2022 WordPress Güvenlik Açığı Yıllık Raporu
Yayınlanan: 2023-02-01WordPress çekirdeği sağlamdır - içine yüklediğiniz şey sağlam olmayabilir.
WordPress ne kadar güvenli? Kuzey Amerika'daki tüm küçük ve orta ölçekli işletmelerin (KOBİ'ler) yarısından fazlasını hedefleyen, giderek artan küresel siber saldırılar ve karmaşık siber suçların olduğu bir ortamda, WordPress'in baskın küresel CMS pazar payı (%60+) bilgisayar korsanları ve siber suçlular için geniş bir saldırı yüzeyi sunuyor. araçları artık yapay zeka ve makine öğrenimini içeriyor. Her yıl WordPress ekosistemindeki yeni güvenlik açıklarının sayısı artıyor ve 2022 de bir istisna değildi. Bu kez verilerden ne öğrendik?
Güvenlik açığı olarak ne sayılır?
Her şeyden önce, yazılım güvenlik açıklarının nasıl değerlendirildiğini anlamak önemlidir.
Güvenlik açıkları istismar değildir. Teorik olarak suistimal edilebilir saldırı yüzeyleridir, ancak aktif bir istismar veya çalışan kavram kanıtı olmadan, önemli bir risk oluşturup oluşturmadıkları genellikle net değildir. Güvenlik analistleri, güvenlik açıklarını ciddiyetlerini gösteren 0-10 ölçeğinde derecelendirmek için genellikle Ortak Güvenlik Açığı Puanlama Sistemini (CVSS) kullanır. Belirli bir güvenlik açığının potansiyel etkisi genelleştirilemediğinden, bu puanlar teknoloji endüstrisinde değişiklik gösterir. Bir güvenlik açığı, belirli sistemler, hizmetler veya ürünler üzerindeki potansiyel etkisi açısından az çok ciddidir. WPScan'ın WordPress platformu ve ekosistemiyle uyumlu puanlamasını takip ediyoruz.
Haftalık güvenlik açığı raporumuzu oluşturmak için WPScan'in güvenlik açığı izleme ve risk değerlendirmesini de kullanıyoruz. 2022 için WPScan veritabanı, WordPress çekirdeği için 23 güvenlik açığı kaydetti. Diğer güvenlik analistleri, neyin güvenlik açığı sayıldığı konusunda daha geniş veya daha dar bir görüşe sahip olabilir.
Örneğin, Patchstack'in WordPress güvenlik açığı veritabanı, 2022 için 27 temel güvenlik açığı içerir ve bunlar 15 tanesinin kötüye kullanılabilir olduğunu doğrulamıştır. Buna karşılık, yalnızca 9 temel güvenlik açığı MITRE'ye rapor edildi ve Ulusal Güvenlik Açığı Veritabanına Ortak Güvenlik Açığı ve Etkilenme (CVE) tanımlayıcısı ile kaydedildi. Önem derecesi gibi bir CVE'nin ayrıntıları zaman içinde revize edilebilir. Bir CVE bile iptal edilebilir. Alışılmadık bir şekilde, ek bir temel WordPress CVE, 2022'de yanlış pozitif olarak reddedildi.
2022 WordPress Güvenlik Açığı Trendleri
Tüm eklentilerin %2'si güvenlik açıklarının %99'una sahipti.
Her hafta 20-50 eklenti ve temada güvenlik açıkları ortaya çıktı.
Her ay, ortalama 121 eklenti ve temanın bir güvenlik açığı yayınlandı.
Güvenlik açıklarının ciddiyeti, 2021'e kıyasla önemli ölçüde azaldı.
Eklenti ve tema güvenlik açıklarının %26'sı, ifşa edildikleri sırada yamalanmamıştı.
XSS güvenlik açıkları en yaygın olanıydı, ardından CSFR ve SQLi geldi.
XSS, CSFR ve SQLi güvenlik açıkları, tüm güvenlik açıklarının %73'ünü oluşturuyordu.
WordPress çekirdek güvenliği sağlamdır.
Neyse ki, 2022'de WordPress çekirdeğinde ortaya çıkan güvenlik açıkları, WordPress güvenlik ekibinin üyeleri ve proaktif olarak onları arayan diğer araştırmacılar tarafından keşfedildi ve hızla düzeltildi. Özenli çabaları, nasıl sınıflandırıldıklarına bağlı olarak 20-30 potansiyel güvenlik açığını yamalayan 2022'de dört WordPress güvenlik sürümünün yayınlanmasına yol açtı. WordPress 6.0.3 güvenlik sürümü, bunların 16'sını tek seferde yamaladı.
Eklentileri ve temaları dikkatlice seçin ve güncel tutun!
Bu potansiyel güvenlik açıklarından hiçbiri WordPress kullanıcıları için acil bir risk oluşturmadı. Bu aynı zamanda, güvenlik araştırmacılarının WordPress'in pingback özelliğiyle ilgili bilinen bir sorunu duyurduğu Aralık ayı ortasında ortaya çıkan çekirdekte kalan yamalanmamış güvenlik açığı için de geçerlidir. Gelecekteki bir güvenlik veya bakım sürümü için bir yama üzerinde çalışılıyor olabilir, ancak acil bir endişe nedeni yoktur. İstismar edilebilmesi için ikinci bir güvenlik açığından da faydalanılması ve hedeflenen sitenin DNS hizmetinin (genellikle bir ana bilgisayar veya etki alanı kayıt şirketi) de tehlikeye atılması gerekir. Bu nadir ve aşırı durum kendi başına çok zararlı olacaktır.
Şimdi XML-RPC'yi kapatarak bu güvenlik açığını ortadan kaldırma hakkında daha fazla ayrıntı ve rehberlik sağladık. Kullanmıyorsanız bu her zaman iyi bir fikirdir.
Güvenlik açıklarının %99'undan WordPress eklentilerinin yüzde ikisi sorumludur.
Burada sunduğumuz 2022 güvenlik açığı verilerinde, 23 temel güvenlik açığı, 2022'de izlediğimiz toplam güvenlik açığı sayısının (1.779) %1'ini temsil ediyor. Bu, tüm güvenlik açıklarının %99'undan (1.756) eklentilerin ve temaların sorumlu olduğu anlamına geliyor. Bu, %98'i eklentilerle bağlantılı olan 1.628 güvenlik açığını takip ettiğimiz geçen yılla tutarlı.
Tipik bir haftada, 30-40 ayrı eklenti ve tema en az bir güvenlik açığı yüzeyi gördü.
Ancak bu tamamen kötü bir şey değil. Aslında, çekirdek veya temalarda önemli ölçüde daha fazla güvenlik açığı görmek istemeyiz. Eklentiler, WordPress ekosistemindeki en büyük ve en çekici saldırı yüzeyidir, ancak bunların büyük çoğunluğu herhangi bir yılda kamuya açıklanan bir güvenlik açığı ile ilişkili değildir.
Bağlam açısından, 2022'de her hafta bir güvenlik açığı yaşayan eklenti ve temaların sayısı (1.425), wordpress.org'da bulunan 70.000'den fazla toplam havuzun yaklaşık %2'sini temsil ediyor. Tabii ki, tüm WordPress eklentileri ve temaları burada barındırılmıyor, ancak büyük çoğunluğu barındırılıyor. Toplam WordPress eklentileri evreninde, bunların %2'sinden daha azının 2022'de izlenen güvenlik açıklarının %99'unu oluşturduğunu söyleyebiliriz.
İleriye baktığımızda, bu, WordPress Güvenlik, Performans ve Çekirdek ekiplerinin çalışmaları sayesinde düşüşte görmeyi umabileceğimiz bir istatistik. Eklenti geliştiricilerin ve eklenti inceleme ekibinin standartları yükseltmesine ve bir eklenti denetleyicisi ile eklentileri değerlendirmesine yardımcı olacak bir teklif özellikle umut vericidir.
Kaynağa Göre Tüm Güvenlik Açıkları
| Güvenlik Açığı Kaynağı | Sayı Bildirildi | Toplam Yüzdesi (1.779) |
|---|---|---|
| WordPress Çekirdeği | 23 | %1,29 |
| Tema | 97 | %5,45 |
| Eklentiler | 1.659 | %93,25 |
Herhangi bir haftada, 20 ila 50 ayrı eklenti ve tema, 2022'de en az bir güvenlik açığı yaşadı. En az bir güvenlik açığı olan aylık ortalama 121 ayrı eklenti ve temanın ortaya çıktığını gördük.
Eğilimleri görmeyi kolaylaştırmak için Mart 2022'nin ilk haftasında tablo ve grafiklerimizden bir aykırı olayı kaldırdık: Freemius SDK çerçevesi güvenlik açığı. Bu, bir eklenti bağımlılığında tek bir güvenlik açığı olarak veya tamamı savunmasız Freemius kodunu içeren 400'den fazla eklenti ve 25 tema olarak sayılabilir.
Aydan Aya Bir veya Daha Fazla Güvenlik Açığı Olan Eklentiler ve Temalar
| Ay | Eklentiler | Temalar | Toplam |
|---|---|---|---|
| Ocak | 116 | 0 | 116 |
| Şubat | 109 | 41 | 150 |
| Mart | 114 | 0 | 114 |
| Nisan | 101 | 1 | 102 |
| Mayıs | 129 | 3 | 132 |
| Haziran | 125 | 0 | 125 |
| Temmuz | 82 | 3 | 85 |
| Ağustos | 122 | 2 | 124 |
| Eylül | 88 | 1 | 89 |
| Ekim | 65 | 2 | 67 |
| Kasım | 161 | 6 | 167 |
| Aralık | 149 | 5 | 154 |
| Toplam | 1.361 | 64 | 1.425 |
| Ortalama | 113 | 5 | 121 |
2022, izlediğimiz tüm güvenlik açıklarının %70'i için orta ila düşük risk dereceleri gördü. Sadece %4'ü kritik olarak derecelendirildi. Diğer yönden de bakabilirsiniz: Tüm güvenlik açıklarının %75'i orta ila yüksek önem derecesine sahipti - bu önemli. Bununla birlikte, 2021'e kıyasla tehdit seviyelerinde de önemli bir düşüş var. 2022'de kritik ve yüksekten orta ve düşüğe yüzde 18'lik bir düşüş görüyoruz. Kritik güvenlik açıkları 2021'de %8'den %4'e düşerken düşük tehdit güvenlik açıkları 2021'de %11'den %21'e yükseldi.
Tehdit Düzeyine Göre Tüm Güvenlik Açıkları, Yıldan Yıla (2021-2022)
| Yıl | kritik | Yüksek | Orta | Düşük |
|---|---|---|---|---|
| 2022 | 74 (%4) | 446 (%25) | 894 (%50) | 365 (%21) |
| 2021 | 137 (%8) | 630 (%39) | 678 (%42) | 183 (%11) |
Tehdit Düzeyine Göre Tüm Güvenlik Açıkları, Aydan Aya (2022)
| Ay | kritik | Yüksek | Orta | Düşük | Toplam |
|---|---|---|---|---|---|
| Ocak | 10 | 50 | 73 | 14 | 147 |
| Şubat | 14 | 33 | 108 | 14 | 169 |
| Mart | 5 | 111 | 27 | 16 | 159 |
| Nisan | 6 | 51 | 40 | 23 | 120 |
| Mayıs | 4 | 22 | 87 | 42 | 155 |
| Haziran | 5 | 12 | 107 | 27 | 182 |
| Temmuz | 2 | 14 | 55 | 36 | 107 |
| Ağustos | 4 | 28 | 96 | 30 | 158 |
| Eylül | 8 | 7 | 72 | 24 | 111 |
| Ekim | 3 | 13 | 44 | 18 | 90 |
| Kasım | 7 | 26 | 107 | 59 | 199 |
| Aralık | 6 | 78 | 49 | 49 | 182 |
| Toplam | 74 (%4) | 446 (%25) | 894 (%50) | 365 (%21) | |
| Ortalama | 6 | 37 | 75 | 30 |
Geçen yıl 337'den (%23) 2022'de 456 (%26) güvenlik açığı görüldü ve bunlar kamuya duyurulduğu sırada yama yapılmadı. Tabii ki, görmek istediğimiz bu değil.
Açıklama Sırasındaki Eklenti Güvenlik Açığı Durumu (2022)
| Durum | Sayı Bildirildi | Toplam Yüzdesi (1.779) |
|---|---|---|
| Yamalı | 1.231 | %69 |
| Bilinen Düzeltme Yok | 456 | %26 |
| Eklenti Kapalı | 92 | %5 |
WordPress çekirdeği sağlam. Onu güvenlik tehditlerine karşı savunmasız hale getirebilecek olan, ona ne eklediğiniz ve tüm sistemi nasıl koruduğunuzdur. Ancak zamanında güncellemeler yaparsanız, kullanıcı erişimini uygun şekilde sınırlandırırsanız, çok faktörlü kimlik doğrulama eklerseniz ve eklentilerinizi akıllıca seçerseniz, WordPress siteniz baştan ayağa sağlam olacaktır.
Yama uygulanmamış savunmasız eklentiler, basit bir güncelleme ile uygulanmamış bir yama içeren eklentiler kadar kötüdür. Bunlar en savunmasız hedeflerdir. 2022'nin trendleri devam ederse, mevcut trendler devam ederse büyük olasılıkla XSS ve CSRF saldırılarının kurbanı olacaklar. Bu saldırı yöntemleri birlikte, 2022'de ortaya çıkan tüm WordPress güvenlik açıklarının %65'inden fazlasını oluşturuyor.
CSFR saldırıları, WordPress ekosistemindeki ve dışındaki diğer kaynaklardan gelen raporlarla tutarlı olarak %5 arttı. Kaba kuvvet oturum açma saldırılarının bir alt kümesi olarak, bilgisayar korsanları çalınan oturum açma kimlik bilgilerini test ettikçe, kimlik bilgileri doldurma da giderek yaygınlaşmaktadır. Bu durumda, çok faktörlü kimlik doğrulamanın kullanılamaması veya daha da iyisi parolasız oturum açılması dışında herhangi bir güvenlik açığı yoktur.
| tehdit vektörü | 2021 | 2022 |
|---|---|---|
| Siteler Arası Komut Dosyası Çalıştırma (XSS) | 885 (%54,4) | 890 (%50) |
| Siteler Arası Sahtecilik Talebi (CSFR) | 167 (%10,2) | 261 (%14,7) |
| SQL Enjeksiyonları | 152 (%9,3) | 142 (%8) |
| Baypaslar | 68 (%4,2) | 28 (%1,6) |
| RCE Güvenlik Açıkları | 20 (%1,2) | 23 (%1,3) |
| PHP Güvenlik Açıkları | 19 (%1,2) | 31 (%1,7) |
| Var Açıklamaları | 19 (%1,2) | 26 (%1,5) |
| Hassas Bilgilerin Açıklanması | 6 (%0,4) | 16 (%0,9) |
| Sunucu Tarafı İstek Sahtekarlığı (SSRF) | 0 (%0) | 13 (%0,7) |
| DİNLENME API'SI | 11 (%0,7) | 5 (%0,3) |
| Tüm Diğerleri | 281 (%17,3) | 344 (%19,3) |
| Toplam | 1.628 | 1.779 |
Sorumlu açıklama, acıtsa bile yapılacak doğru şeydir.
2022'de haftalık güvenlik raporlarımız, güvenlik açıklarının çok sayıda web sitesini potansiyel olarak etkileyebildiği bizimki de dahil olmak üzere birkaç popüler eklentiye dikkat çekti.
- Yukarıda belirtildiği gibi, Freemius çerçevesini kullanan 400'den fazla eklenti ve tema tek bir güvenlik açığından etkilendi, ancak çoğu yamalandı veya wordpress.org depolarından kaldırıldı.
- 5 milyondan fazla Elementor kullanıcısı, hızla yamalanan kritik bir güvenlik açığı yaşadı.
- Bir milyon Ninja Forms kullanıcısı daha WordPress.org'dan zorunlu bir güncelleme aldı; bu, güvenlik ekibinin güvenlik açığının kritik yapısı nedeniyle attığı alışılmadık bir adımdı.
- Son olarak, BackupBuddy yüksek öneme sahip bir güvenlik açığını yamaladı ve lisansları sona ermiş olsa bile tüm kullanıcıların kullanımına açtı ve güncellenmiş sürüm otomatik olarak Sync kullanıcılarımıza iletildi.
Eklenti ve tema geliştiricileri güvenlik açıklarını düzelttikten ve bir güvenlik güncellemesi yayınlamaya hazır olduktan sonra bu bilgilerin dışarı çıkması önemlidir. Bunların hepsinin olabildiğince çabuk olması gerekiyor ve genellikle oluyor - güvenlik gibi ortak çıkarlar etrafında pek çok işbirliği ve ortaklığın olduğu profesyonel WordPress pazarında. Bir son kullanıcı olarak rolünüz, güncellemeleri uygulamak, etkilenebilecek tüm müşterilerinizi veya müşterilerinizi desteklemek ve özellikle kritik güvenlik güncellemelerine sahip olanlar olmak üzere tüm yeni sürümler hakkında bilgi vermektir.
Koşun - yavaş yürümeyin - güncellemelerinizi yapın!
Bu rapordaki tüm bulgularımız önceki yılların trendlerini tekrarlıyor ve WordPress sitenizi güncel tutmanın önemini vurguluyor. Birçok güvenlik açığından yararlanılabilmesi için, bir saldırganın yükseltilmiş ayrıcalıklara sahip bir WordPress kullanıcı hesabına erişmesi gerekir, ancak bu, kullanıcı kimlik doğrulama güvenliğinizi güçlendirmeniz ve kullanıcılarınızı periyodik olarak gözden geçirmeniz gerektiğine işaret eder. Her zaman en az ayrıcalık ilkesini uygulayın — kimsenin gerekenden daha yüksek izin düzeylerine sahip olmasına gerek yoktur.
WordPress çekirdeği sağlam. Onu güvenlik tehditlerine karşı savunmasız hale getirebilecek olan, ona ne eklediğiniz ve tüm sistemi nasıl koruduğunuzdur. Ancak zamanında güncellemeler yaparsanız, kullanıcı erişimini uygun şekilde sınırlandırırsanız, çok faktörlü kimlik doğrulama eklerseniz ve eklentilerinizi akıllıca seçerseniz, WordPress siteniz baştan ayağa sağlam olacaktır.
WordPress'i Korumak ve Korumak için En İyi WordPress Güvenlik Eklentisi
WordPress şu anda tüm web sitelerinin %40'ından fazlasını destekliyor, bu nedenle kötü niyetli bilgisayar korsanları için kolay bir hedef haline geldi. iThemes Security Pro eklentisi, WordPress web sitenizi güvenli hale getirmeyi ve korumayı kolaylaştırmak için WordPress güvenliğinin varsayımlarını ortadan kaldırır. Bu, WordPress sitenizi sizin için sürekli izleyen ve koruyan tam zamanlı bir güvenlik uzmanına sahip olmak gibidir.
Dan Knauss, StellarWP'nin Teknik İçerik Genel Sorumlusudur. 1990'ların sonlarından beri açık kaynakta ve 2004'ten beri WordPress ile çalışan bir yazar, öğretmen ve serbest çalışan.