2 min Security

Aantal kwetsbaarheden in WordPress-plugins verdubbeld

Aantal kwetsbaarheden in WordPress-plugins verdubbeld

Het aantal kwetsbaarheden in plugins en thema’s voor WordPress is het afgelopen jaar flink toegenomen. Er is bijna een verdubbeling ten opzichte van 2022.

Dat constateert onderzoek van WordFence. In totaal werden er in het afgelopen jaar 4.833 kwetsbaarheden geconstateerd voor het hele WordPress-ecosysteem. Deze kwetsbaarheden troffen maar liefst 3.996 unieke WordPress plugins en -thema’s, maar ook WordPress core-onderdelen.

Een door WordFence gegenereerd staafdiagram dat het aantal kwetsbaarheden per categorie illustreert.

De meest aangetroffen kwetsbaarheden betroffen Cross-Site Scripting (XSS) met in totaal 1.963 aangetroffen kwetsbaarheden. Cross-Site Request Forgery komt met 1.098 gevallen op de tweede plaats. Deze categorie noteerde in 2023 bijna een verdriedubbeling ten opzichte van 2022.

Op de derde plaats komen Missing Authorization and Authorization bypass-kwetsbaarheden met 885 gevallen. Ook deze aanvallen zijn verdriedubbeld ten opzichte van een jaar eerder. Op nummer vier en vijf komen respectievelijk SQL-injectie met 279 gevallen en information disclosure met 98 gevallen.

Een WordFence-staafdiagram dat het aantal kwetsbaarheden in WordPress weergeeft.

Positieve ontwikkelingen

Gelukkig zijn er ook positieve zaken te melden. WordFence geeft aan dat, hoewel het aantal kwetsbaarheden voor WordPress hoog ligt, niet alle gevallen grote gevolgen hebben. Volgens het onderzoek is WordPress ook niet langer de zwakste link in de webhostingketen. Veel tools van hackers richten zich inmiddels op andere onderdelen van deze keten, zoals cPanel en andere webhostbeheersystemen.

Verder is wat betreft malware-besmettingen het aantal besmettingen van WordPress-omgevingen in 2023 gelijk gebleven aan dat van een jaar eerder.

Bugbounty-programma voor meer kwaliteit

In hun rapport gaan de onderzoekers van WordFence ook in op de kwaliteit van de meldingen over kwetsbaarheden. Zij constateren dat de laatste tijd security-onderzoekers, vaak uit zelfpromotie, de meest kleine en weinig impact hebbende kwetsbaarheden als kritieke issues presenteren.

De securityspecialist wil daarom meer het kaf van het koren scheiden en introduceert hiervoor een bugbounty-programma. Dit programma geeft beloningen voor het vinden en melden van kwetsbaarheden in WordPress plugins en -thema’s.

Op deze manier hoopt WordFence dat onderzoekers meer tijd gaan steken in het opsporen van kwetsbaarheden voor het CMS-platform die wel een grote impact kunnen hebben.

Lees ook: Kwetsbaarheid in populaire WordPress-plugin treft miljoen websites