Status Keamanan WordPress: Komunitas dan Kolaborasi Membantu Kita Semua Menang

Patchstack, firma riset keamanan open source terkemuka dan CVE Numbering Authority (CNA), telah merilis laporan tahunannya tentang Status Keamanan WordPress pada tahun 2022 . Laporan ini termasuk tetapi jauh melampaui analisis tren keamanan biasa. Ini menunjukkan dampak Patchstack dengan program bounty bug uniknya, Patchstack Alliance. Jaringan kooperatif, sukarela, dan terbuka ini membantu pengembang WordPress menemukan dan menambal bug keamanan setiap hari. Tambalan tersebut berubah menjadi peringatan keamanan dan pembaruan yang diandalkan oleh komunitas WordPress. Pengguna iThemes Security dan Security Pro kami menerima pemberitahuan 48 jam sebelumnya ketika kerentanan baru memengaruhi situs mereka, berkat Patchstack. Banyak dari pembaruan keamanan yang kita semua terapkan secara rutin ke situs WordPress kita setidaknya sebagian akan menjadi hasil kerja rintisan Patchstack.

Mengungkap Kerentanan Membuat Ruang WordPress Lebih Aman

Basis data Patchstack menunjukkan peningkatan 328% dalam kerentanan yang dilaporkan pada tahun 2022. Mereka menjelaskan lonjakan ini sebagai hasil dari peneliti keamanan “mencari lebih keras dan lebih jauh” ke dalam kode di seluruh ekosistem WordPress. Mendeteksi lebih banyak kerentanan menunjukkan WordPress semakin aman, menurut Patchstack. Temuan lain di State of WordPress Security pada tahun 2022 mendukung kesimpulan ini. Misalnya, kerentanan yang ditemukan (dan ditambal dengan cepat) di beberapa plugin WordPress yang paling banyak digunakan (misalnya, Elementor, Yoast, All-in-One SEO, MonsterInsights, Wordfence) bukanlah target eksploitasi yang paling aktif.

Tantangan Kerentanan yang Belum Ditambal dan Rantai Pasokan yang Rusak

Menurut analisis Patchstack, target terbesar untuk eksploitasi aktif di ekosistem WordPress adalah plugin dengan kerentanan yang diketahui tidak ditambal, terkadang selama bertahun-tahun. Dalam pemeriksaan mendadak dari semua situs yang dipantau oleh jaringan Patchstack, rata-rata 42% menjalankan komponen yang diketahui tidak aman. Plugin yang belum ditambal menyumbang 26% dari bug keamanan paling kritis yang dilaporkan pada tahun 2022 — angka yang ingin kita semua lihat cenderung menurun. Aliansi Patchstack bekerja menuju tujuan itu dengan pengembang untuk membantu menambal kerentanan yang baru ditemukan, tetapi ini tidak mungkin dilakukan dengan perangkat lunak yang ditinggalkan.

Salah satu tren terpenting yang dicatat dalam laporan tahunan Patchstack menghubungkan peningkatan kerentanan CSRF dengan penyebarannya di banyak situs melalui satu ketergantungan. Sementara kerentanan Cross-Site Scripting (XSS) tetap umum, bug Cross-site Request Forgery (CSRF) cenderung lebih tinggi pada tahun 2022. Patchstack melaporkan hal ini sebagian disebabkan oleh bug CSRF yang muncul di kerangka kerja YITH dan Freemius, menggarisbawahi pentingnya mempertahankan rantai pasokan dengan semua pengguna hilir dari basis kode yang sama.

Pada tahun 2023, saat kami mengikuti data Patchstack dalam laporan kerentanan mingguan kami di iThemes, kami melihat kerentanan XSS tiga kali lebih banyak dibandingkan dengan laporan CSRF. Itu pertanda baik bahwa 2022 adalah outlier. Seperti yang kami catat dalam laporan keamanan 2022 kami sendiri, ini juga kabar baik bahwa sebagian besar kerentanan tahun lalu berada dalam kategori risiko rendah hingga sedang untuk tingkat keparahannya. Data Patchstack menunjukkan kerentanan yang tidak terlalu parah ini mencapai 87% dari total pada tahun 2022.

Pengguna Akhir Berhak Mendapatkan Data Kerentanan yang Dapat Diakses dan Dapat Ditindaklanjuti

Peringkat keparahan adalah satu hal, tetapi sebenarnya memahami apakah dan bagaimana kerentanan memengaruhi situs Anda adalah cerita yang berbeda. Banyak CNA dan database kerentanannya sangat teknis dalam mendokumentasikan setiap kerentanan. Pengguna WordPress perlu tahu, dalam istilah yang dapat mereka pahami dengan mudah, seberapa terbuka mereka ketika kerentanan muncul. Database kerentanan Patchstack bertujuan untuk memberikan informasi tersebut kepada setiap pemilik situs sehingga mereka dapat memahami ancaman dan mengambil tindakan yang tepat. Dan informasi itu memperkuat produk Keamanan iThemes kami.

Berikut adalah deskripsi kerentanan Patchstack untuk CVE-2023-0968 (MITRE) di database Patchstack:

Marco Wotschka menemukan dan melaporkan kerentanan Cross-Site Scripting (XSS) ini di Plugin WordPress Watu Quiz. Hal ini dapat memungkinkan pelaku jahat menyuntikkan skrip jahat, seperti pengalihan, iklan, dan muatan HTML lainnya ke situs web Anda yang akan dijalankan saat tamu mengunjungi situs Anda.

Pengguna WordPress dan iThemes Security atau Security Pro dengan versi tidak aman dari plugin ini yang terpasang di situs mereka akan menerima peringatan. Mereka juga memiliki opsi untuk membaca lebih lanjut tentang potensi risiko yang mungkin ditimbulkan oleh kerentanan bagi mereka. Secara signifikan, Patchstack menilai CVE-2023-0968 sebagai kerentanan tingkat tinggi dibandingkan dengan CNA lainnya. Lainnya tidak mencatat penyerang dapat mengeksploitasi kerentanan ini tanpa akun pengguna atau hak istimewa di situs yang ditargetkan — detail penting.

CNA Mungkin Berbeda Secara Signifikan dalam Bagaimana Mereka Menilai dan Menggambarkan Ancaman

Seperti yang Anda lihat pada contoh di atas, Patchstack memberikan kredit kepada peneliti keamanan yang merupakan kunci untuk menemukan dan menambal kerentanan sebelum dapat dieksploitasi. Mereka pantas mendapatkannya! Pengguna akhir atau pemilik situs yang menerima peringatan ini juga berhak mendapatkan kejelasan tentang risiko yang mereka hadapi. Ringkasan Patchstack menjelaskan di mana letak ancamannya. Mengklik detail teknis di database mereka mengonfirmasi kerentanan ini dapat dieksploitasi tanpa masuk ke situs. Ini adalah kejelasan dalam komunikasi dan pengalaman pengguna yang positif yang dapat Anda harapkan jika Anda adalah pengguna iThemes Security atau Security Pro.

Devin Walker, Manajer Umum StellarWP, mengatakan dia bangga menjadi bagian dari jaringan Patchstack sejak bermitra dengan mereka awal tahun ini dan mengadopsi basis data kerentanan mereka untuk pengguna iThemes Security. Dalam pandangannya, “Laporan keamanan komprehensif Patchstack menyoroti komitmen mereka untuk secara aktif mengidentifikasi dan menangani kerentanan keamanan di ekosistem WordPress. Dengan bersikap transparan tentang pekerjaan mereka, mereka menetapkan standar bagaimana keamanan harus didekati di industri ini.”

Menghentikan Bug Sejak Awal — Cara WordPress

Patchstack tidak hanya melaporkan bug yang diungkapkan orang lain — mereka menemukan bug dan membantu memperbaikinya. Tidak ada yang melihat lebih jauh masalah keamanan WordPress selain Patchstack Alliance, yang terbuka untuk siapa saja yang bekerja di keamanan open source.

Pada tahun 2022, Patchstack membayar hadiah $16.050 kepada peretas etis di jaringan mereka. Para peneliti ini menemukan dan memverifikasi 748 bug keamanan unik di ekosistem WordPress. Itu hanya $21,46 untuk mengatasi bug sejak awal! Ini jauh, jauh lebih murah daripada biaya untuk menangani bug yang sama dengan eksploitasi zero-day.

Dari 748 laporan bug yang divalidasi, Patchstack dapat melihat 661 hingga tambalan dengan bekerja sama dengan orang yang bertanggung jawab atas kode yang rentan. Hanya 147 atau 20% dari kasus ini yang harus diteruskan ke tim plugin WordPress.

Patchstack bermitra dengan 17 penyedia hosting dan layanan (termasuk iThemes) untuk memperingatkan dan melindungi pelanggan mereka secara proaktif ketika mereka menggunakan perangkat lunak yang tidak aman. Beberapa, seperti One.com, telah berhasil menambal situs pelanggan mereka sendiri — praktik yang mungkin berguna untuk diadopsi oleh host lain.

Keamanan WordPress adalah Upaya Komunitas

CEO Patchstack Oliver Sild mengatakan apa yang membuat perusahaannya unik adalah fokus pada transparansi dan komunitas. “Kami berbicara tentang kerentanan sebagaimana adanya tanpa menggunakannya untuk menakut-nakuti, dan kami memastikan peneliti keamanan yang berkontribusi untuk menemukan masalah di open source akan sama berharganya dengan pengembang yang membangun proyek ini,” katanya.

Perbedaan utama lainnya dalam ruang keamanan adalah penekanan Patchstack pada kolaborasi. Oliver mengatakan mereka akan bekerja dengan siapa saja yang dapat membantu memberikan dampak positif, termasuk orang lain di bidang keamanan. Persaingan dapat hidup berdampingan dengan kerja sama, dan ketika menyangkut kerentanan dalam open source, sangat penting untuk bersatu demi kepentingan bersama seperti keamanan. Kerja sama ini memberikan ketenangan pikiran bagi pengguna iThemes Security and Security Pro kami. Pelanggan kami dapat yakin bahwa mereka mendapatkan peringatan yang jelas, dapat ditindaklanjuti, dan tepat waktu tentang kerentanan baru 48 jam sebelum dipublikasikan secara terbuka. Dan itu berkat mitra kami di Patchstack, bersama dengan semua orang yang mendukung inisiatif mereka dan bekerja sama untuk mengamankan ekosistem WordPress.

Dan Knauss

Dan Knauss adalah Generalis Konten Teknis StellarWP. Dia adalah seorang penulis, guru, dan pekerja lepas yang bekerja di sumber terbuka sejak akhir 1990-an dan dengan WordPress sejak 2004.