Wordfence en WPScan hebben gezamenlijk een tussentijds WordPress Security Rapport gepubliceerd, dat inzicht biedt in de plugin kwetsbaarheden en aanvallen waar WordPress websites in de eerste helft van 2021 mee geconfronteerd zijn. Hieronder lichten we de belangrijkste bevindingen uit het rapport toe.
Plugin kwetsbaarheden
Het totale aantal van 514 plugin kwetsbaarheden dat over heel 2020 werd vastgelegd, werd in de eerste helft van dit jaar al overtroffen: er zijn nu maar liefst 602 nieuwe plugin kwetsbaarheden geconstateerd. In meer dan de helft van de gevallen (52%) ging het om Cross-Site Scripting (XSS) kwetsbaarheden. In de overige gevallen ging het om Cross-Site Request Forgery (CSRF) kwetsbaarheden (16%), SQL Injecties (13%), toegangscontrole-problemen (12%) en problemen met het uploaden van bestanden (7%).
“WordPress niet onveiliger, maar veiliger”
Zowel Wordfence als WPScan benadrukken dat het toegenomen aantal kwetsbaarheden dit jaar een indicatie is van de groei van het WordPress ecosysteem. Het is niet zo dat plugins steeds onveiliger worden; er zijn simpelweg meer mensen die zich bezighouden met het ontdekken en rapporteren van plugin kwetsbaarheden. “We zien niet heel veel nieuwe kwetsbaarheden in plugins en thema’s, maar juist veel oudere kwetsbaarheden in oude plugins en thema’s die gerapporteerd/verholpen worden, die gewoon nog niet eerder geïdentificeerd waren,” stelt Wordfence Threat Analyst Chloe Chamberland. Volgens haar worden er nu meer kwetsbaarheden gedetecteerd, simpelweg “als gevolg van de toegenomen activiteit van onderzoekers, wat op zijn beurt weer een positieve impact heeft op de veiligheid van het WordPress ecosysteem.” Gezien het feit dat er niet veel nieuwe, pas geïntroduceerde kwetsbaarheden worden ontdekt, is ze ervan overtuigd dat “het toegenomen aantal ontdekkingen niet betekent dat het ecosysteem minder veilig wordt, maar juist veiliger.”
Chamberland denkt ook dat er sprake is van een domino-effect wanneer plugin ontwikkelaars via responsible disclosure op de hoogte worden gesteld van kwetsbaarheden; op die manier leren ze van hun eigen fouten, waardoor ze in de toekomst beter beveiligde producten ontwikkelen.
Wachtwoord aanvallen
Een van de andere trends die opvallen in het rapport is het toegenomen aantal wachtwoord aanvallen. In de eerste helft van 2021 blokkeerde Wordfence meer dan 86 miljard wachtwoord aanvallen. Daarbij werden verschillende methodes gebruikt om toegang tot WordPress websites te verkrijgen. Hierbij kun je denken aan het testen van sites aan de hand van lijsten met gecompromitteerde wachtwoorden, woordenboek-aanvallen, en intensieve brute force aanvallen.
Omdat de standaard loginpagina het primaire doelwit blijkt te zijn, krijgen website-eigenaren het advies om Two-Factor Authentication (2FA) op alle accounts te gebruiken, met sterke wachtwoorden die voor elke account uniek zijn.
Lees ook: De 10 meest gemaakte wachtwoord fouten in WordPress
Meer weten over het tussentijds WordPress Security Rapport voor 2021?
Het tussentijds WordPress Security Rapport voor 2021 is beschikbaar als PDF en gratis te downloaden via de WPScan website.