Co tam, panie,
w bezpieczeństwie
(2023)
Krzysiek Dróżdż
krzysiek@wpmagus.pl
WPmagus.pl
Kim
jestem?
Krzysiek Dróżdż
Czy WordPress jest
niebezpieczny?
Liczba podatności w WordPress wg lat
źródło: cvedetails.com (20.10.2023)
… a w rozbiciu na ważność (CVSS)…
źródło: cvedetails.com (20.10.2023)
Liczba podatności wg ważności (CVSS)
źródło: cvedetails.com (20.10.2023)
Liczba podatności w popularnych CMS wg lat
źródło: cvedetails.com (20.10.2023)
Użycie CMS wśród miliona najpopularniejszych stron
, WordPress, Joomla, Drupal, Inne , 30.42, 1.41, 3.04, 65.13
źródło: trends.builtwith.com (20.10.2023)
Rozkład używanych wersji WP
, 6.3, 6.2, 6.1, 6.0, 5.9, 5.8, 5.7, 5.6, 5.5, 5.4, 5.3, 5.2, 5.1, 5.0, 4.9, 4.8, 4.7, 4.6, 4.5, 4.4, 4.3, 4.2, 4.1, 4.0, 3.9, 3.8, 3.7, 3.6, 3.5, 3.4, 3.3, 3.2, 3.1, 3.0 , 59.58, 8.11, 5.76, 3.62, 2.36, 2.78, 1.95, 1.32, 1.84, 1.94, 1.49, 1.43, 0.85, 0.54, 2.61, 0.68, 0.83, 0.33, 0.33, 0.36, 0.20, 0.20, 0.18, 0.12, 0.12, 0.07, 0.02, 0.07, 0.10, 0.06, 0.05, 0.03, 0.03, 0.07
źródło: wordpress.org/about/stats/ (20.10.2023)
A co z wtyczkami i motywami...?
, WordPress, Wtyczki, Motywy , 3, 93, 4
źródło: wpscan.com (20.10.2023)
Podatności wtyczek w 2022 wg typu
, XSS, CSRF, SQL Injection, Bypasses, RCE Vulnerabilities, PHP Vulnerabilities, Var Disclosures, Sensitive Information Disclosure, SSRF, REST API, Inne , 890, 261, 142, 28, 23, 31, 26, 16, 13, 5, 344
źródło: wpscan.com
Sprawdzaj, monitoruj, nie ufaj
Elementor
i jego marketingowe changelogi
Zgodnie z changelogiem
A w kodzie
I w bazie podatności
O tym informowały nawet niektóre hostingi
źródło: mail wysłany do klientów pewnego hostingu 24 maja 2023
Co ciekawe…
Inne (nie?)warte wspomnienia
GiveWP
TagDiv
Jakie z tego
lekcje?
Błędy i podatności w kodzie są i będą
Przed większością ataków da się uchronić
W otwarty kod trzeba (umieć) zaglądać
Nie wystarczy sprawdzać changelogi czy liczyć na autorów
Nie wystarczy aktualizować raz na jakiś czas
Dzięki
za uwagę!
Krzysiek Dróżdż
krzysiek@wpmagus.pl
WPmagus.pl
Spodobało się? Powiedz innym