WordPress är världens mest använda och populära system för att skapa webbsajter. Det är också avancerat med tusentals teman och tillägg som utökar funktionaliteten med hjälp av tredjepartsutvecklare.
Och all funktionalitet har visat sig ytterst problematisk för sajtägarna. Enligt en ny säkerhetsrapport har antalet sårbarheter i WordPress ökat med extrema 150 procent bara under 2021.
Läs mer: Två allvarliga sårbarheter i WordPress Download Manager
29% av sårbarheterna WordPress-tillägg fixas inte
Problemen slutar inte där. Av alla kritiska sårbarheter som rapporterats i WordPress-tillägg så tätas inte 29 procent av dem. Alltså en hel tredjedel vilket är oförsvarligt många. Varje hål ökar risken för sajtägaren att få sin sajt komprometterad.
Risken är minst sagt överhängande. WordPress används på 43 procent av världens alla webbsajter (!).
Tacksamt nog har de officiella utvecklarna av WordPress gjort ett riktigt bra jobb med kärnan i systemet. Endast 0,58 procent av de rapporterade buggarna fanns där. Det betyder att om du inte använder tredjepartstillägg så är din sajt betydligt säkrare.
Om du faktiskt vill använda tillägg så ska du helst välja premium-alternativen. Anledningen? 91 procent av alla sårbarheter hittades nämligen i gratistillägg.
Läs mer: WordPress-tillägget File Manager har allvarlig sårbarhet – uppdatera snarast
OptinMonster och PublishPress mest attackerade
Tillägg som OptinMonster och PublishPress Capabilities var de mest attackerade under 2021. Även Booster for WooCommerce och Image Hover Effects Ultimate hade sårbarheter som var hårt utnyttjade.
Andra populära tillägg som utsattes för attacker under 2021 är Kiwi Social Plugin, Pinterest Automatic och WordPress Automatic.
Även tillägg har attackerats på bred skala. Under förra året var minst 55 teman sårbara för hackerattacker eftersom de använde version av Epsilon-ramverket som hade säkerhetshål.
Nämnvärda populära teman som påverkades var NewsMag, Newspaper X, Shapely och Activello.
Läs mer: Optimera och snabba upp WordPress – 20 bästa tipsen för din sajt
50% av attackern är Cross-Site Scripting (XSS)
Den absolut mest använda metoden för att attackera webbsajter med WordPress är så kallad Cross-Site Scripting, eller bara kort XSS.
Andra attackmetoder är SQL-injektioner (SQLi), Remote Code Execution (RCE), skadliga filuppladdningar och mer.
Webbsajten Patchstack har en lång och genomgående artikel om sårbarheterna som används här. Där lyfter de även fram vikten av att ha en säkerhetsbudget för att lösa sårbarheter och att lyfta riskerna med tydlig information.