до десятки популярнейших, имеющих отношение к сетевому предпринимательству, то прорехи безопасности были выявлены в 70%, то есть, семи плагинах. Если вы еще не начали учить SQL предлагаем вам sql для чайников.

Тем более, если принять во внимание тот факт, что WordPress применяется в обеспечении функционирования около 60 млн сайтов в мировой паутине, то ситуация вырисовывается довольно-таки критическая. Учет страниц, что используют такие «дырявые» плагины, нигде и никем не ведется, но по официальным данным мы знаем, что было скачано около 8 млн копий таких расширений. Как считают специалисты, проблема приняла столь угрожающий характер благодаря халатности и невнимательности владельцев сайтов, устанавливающих расширения, не удостоверившись в их безопасности. Причем, такая проблема характерна и для официальных источников, якобы гарантирующих «безопасный» код. Другой характерной причиной является отсутствие стандартов необходимой проверки расширений и плагинов на уязвимости. Примечательно также то, что за шесть месяцев после выявления «дыр» не было предпринято никаких действий, и уязвимости все еще имеют место быть.

Для исправления сложившейся ситуации предлагается расширить и сделать более жесткими требования для приема расширений в каталог WordPress.org, гарантирующих добавление только самых «чистых» расширений с безопасным кодом.

Оставить комментарий