Het komt geregeld voor dat er kritieke kwetsbaarheden in WordPress plugins worden geconstateerd. In de meeste gevallen doen plugin ontwikkelaars hun best om zo snel mogelijk een update met patch uit te rollen. Maar dat gebeurt niet altijd. Bijna 30 procent van de kwetsbaarheden in plugins blijft ongepatcht. Dat blijkt uit een onderzoek van WordPress security specialist Patchstack over het jaar 2021.
Aanzienlijk meer kwetsbaarheden in plugins
Kun je teveel WordPress plugins hebben? Waar we in 2020 nog gemiddeld zo’n 23 componenten (plugins en thema’s) op een enkele WordPress website geïnstalleerd hadden, waren dat er vorig jaar slechts 18. Dat leek in de eerste instantie positief, tot de onderzoekers zagen dat maar liefst 6 van die 18 plugins verouderd bleek te zijn. En verouderde plugins brengen nu eenmaal meer risico’s met zich mee. Dit wordt gereflecteerd in het aantal kwetsbaarheden dat werd aangetroffen. In 2020 werden er nog net geen 600 nieuwe kwetsbaarheden in WordPress plugins, WordPress thema’s en de WordPress core aan de Patchstack database toegevoegd. In 2021 waren dat er bijna 1.500, wat neerkomt op een stijging van 150 procent. In 92,81 procent van de gevallen ging het om kwetsbaarheden in plugins. Maar liefst 91,38 procent daarvan betroffen gratis plugins.
Bijna 30 procent blijft ongepatcht
Het onderzoek van Patchstack wees uit dat het in meer dan de helft van de gevallen (52,51 procent) ging om zogeheten cross-site scripting (XSS) kwetsbaarheden. Ten tijde van de publicatie van het onderzoek (4 maart) was 29 procent van alle in 2021 aangetroffen kwetsbaarheden in plugins nog steeds niet gepatcht. 3,4 procent van die kwetsbaarheden werd als kritiek beschouwd.
Tot slot
Het onderzoek van Patchstack benadrukt wederom hoe belangrijk het is om al je plugins regelmatig te updaten naar de meest recente versie, en kritisch te zijn bij het installeren van nieuwe plugins.