Co tam, panie,
w bezpieczeństwie (2023)

Krzysiek Dróżdż
krzysiek@wpmagus.pl
WPmagus.pl

Kim jestem?

Krzysiek Dróżdż

Czy WordPress jest niebezpieczny?

Liczba podatności w WordPress wg lat

źródło: cvedetails.com (20.10.2023)

… a w rozbiciu na ważność (CVSS)…

źródło: cvedetails.com (20.10.2023)

Liczba podatności wg ważności (CVSS)

źródło: cvedetails.com (20.10.2023)

Liczba podatności w popularnych CMS wg lat

źródło: cvedetails.com (20.10.2023)

Użycie CMS wśród miliona najpopularniejszych stron

, WordPress, Joomla, Drupal, Inne , 30.42, 1.41, 3.04, 65.13
źródło: trends.builtwith.com (20.10.2023)

Rozkład używanych wersji WP

, 6.3, 6.2, 6.1, 6.0, 5.9, 5.8, 5.7, 5.6, 5.5, 5.4, 5.3, 5.2, 5.1, 5.0, 4.9, 4.8, 4.7, 4.6, 4.5, 4.4, 4.3, 4.2, 4.1, 4.0, 3.9, 3.8, 3.7, 3.6, 3.5, 3.4, 3.3, 3.2, 3.1, 3.0 , 59.58, 8.11, 5.76, 3.62, 2.36, 2.78, 1.95, 1.32, 1.84, 1.94, 1.49, 1.43, 0.85, 0.54, 2.61, 0.68, 0.83, 0.33, 0.33, 0.36, 0.20, 0.20, 0.18, 0.12, 0.12, 0.07, 0.02, 0.07, 0.10, 0.06, 0.05, 0.03, 0.03, 0.07
źródło: wordpress.org/about/stats/ (20.10.2023)

A co z wtyczkami i motywami...?

, WordPress, Wtyczki, Motywy , 3, 93, 4
źródło: wpscan.com (20.10.2023)

Podatności wtyczek w 2022 wg typu

, XSS, CSRF, SQL Injection, Bypasses, RCE Vulnerabilities, PHP Vulnerabilities, Var Disclosures, Sensitive Information Disclosure, SSRF, REST API, Inne , 890, 261, 142, 28, 23, 31, 26, 16, 13, 5, 344
źródło: wpscan.com

Sprawdzaj, monitoruj, nie ufaj

Elementor i jego marketingowe changelogi

Zgodnie z changelogiem

A w kodzie

I w bazie podatności

O tym informowały nawet niektóre hostingi

źródło: mail wysłany do klientów pewnego hostingu 24 maja 2023

Co ciekawe…

Inne (nie?)warte wspomnienia

Jakie z tego lekcje?

Błędy i podatności w kodzie są i będą

Przed większością ataków da się uchronić

W otwarty kod trzeba (umieć) zaglądać

Nie wystarczy sprawdzać changelogi czy liczyć na autorów

Nie wystarczy aktualizować raz na jakiś czas

Dzięki za uwagę!

Krzysiek Dróżdż
krzysiek@wpmagus.pl
WPmagus.pl