Исследование: Более 8 800 плагинов для WordPress имеют уязвимости

Олег Иванов 16 Декабря 2016 - 09:14

...

Исследование: Более 8 800 плагинов для WordPress имеют уязвимости

Исследователи из RIPS Technologies, специализирующиеся на безопасности веб-приложений, проанализировали 44 705 из приблизительно 48 000 плагинов в официальном каталоге WordPress. Оказалось, что более чем 8 800 из них затрагивает, по крайней мере, одна уязвимость.

Компания загрузила все плагины и использовала свой статический анализатор кода, чтобы проверить те, у которых есть, по крайней мере, один PHP-файл. Анализ размера этих модулей показал, что примерно 14 000 из них имеют только 2-5 файлов и только в 10 500 из них есть более 500 строк кода.

Проанализировав плагины с более чем 500 строками кода (были классифицированы как «большие плагины»), эксперты пришил к выводу, что 4 559 или 43% из них имеют, по крайней мере, одну брешь средней степени опасности, например, межсайтовый скриптинг.

Также анализ RIPS показал, что в почти 36 тысячах плагинов нет каких-либо уязвимостей, а 1426 имеют бреши только низкого уровня опасности. Дыры средней степени были найдены в более чем 4 600 плагинах, высокой в 2 799, а критические в 41 плагине.

В общей сложности в плагинах было обнаружено 67 486 уязвимостей. Эксперты отметили, что большинство модулей не затрагивают уязвимости из-за их небольшого размера (меньше строк кода).

Что касается типов уязвимостей, то тут процентное соотношение распределилось следующим образом: более 68% XSS-брешей, чуть более 20% SQL-инъекции. XSS-уязвимости могут представлять серьезную опасность в случае с WordPress, но их эксплуатация требует взаимодействия с администратором. SQL-инъекции, с другой стороны, могут быть использованы без взаимодействия с пользователем и атаки могут быть автоматизированы.

В период с января по декабрь 2016 года, приманка компании RIPS обнаружила более 200 атак на плагины WordPress. 69 атаки были нацелены на Revolution Slider, 46 на Beauty & Clean Theme, 41 на MiwoFTP и 33 на Simple Backup. Эти атаки экслуатировали давно известные и хорошо задокументированные уязвимости.

Следующая главная новость »

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!

Екатерина Быстрова 04 Июня 2026 - 18:05

Корпорации Государство Security Vision

Татарстан и Security Vision займутся кибербезопасностью в регионе

Правительство Татарстана и компания Security Vision подписали стратегическое соглашение о сотрудничестве в сфере кибербезопасности. Документ заключили на Петербургском международном экономическом форуме 2026 года. Стороны планируют вместе работать над защитой значимых предприятий региона, развивать подходы к информационной безопасности и повышать цифровую грамотность жителей.

Это соглашение стало продолжением уже действующего сотрудничества. Ранее Security Vision вместе с Центром информационных технологий Республики Татарстан участвовала в создании системы автоматизации процессов кибербезопасности для регионального правительства.

Сейчас платформа Security Vision установлена в правительственном центре обработки данных Татарстана. С её помощью выстроены процессы информационной безопасности более чем для 20 министерств и ведомств. По сути, речь идёт о единой системе, которая помогает координировать защиту цифровой инфраструктуры республиканских органов власти.

В рамках нового соглашения стороны будут обмениваться опытом, совместно прорабатывать подходы к защите информации и реагированию на киберугрозы. Отдельный акцент сделают на устойчивости значимых предприятий региона, для которых сбои и инциденты в цифровой среде могут быть особенно чувствительными.

Ещё одно направление — образование. В планах есть повышение квалификации специалистов по информационной безопасности, развитие инициатив по киберграмотности и популяризация профессии защитника информации. Часть проектов могут реализовать на базе Университета Иннополис.

Также Татарстан и Security Vision намерены совместно проводить лекции, семинары и другие просветительские мероприятия для жителей региона. Кроме того, стороны продолжат участвовать в отраслевых событиях, включая Kazan Digital Week.

Министр цифрового развития Татарстана Илья Начвин отметил, что республика уже выстроила единую защищённую экосистему на базе Центра информационных технологий. По его словам, новое соглашение должно помочь развивать эту инфраструктуру дальше.

Гендиректор Security Vision Руслан Рахметов подчеркнул, что совместные инициативы будут касаться как повышения киберграмотности, так и защиты значимых предприятий региона.

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!