Patchstack (voorheen WebARX) heeft vorige week haar WordPress Security 2020 whitepaper gepubliceerd. Daarin staat dat in 2020 een totaal van 582 WordPress kwetsbaarheden werden geïdentificeerd. Echter waren slechts 22 van de veiligheidsproblemen afkomstig van WordPress zelf. De overige 560 problemen werden veroorzaakt door plugins en thema’s van derden.
WordPress kwetsbaarheden in 2020
Van alle WordPress kwetsbaarheden die in 2020 werden ontdekt, waren er 478 afkomstig van plugins.
“De kwetsbaarheden die in plugins en thema’s worden aangetroffen, zijn doorgaans ernstiger dan die in de WordPress core,” schreef Patchstack oprichter Oliver Sild in de whitepaper. “Wat de situatie verslechterd is het feit dat veel populaire plugins miljoenen actieve installaties hebben, en de cijfers zien er niet best uit als we kijken naar hoeveel websites getroffen worden door de kwetsbare plugins.”
Patchstack onderzocht 50.000 WordPress websites en ontdekte dat deze gemiddeld 23 actieve plugins tegelijk hebben. Op elke website bevonden zich ongeveer 4 verouderde plugins waarvoor een update beschikbaar was – iets dat het risico op veiligheidsproblemen vergroot.
Minder kwetsbaarheden in thema’s
Er werden slechts 82 unieke problemen in thema’s aangetroffen. Het relatief lage aantal problemen in thema’s zal waarschijnlijk te maken hebben met de uitgebreide controles waar de thema’s op WordPress.org aan onderworpen worden; het WordPress Theme Team doet haar best om eventuele problemen te identificeren nog voordat de thema’s in de handen van gebruikers terechtkomen. Bij plugins is dat een stuk lastiger, omdat er zo ontzettend veel van zijn.
Conclusie
“Kwetsbaarheden in code van derden blijven een van de grootste risico’s voor websites die gebouwd zijn met WordPress,” zo concludeert het Patchstack rapport over WordPress kwetsbaarheden in 2020. Des te meer reden om in 2021 kritisch te blijven op de plugins en thema’s die je installeert. Lees ook: Is die WordPress plugin veilig? 15 redenen om een plugin toch maar niet te downloaden
