Patchstack “State of WordPress Security 2024”

Wstęp

Witamy ponownie w naszej dorocznej analizie stanu bezpieczeństwa WordPress. Minął kolejny rok i z przyjemnością dzielimy się spostrzeżeniami dotyczącymi najważniejszych statystyk oraz trendów bezpieczeństwa zaobserwowanych w ekosystemie WordPress w 2023 r.

W tym roku nawiązaliśmy współpracę z firmą Sucuri. Dzięki połączeniu naszych zbiorów danych możemy pokryć cały cykl incydentu bezpieczeństwa – od momentu wykrycia podatności aż po wykrycie infekcji malware na podatnej witrynie.

Rok 2023 przyniósł kolejny rekord pod względem liczby nowo odkrytych i naprawionych podatności w ekosystemie WordPress. Do bazy Patchstack dodaliśmy 5 948 nowych luk, czyli o 24 % więcej niż w 2022 r.

W 2023 r. nasz zespół zgłosił też do zespołu WordPress 827 wtyczek i motywów jako porzucone (dla porównania w 2022 r. było to 147). 58,16 % z nich zostało trwale usuniętych z repozytorium, co pokazuje rosnącą skalę porzucania projektów i wynikające z tego ryzyko. Jednocześnie wiedza społeczności na temat bezpieczeństwa stale rośnie, czemu sprzyjają nadchodzące regulacje – m.in. nowe standardy PCI DSS 4.0, europejski Cyber Resilience Act czy amerykańska ustawa Securing Open-Source Software Act.

Kluczowym hasłem bezpieczeństwa WordPress w 2023 r. stało się proaktywne, warstwowe zabezpieczanie.

Zapraszamy do lektury naszego rocznego raportu, w którym znajdziesz szczegółowe wnioski dla twórców wtyczek, developerów WordPress oraz specjalistów ds. bezpieczeństwa.

O Patchstack

Jako światowy numer 1 wśród podmiotów przetwarzających podatności (CNA) w 2023 r., Patchstack zapewnia platformę do zarządzania podatnościami oraz ich automatycznej blokady dla deweloperów i agencji WordPress. Użytkownicy otrzymują 48-godzinne wczesne ostrzeżenie o nowych lukach oraz wirtualne łatki w czasie rzeczywistym, które chronią aplikacje do momentu wydania oficjalnych poprawek.

Patchstack jest zaufanym partnerem wielu czołowych firm hostingowych WordPress, takich jak GoDaddy, Hostinger, Cloudways i wielu innych. Dostarczamy im system powiadamiania o podatnościach i ich natychmiastowej blokady. Jeśli prowadzisz firmę hostingową, możesz zamówić bezpłatny raport bezpieczeństwa.

Ponadto Patchstack oferuje darmowy program zarządzanego ujawniania podatności (mVDP) dla twórców wtyczek i motywów, pomagając społeczności open source usprawnić zgłaszanie oraz publikację poprawek.

Ostatecznym celem Patchstack jest objęcie całego cyklu życia bezpieczeństwa open source. Firma korzysta ze wsparcia European Innovation Council, jest członkiem Open Source Security Foundation, a w 2024 r. została wybrana do programu Google for Startups Growth Academy: AI for Cybersecurity.

2023 – początek zmiany paradygmatu

Rok 2023 można uznać za moment przełomowy w bezpieczeństwie open source. Coraz więcej rządów i organizacji branżowych uznaje, że ochrona łańcucha dostaw oprogramowania wymaga proaktywnego podejścia, a nie wyłącznie reakcji na incydenty.

Nadchodzące regulacje, które wpłyną na ekosystem WordPress

1. PCI DSS 4.0 – nowa wersja standardu bezpieczeństwa danych branży kart płatniczych. Nakłada na sprzedawców online obowiązek regularnych skanów podatności i weryfikacji integralności plików.
2. EU Cyber Resilience Act – europejskie rozporządzenie (w toku prac legislacyjnych) zobowiązujące producentów oprogramowania do tworzenia i utrzymywania bezpiecznego kodu przez cały cykl życia produktu.
3. Securing Open-Source Software Act (USA) – projekt ustawy wymagający od agencji federalnych oceny i ograniczania ryzyka wynikającego z komponentów open source.

Co to oznacza dla twórców wtyczek i motywów?

• Większą odpowiedzialność – autorzy będą musieli dokumentować procesy bezpieczeństwa, reagować na zgłoszenia i utrzymywać aktywne projekty.
• Ścisłą współpracę z platformami CNA (takimi jak Patchstack) w celu szybkiego publikowania poprawek i informacji o lukach.
• Konieczność automatycznych testów bezpieczeństwa (CI/CD) oraz procedur audytu kodu przed wypuszczeniem nowych wersji.

Jak powinni przygotować się właściciele stron WordPress?

• Wybierać rozszerzenia z aktywnym wsparciem i udokumentowanym procesem zarządzania podatnościami.
• Stosować warstwową ochronę (aktualizacje, silne uwierzytelnienie, firewall, skanowanie podatności, kopie zapasowe).
• Monitorować komunikaty dostawców hostingu oraz organizacji bezpieczeństwa w sprawie nowych wymogów.

Źródła danych o podatnościach WordPress

Zanim zagłębimy się w konkretne liczby, warto wyjaśnić, skąd pochodzą nasze dane. Patchstack jest autoryzowanym przez MITRE CVE Numbering Authority (CNA), co oznacza, że możemy samodzielnie nadawać numeracje CVE i publikować zweryfikowane luki bezpieczeństwa dotyczące komponentów WordPress.

W 2023 r. — liczbowo — Patchstack był największym pojedynczym źródłem informacji o podatnościach WordPress. Odpowiedzialni byliśmy nie tylko za najwięcej zgłoszeń CVE w całym ekosystemie, ale też za największą liczbę zweryfikowanych „vulnerability entries” (wpisów podatności) w bazach bezpieczeństwa.

• 73 % wszystkich nowych wpisów podatności WordPress w 2023 r. trafiło do rejestrów dzięki Patchstack.
• W ujęciu CVE, 54,08 % nowych identyfikatorów CVE wydano za naszym pośrednictwem — więcej niż wszystkie pozostałe źródła razem wzięte.
• Średnia ważność zgłaszanych przez nas luk (CVSS) była wyższa niż w przypadku innych CNA, co oznacza, że ekosystemowi dostarczamy dane o najbardziej istotnych zagrożeniach.

„CVE ID”, „vulnerability” czy „vulnerability entry” — czym to się różni?

• CVE ID odnosi się do pojedynczej podatności, ale jedna luka może dotyczyć wielu komponentów.
• Vulnerability entry to wpis opisujący podatność w konkretnym pakiecie lub wersji. Ta sama luka występująca w darmowej i płatnej odmianie wtyczki będzie w Patchstack oznaczona dwoma wpisami.
• Podobnie z lukami w frameworkach: jeśli błąd leży w samym frameworku, a ten jest używany w dziesiątkach wtyczek, każda z tych wtyczek otrzyma osobny wpis.

Cały niniejszy raport bazuje na danych z bazy Patchstack, naszym programie bug-bounty oraz publicznych źródłach bezpieczeństwa.

2023 – statystyki podatności WordPress

W 2023 r. Patchstack dodał do swojej bazy 5 948 nowych podatności, co oznacza wzrost o 24 % względem 2022 r.

Skąd ten wzrost?

Nie jest to pogorszenie bezpieczeństwa WordPressa, lecz dowód, że badacze i twórcy wtyczek poświęcają bezpieczeństwu coraz więcej uwagi.

Co było podatne?

• Wtyczki odpowiadały za 97 % wszystkich nowych luk.
• Motywy za 3 %.
• W samym core WordPress znaleziono zaledwie 0,2 % luk – i były to głównie błędy o niskiej ważności.

W praktyce potwierdza to, że rdzeń WordPress pozostaje stosunkowo bezpieczny, a najsłabszym ogniwem wciąż są rozszerzenia.

Dlaczego XSS jest wiodącym typem podatności w 2023 r.?

W 2022 r. wysoka liczba luk CSRF wiązała się z jedną podatnością w frameworku Freemius. Popularność tego frameworka sprawiła, że podatne były setki wtyczek. W 2023 r. badacze Patchstack odkryli kolejną lukę w Freemiusie – tym razem XSS. Aż ponad 1 200 nowych luk XSS można bezpośrednio przypisać do tej wady frameworka.

Drugi powód jest bardziej subtelny. Patchstack zarządza programem bug-bounty i zachęca badaczy do zgłaszania luk XSS, ponieważ niosą one większe ryzyko dla społeczności niż wiele innych typów podatności. Stąd ich wysoka reprezentacja w statystykach.

Ważność podatności w 2023 r.

Ocena ważności (severity) określa, jak poważne ryzyko niesie dana luka. Oficjalnie reprezentuje ją CVSS – skala od niskiej do krytycznej ważności.

• 42,9 % wszystkich nowych luk WordPress w 2023 r. miało wysoką lub krytyczną ocenę CVSS.
• Dla porównania w 2022 r. aż 84 % luk oceniono tylko jako średnie; w 2023 r. odsetek ten spadł do 56,6 %.

Podział ważności według Patchstack Priority Score

CVSS jest metodą ogólną; nie zawsze odzwierciedla realne ryzyko na stronach WordPress. Dlatego Patchstack wprowadził Patchstack Priority – wskaźnik prawdopodobieństwa, że luka zostanie wykorzystana w praktyce.

• 48,64 % nowych luk otrzymało wysoki lub średni priorytet (i tym samym wirtualną łatkę Patchstack).
• 13,6 % wymagało natychmiastowej reakcji (priorytet „High”).
• 34,7 % zakwalifikowano jako „Medium” – mogą zostać wykorzystane w atakach ukierunkowanych.
• Połowę nowych luk oznaczono jako „Low”, ale każda podatność powinna być załatana, bo zagrożenia są dynamiczne.

Podział ważności według wymagań roli użytkownika

Przy ocenie ryzyka CNA uwzględniają wymagany poziom konta:

• 58,9 % nowych luk nie wymagało żadnego uwierzytelnienia – najbardziej niebezpieczne, bo dają się zautomatyzować i masowo wykorzystywać.
• 13,4 % wymagało uprawnień administratora (jeśli atakujący ma dostęp admina, sama luka zwykle staje się drugorzędnym problemem).

Porzucone wtyczki nadal stanowią poważne ryzyko

Zawsze staramy się skontaktować z autorami, aby jak najszybciej załatać luki w ich oprogramowaniu. Gdy deweloper nie reaguje, eskalujemy sprawę do zespołu wtyczek WordPress. W 2022 r. zgłosiliśmy łącznie 147 takich wtyczek i motywów; 87 usunięto z repozytorium z powodu porzucenia, pozostałe załatano.

W 2023 r. skala problemu dramatycznie wzrosła: zgłosiliśmy 827 porzuconych komponentów, z czego 481 zostało ostatecznie usuniętych. Co więcej, 404 z tych wtyczek zgłosiliśmy jednego dnia, aby zwrócić uwagę na „pandemię wtyczek-zombie” w ekosystemie WordPress. Takie „zombie” sprawiają wrażenie aktualnych i bezpiecznych, lecz kryją niezałatane luki, a po usunięciu z repozytorium nadal działają na stronach użytkowników.

Łącznie 15,7 % wszystkich podatnych wtyczek wykrytych przez Patchstack w 2023 r. zostało ostatecznie wycofanych z oficjalnego repozytorium.

Bezpieczeństwo łańcucha dostaw nadal problemem

W 2023 r. po raz kolejny przekonaliśmy się, jak jedna luka XSS w frameworku Freemius może skutkować lawinowym efektem: 1 248 wtyczek odziedziczyło tę podatność, narażając swoich użytkowników na ryzyko. Aż 21 % wszystkich nowych luk odkrytych w 2023 r. można prześledzić właśnie do tego jednego błędu.

Po stronie pozytywów Freemius zareagował szybko i opublikował poprawkę, udostępniając ją wszystkim twórcom korzystającym z ich kodu natychmiast po otrzymaniu zgłoszenia. Przypadek ten pokazuje jednak, że nawet najlepsi deweloperzy mogą nieumyślnie wprowadzić lukę, która rozprzestrzeni się kaskadowo po całym ekosystemie.

Należy pamiętać, że dobrze zdefiniowane procesy zarządzania podatnościami wkrótce staną się wymogiem, a nie opcją. Standard PCI DSS 4.0 już teraz nakazuje posiadanie programu zarządzania lukami, a zarówno UE, jak i USA pracują nad przepisami (Cyber Resilience Act, Securing Open-Source Software Act) dotyczącymi bezpieczeństwa open source.

Jak przygotować się na przyszłość?

mVDP (Zarządzany Program Zgłaszania Podatności)

Rozumiemy, że przyjmowanie i obsługa zgłoszeń luk mogą stanowić dla deweloperów dodatkowe obciążenie. Dlatego w ubiegłym roku uruchomiliśmy bezpłatny program mVDP (Managed Vulnerability Disclosure Program) dla twórców wtyczek i motywów WordPress.

• Zarejestruj punkt kontaktowy ds. bezpieczeństwa w Patchstack, abyśmy w przypadku otrzymania raportu o podatności wiedzieli dokładnie, z kim się skontaktować.
• Patchstack weryfikuje każde zgłoszenie dotyczące Twojego projektu i odrzuca raporty nieprawidłowe lub nieistotne.
• W ramach mVDP otrzymasz szablon polityki ujawniania podatności oraz konfigurację programu zgodną z Twoimi preferencjami (np. terminy publikacji, wysokość nagród).

Rozpocznij bezpłatnie – dołącz do programu, aby uporządkować proces przyjmowania i publikacji poprawek.

Popularne wtyczki z ujawnionymi lukami bezpieczeństwa

Poniżej znajduje się lista najpopularniejszych komponentów, w których w 2023 r. odkryto poważne luki (CVSS ≥ 8,0) — każdy z nich ma co najmniej 100 000 instalacji. W większości przypadków podatności nie wymagały żadnego uwierzytelnienia, co znacząco zwiększało ryzyko. (Jedyny wyjątek to WPvivid Backup & Migration, gdzie do eskalacji uprawnień potrzebna była rola subskrybenta). Na szczęście wszyscy vendorzy zareagowali szybko, publikując stosowne poprawki.

Średnio 42 % witryn WordPress ma zainstalowany co najmniej jeden podatny komponent.

Jeśli chcesz sprawdzić, czy Twoja strona używa któregokolwiek z tych (lub innych) podatnych rozszerzeń, Patchstack oferuje darmowy skaner, który poinformuje Cię o zagrożeniach i pomoże je szybko wyeliminować.

Najczęściej wykorzystywane luki WordPress w 2023 r.

Patchstack utrzymuje ponad 6 000 reguł ochrony (virtual patches), które blokują konkretne luki bez modyfikacji kodu rozszerzenia. Analiza logów tych reguł pozwoliła wskazać podatności najczęściej atakowane w 2023 r.

Top 5 nowych luk z największą liczbą prób wykorzystania

Co stało się z zaatakowanymi witrynami?

Współpraca Patchstack × Sucuri

Patchstack przekazał firmie Sucuri (specjalizującej się w czyszczeniu malware) szczegółowe dane: adresy IP, ładunki ataków i znaczniki czasu fal exploitów zablokowanych przez nasze reguły. Sucuri przeanalizowało logi skanera SiteCheck i dane z oczyszczeń malware, aby zidentyfikować realne infekcje związane z tymi lukami.

Kampanie wykorzystujące lukę XSS w tagDiv Composer

Od września 2023 r. zaobserwowano trzy duże kampanie infekcji ponad 26 000 stron: Balada Injector, Mal Metrica i Turkish XSS.

• Balada Injector – obfuskowane skrypty znaleziono w opcji td_live_css_local_storage oraz plikach motywu; zewnętrzne odwołania do startperfectsolutions[.]com wykryto na 2 479 stronach.
• Mal Metrica – podszywa się pod CDN/analytics; przykładowe domeny fast.quickcontentnetwork[.]com (2 884 stron) czy static.rapidglobalorbit[.]com. Kod przekierowuje użytkowników na fałszywe strony i ładuje skrypty Yandex Metrica.
• Turkish XSS – wstrzykiwanie spamu i dodawanie kont admina (wpapixx, instagramhileci@gmail.com); wykryto na 1 257 stronach. Domeny używane w kampanii: wpemojii[.]com, vvordpress[.]org.

WooCommerce Payments – skutki eskalacji uprawnień

Eksploatacja luki w WooCommerce Payments (≤ 5.6.1) umożliwiała wgrywanie backdoorów (np. pliki 5069291a69e3.php) i tworzenie kont admina w formacie xtw*****@outlook.com. Sucuri usunęło ten konkretny backdoor z 848 stron.

Essential Addons for Elementor – masowe infekcje Balada

Ta luka w EA for Elementor doprowadziła do instalacji złośliwej wtyczki posts-layout oraz skryptów scriptsplatform[.]com na 20 932 stronach; często dodawano konto wp-demouser-44 i modyfikowano pliki header.php / footer.php.

Program Bug Bounty Patchstack

Patchstack prowadzi otwarty program bug-bounty zachęcający niezależnych badaczy do poszukiwania i zgłaszania luk w ekosystemie WordPress.

• 3 178 nowych raportów przyjęto w 2023 r.
• 2 765 z nich zostało zweryfikowanych jako prawdziwe i zakwalifikowanych do programu nagród.
• Łączna kwota wypłaconych bounty przekroczyła 128 000 USD, a najwyższa pojedyncza nagroda wyniosła 5 000 USD (za lukę RCE w popularnej wtyczce e-commerce).

Program stale rośnie: liczba aktywnych łowców wzrosła z 752 w 2022 r. do 1 146 w 2023 r. Przeciętny czas od zgłoszenia do publikacji poprawki skrócił się z 34 do 27 dni dzięki lepszej automatyzacji i komunikacji z vendorami.

Jak dołączyć?

1. Zarejestruj konto badacza na platformie Patchstack Alliance.
2. Wybierz projekt (wtyczkę, motyw) z listy kwalifikujących się komponentów.
3. Prześlij dowód konceptu w bezpiecznym formularzu.
4. Czekaj na weryfikację i — jeśli luka się potwierdzi — na przyznanie bounty.

Badacze otrzymują również punkty reputacji widoczne publicznie, co pomaga w budowaniu kariery w branży bezpieczeństwa.

Prognozy i rekomendacje na 2024 r.

1. Zacieśnienie regulacji: wejście w życie PCI DSS 4.0 oraz postępy nad Cyber Resilience Act wymuszą formalne procesy zarządzania podatnościami na autorach wtyczek i na dostawcach hostingu.
2. Większe znaczenie SBOM-ów: listy komponentów oprogramowania (Software Bill of Materials) staną się standardowym elementem dokumentacji komercyjnych wtyczek i motywów.
3. Automatyczne testy bezpieczeństwa w CI/CD: frameworki do statycznej analizy kodu i skanowania zależności będą integrowane bezpośrednio z GitHub Actions, GitLab CI oraz Bitbucket Pipelines.
4. Wzrost ataków na łańcuch dostaw: napastnicy chętniej będą infekować repozytoria lub aktualizacje rozszerzeń, licząc na kaskadowe rozprzestrzenianie się złośliwego kodu.
5. Obowiązkowe MFA dla paneli administracyjnych: coraz więcej hosterów będzie wymagało dwu- lub wieloskładnikowego logowania do WordPress-a i paneli klienta.

Zalecenia dla właścicieli stron

• Korzystaj wyłącznie z rozszerzeń aktywnie utrzymywanych i objętych programem mVDP.
• Włącz wtyczkę ochronną (Patchstack lub równoważną) z wirtualnymi łatkami.
• Egzekwuj silne hasła + MFA oraz regularnie przeglądaj listę użytkowników.
• Utrzymuj automatyczne kopie zapasowe i testuj procedurę przywracania.
• Monitoruj komunikaty Patchstack / WPScan, aby szybko reagować na krytyczne luki.

Zalecenia dla deweloperów wtyczek

• Dodaj plik SECURITY.md z polityką zgłoszeń podatności.
• Skonfiguruj automatyczne skany SAST/DAST przed każdym wydaniem.
• Utrzymuj changelog z wyszczególnionymi poprawkami bezpieczeństwa.
• Przyjmij zasadę „release early, patch faster” — szybkie łatki minimalizują ryzyko masowej eksploatacji.

Podsumowanie

Rok 2023 potwierdził, że społeczność WordPress coraz lepiej radzi sobie z wykrywaniem i łataniem luk, jednak rosnący wolumen rozszerzeń oraz zbliżające się regulacje sprawiają, że proaktywne, warstwowe zabezpieczenia nie są już opcją — stają się koniecznością. Patchstack, wspierany przez Sucuri i innych partnerów, będzie nadal rozwijał narzędzia i programy, które pomogą całemu ekosystemowi WordPress sprostać tym wyzwaniom w 2024 r. i kolejnych latach.