O estado da segurança do WordPress: comunidade e colaboração nos ajudam a vencer

A Patchstack, uma empresa líder em pesquisa de segurança de código aberto e CVE Numbering Authority (CNA), lançou seu relatório anual sobre o estado da segurança do WordPress em 2022 . Este relatório inclui, mas vai muito além da análise usual das tendências de segurança. Isso mostra o impacto que o Patchstack está tendo com seu programa exclusivo de recompensas por bugs, o Patchstack Alliance. Essa rede cooperativa, voluntária e aberta está ajudando os desenvolvedores do WordPress a descobrir e corrigir bugs de segurança todos os dias. Esses patches se transformam em alertas de segurança e atualizações nas quais a comunidade WordPress confia. Nossos usuários do iThemes Security e Security Pro recebem uma notificação com 48 horas de antecedência quando uma nova vulnerabilidade afeta seu site, graças ao Patchstack. Muitas das atualizações de segurança que aplicamos rotineiramente em nossos sites WordPress serão, pelo menos em parte, resultado do trabalho pioneiro do Patchstack.

A divulgação de vulnerabilidades torna o espaço do WordPress mais seguro

O banco de dados do Patchstack mostrou um aumento de 328% nas vulnerabilidades relatadas em 2022. Eles explicam esse aumento como resultado de pesquisadores de segurança “olhar cada vez mais fundo” para o código em todo o ecossistema WordPress. Detectar mais vulnerabilidades indica que o WordPress está ficando mais seguro, acredita Patchstack. Outras descobertas em seu State of WordPress Security in 2022 apóiam essa conclusão. Por exemplo, as vulnerabilidades descobertas (e rapidamente corrigidas) em alguns dos plugins WordPress mais usados ​​(por exemplo, Elementor, Yoast, All-in-One SEO, MonsterInsights, Wordfence) não foram o alvo das explorações mais ativas.

Os desafios de vulnerabilidades não corrigidas e cadeias de suprimentos quebradas

Pela análise do Patchstack, os maiores alvos para explorações ativas no ecossistema WordPress são plug-ins com vulnerabilidades conhecidas que não são corrigidas, às vezes por anos. Em uma verificação pontual de todos os sites monitorados pela rede do Patchstack, uma média de 42% estava executando um componente inseguro conhecido. Os plug-ins não corrigidos representam 26% dos bugs de segurança mais críticos relatados em 2022 - um número que todos gostaríamos de ver diminuindo. A Patchstack Alliance trabalha para atingir esse objetivo com os desenvolvedores para ajudar a corrigir vulnerabilidades recém-descobertas, mas isso não é possível com software abandonado.

Uma das tendências mais importantes observadas no relatório anual do Patchstack vincula um aumento nas vulnerabilidades do CSRF à sua propagação em muitos sites por meio de uma única dependência. Embora as vulnerabilidades de Cross-Site Scripting (XSS) permaneçam comuns, os bugs de Cross-site Request Forgery (CSRF) tiveram uma tendência maior em 2022. Patchstack relata que isso se deveu em parte a bugs CSRF que surgiram nas estruturas YITH e Freemius, ressaltando a importância de manter cadeias de abastecimento com todos os usuários a jusante de uma base de código comum.

Em 2023, conforme seguimos os dados do Patchstack em nossos relatórios semanais de vulnerabilidade no iThemes, vemos três vezes mais vulnerabilidades XSS em comparação com os relatórios CSRF. Isso é um bom sinal de que 2022 foi um caso atípico. Como observamos em nosso próprio relatório de segurança de 2022, também é uma boa notícia que a maioria das vulnerabilidades no ano passado estava nas categorias de risco baixo a médio por sua gravidade. Os dados do Patchstack mostram que essas vulnerabilidades menos graves representaram 87% do total em 2022.

Os usuários finais merecem dados de vulnerabilidade acessíveis e acionáveis

As classificações de gravidade são uma coisa, mas entender se e como uma vulnerabilidade afeta seu site é outra história. Muitos CNAs e seus bancos de dados de vulnerabilidade são altamente técnicos na forma como documentam cada vulnerabilidade. Os usuários do WordPress precisam saber, em termos que possam entender facilmente, o quão expostos podem estar quando surgem vulnerabilidades. O banco de dados de vulnerabilidades do Patchstack visa fornecer essas informações a qualquer proprietário de site para que ele possa entender as ameaças e tomar as medidas apropriadas. E essas informações alimentam nosso produto iThemes Security.

Aqui está uma descrição típica da vulnerabilidade Patchstack para CVE-2023-0968 (MITRE) no banco de dados Patchstack:

Marco Wotschka descobriu e relatou esta vulnerabilidade Cross-Site Scripting (XSS) no WordPress Watu Quiz Plugin. Isso pode permitir que um ator mal-intencionado injete scripts maliciosos, como redirecionamentos, anúncios e outras cargas HTML em seu site, que serão executados quando os visitantes visitarem seu site.

Os usuários do WordPress e iThemes Security ou Security Pro com uma versão insegura deste plug-in instalada em seu site receberão um alerta. Eles também têm a opção de ler mais sobre os riscos potenciais que a vulnerabilidade pode representar para eles. Significativamente, o Patchstack classificou o CVE-2023-0968 como uma vulnerabilidade de alta gravidade em contraste com outros CNAs. Outros não observaram que os invasores podem explorar essa vulnerabilidade sem uma conta de usuário ou privilégios no site de destino – um detalhe crucial.

CNAs podem diferir significativamente em como avaliam e descrevem ameaças

Como você pode ver no exemplo acima, Patchstack dá crédito aos pesquisadores de segurança que são a chave para encontrar e corrigir vulnerabilidades antes que elas possam ser exploradas. Eles merecem isso! O usuário final ou proprietário do site que recebe esses alertas também merece clareza sobre os riscos que enfrenta. O resumo do Patchstack deixa claro onde está a ameaça. Clicar nos detalhes técnicos em seu banco de dados confirma que essa vulnerabilidade pode ser explorada sem fazer login no site. Essa é a clareza na comunicação e a experiência positiva do usuário que você pode esperar se for um usuário do iThemes Security ou Security Pro.

Devin Walker, gerente geral da StellarWP, disse que está orgulhoso de fazer parte da rede da Patchstack desde que fez parceria com eles no início deste ano e adotou seu banco de dados de vulnerabilidades para usuários do iThemes Security. Em sua opinião, “o abrangente relatório de segurança da Patchstack destaca seu compromisso em identificar e abordar ativamente as vulnerabilidades de segurança no ecossistema WordPress. Ao serem transparentes sobre seu trabalho, eles estão estabelecendo o padrão de como a segurança deve ser abordada no setor.”

Eliminando erros pela raiz — O estilo WordPress

Patchstack não apenas relata bugs que outros trazem à tona - eles encontram bugs e ajudam a corrigi-los. Ninguém está olhando mais profundamente para os problemas de segurança do WordPress do que a Patchstack Alliance, que está aberta a qualquer pessoa que trabalhe com segurança de código aberto.

Em 2022, Patchstack pagou $ 16.050 em recompensas a hackers éticos em sua rede. Esses pesquisadores descobriram e verificaram 748 bugs de segurança exclusivos no ecossistema WordPress. Isso é apenas $ 21,46 para cortar um bug pela raiz! É muito, muito menos do que custaria lidar com o mesmo bug como uma exploração de dia zero.

Dos 748 relatórios de erros validados, o Patchstack conseguiu ver 661 até os patches trabalhando com as pessoas responsáveis ​​pelo código vulnerável. Apenas 147 ou 20% desses casos tiveram que ser escalados para a equipe de plugins do WordPress.

A Patchstack tem parceria com 17 provedores de hospedagem e serviços (incluindo iThemes) para alertar e proteger proativamente seus clientes quando estiverem usando software inseguro. Alguns, como a One.com, corrigiram com sucesso os sites de seus próprios clientes — uma prática que pode ser útil para outros hosts adotarem.

A segurança do WordPress é um esforço da comunidade

O CEO da Patchstack, Oliver Sild, diz que o que torna sua empresa única é o foco na transparência e na comunidade. “Falamos sobre as vulnerabilidades como elas são, sem usá-las para espalhar o medo, e garantimos que os pesquisadores de segurança que contribuem para encontrar problemas no código aberto sejam tão valorizados quanto os desenvolvedores que constroem esses projetos”, disse ele.

Outra diferença importante no espaço de segurança é a ênfase do Patchstack na colaboração. Oliver diz que eles trabalharão com qualquer pessoa que possa ajudar a causar um impacto positivo, incluindo outras pessoas na área de segurança. A competição pode coexistir com a cooperação e, quando se trata de vulnerabilidades em código aberto, é fundamental unir interesses comuns como segurança. Essa cooperação oferece tranquilidade aos usuários do iThemes Security e Security Pro. Nossos clientes podem ter certeza de que estão recebendo alertas claros, acionáveis ​​e oportunos sobre novas vulnerabilidades 48 horas antes de serem divulgadas abertamente. E isso graças aos nossos parceiros da Patchstack, juntamente com todos os outros apoiando suas iniciativas e trabalhando juntos para proteger o ecossistema WordPress.

Dan Knauss

Dan Knauss é generalista de conteúdo técnico da StellarWP. Ele é escritor, professor e freelancer trabalhando com código aberto desde o final dos anos 1990 e com WordPress desde 2004.