WordPress Security Report 2024 (Wordfence)

Wstęp

W 2024 roku krajobraz bezpieczeństwa WordPress przeszedł istotne zmiany – pojawiły się nowe programy Bug Bounty, takie jak ten oferowany przez Wordfence, które umożliwiły wielu badaczom zarabianie w sposób zrównoważony poprzez analizę oprogramowania WordPress.

Pomimo kolejnego rekordowego roku pod względem ujawnionych luk w zabezpieczeniach w 2025 roku, rosnąca liczba niekoniecznie oznacza wzrost ryzyka dla większości właścicieli witryn. Artykuł ten szczegółowo omawia luki ujawnione w 2024 roku, pokazując, dlaczego wyższy wskaźnik ujawnień nie powinien być powodem do niepokoju w społeczności WordPressa.

Omawiamy także najnowsze zagrożenia i złośliwe oprogramowanie, bazując na danych o atakach Wordfence z 2024 roku.

Nasza misja w Wordfence

Naszą misją w Wordfence jest „obrona warstwowa” – dlatego inwestujemy więcej niż ktokolwiek inny w badania i publikację danych o bezpieczeństwie WordPress. Dzięki naszemu Programowi Bug Bounty dostarczamy społeczności WordPress darmowe coroczne raporty, wpisy blogowe, newslettery o bezpieczeństwie i bazę danych o podatnościach (Wordfence Intelligence Vulnerability Database i API).

Jeśli chcesz pozostać chroniony przed najnowszymi zagrożeniami bezpieczeństwa WordPress bez potrzeby samodzielnego śledzenia zmieniającego się krajobrazu zagrożeń, poznaj naszą czołową ofertę produktów zabezpieczających WordPressa:

• Wordfence Free
• Wordfence Premium
• Wordfence Care
• Wordfence Response
• Wordfence CLI

Produkty te tworzą warstwowy system ochrony, dający spokój ducha – obecnie chronią ponad 5 milionów stron internetowych każdego dnia.

Najważniejsze informacje z raportu bezpieczeństwa WordPress 2024

• Liczba ujawnionych luk w 2024 roku wzrosła o 68% w porównaniu z 2023.
• 81% ujawnionych luk miało ocenę „Średnią” w systemie CVSS.
• Najczęściej wymaganą formą dostępu do wykorzystania luk było konto z uprawnieniami współautora – dotyczyło to 34% wszystkich luk.
• Około 35% wszystkich luk ujawnionych w 2024 roku nadal nie zostało załatanych w 2025.
• 58% wszystkich ujawnionych luk dotyczyło oprogramowania z mniej niż 10 000 aktywnych instalacji, a 19% – oprogramowania z co najmniej 50 000 instalacjami.
• Luki typu Cross-Site Scripting (XSS) były najczęściej zgłaszanym typem w 2024 roku, przy czym 56% z nich dotyczyło poziomu współautora.
• Tylko około 5,7% luk XSS miało minimalne wymagania dotyczące uwierzytelnienia i brak konieczności interakcji użytkownika.
• 23% wszystkich luk XSS z 2024 roku to tzw. Reflected XSS.

Spadek luk typu CSRF (Cross-Site Request Forgery)

Liczba luk typu CSRF spadła w porównaniu z poprzednimi latami.

7,4% wszystkich luk ujawnionych w 2024 roku uznano za poważne zagrożenie (czyli takie, które prawdopodobnie zostaną wykorzystane i wyrządzą szkody). To wzrost o 149% względem 2023 roku. Najczęstsze w tej kategorii były:

• nieautoryzowany upload plików,
• eskalacja uprawnień.

Ocena ryzyka

Ponad 68% wszystkich ujawnionych luk uznaje się za niskiego ryzyka dla większości właścicieli stron WordPress, bazując na poziomie uwierzytelnienia lub wymaganiach dotyczących interakcji użytkownika. Luki wtyczek pozostają największym zagrożeniem – stanowiły 96% wszystkich zgłoszonych luk.

Działania Wordfence w 2024 roku

• Zablokowano i zarejestrowano ponad 54 miliardy złośliwych żądań.
• Zablokowano ponad 55 miliardów ataków na hasła.
• Najczęściej blokowane ataki to XSS (9 miliardów prób) i SQL Injection (1,1 miliarda prób).
• Najczęściej atakowaną podatnością była luka typu Privilege Escalation we wtyczce LiteSpeed Cache ≤ 6.3.0.1.

Wnioski i rekomendacje na 2025 rok

• Oczekuje się kontynuacji trendu rosnącej liczby ujawnianych luk w 2025 roku, napędzanego przez programy Bug Bounty i nowe role CNA. Mimo że liczba ta może wydawać się niepokojąca, większość luk stanowi niskie ryzyko, jeśli zastosuje się odpowiednie środki ochrony (takie jak zapory aplikacyjne – WAF, ciągłe monitorowanie i szybkie łatanie podatności).
• Programiści muszą ustanowić jasne zasady komunikacji w zakresie odpowiedzialnego ujawniania luk, ponieważ liczba zgłoszeń stale rośnie.
• Kluczowe znaczenie będzie miała warstwowa ochrona (defense in depth) dla bezpieczeństwa witryn WordPressa w 2025 roku i później.
• Przestępcy zmieniają techniki ataku na WordPress, prawdopodobnie ze względu na poprawę ogólnego bezpieczeństwa oprogramowania oraz wzrost świadomości wśród właścicieli stron.
• Edukacja i świadomość w zakresie bezpieczeństwa będą miały kluczowe znaczenie dla dalszego rozwoju i poprawy stanu bezpieczeństwa WordPressa w 2025 roku.
• Właściciele stron muszą działać proaktywnie, stosując najlepsze praktyki bezpieczeństwa i wykorzystując narzędzia takie jak:
  • Zapora aplikacyjna (WAF),
  • Skaner złośliwego oprogramowania,
  • Skaner podatności,
  • Uwierzytelnianie dwuskładnikowe (2FA) itp.
• Usuwanie nieużywanych i porzuconych wtyczek oraz motywów WordPressa może mieć krytyczne znaczenie w 2025 roku i później.

Roczny przegląd podatności – 2024

Podsumowanie ogólne: wzrost liczby zgłoszeń podatności

W 2024 roku w bazie Wordfence Intelligence Vulnerability opublikowano 8223 podatności – to wzrost o około 68% w porównaniu z 2023 rokiem.

Wzrost ten spowodowany jest m.in.:

• nadaniem niektórym firmom statusu CNA (CVE Numbering Authorities),
• uproszczeniem procedur nadawania numerów CVE,
• uruchomieniem publicznych programów Bug Bounty, jak ten od Wordfence.

Wordfence uruchomił swój Bug Bounty Program pod koniec 2023 roku i dzięki niemu:

• otrzymano ponad 5100 zgłoszeń podatności,
• opublikowano 3427 (czyli 42% wszystkich podatności WordPressa w 2024 roku),
• odrzucono około 1170 zgłoszeń jako nieprawidłowe lub zduplikowane.

Tylko do kwietnia 2025 roku opublikowano już 3275 nowych podatności, co sugeruje, że liczba za cały rok może przekroczyć 10 000.

Rozkład ocen CVSS dla podatności ujawnionych w 2024 roku

System CVSS (Common Vulnerability Scoring System) służy do określania względnej wagi danej podatności, co pozwala zespołom ds. bezpieczeństwa ustalać priorytety w procesie łatania.

W 2024 roku:

• 81% wszystkich ujawnionych luk miało ocenę „Średni” (Medium),
• Tego typu podatności mogą mieć wpływ na witrynę, ale zazwyczaj nie prowadzą do pełnego przejęcia kontroli ani wycieku wrażliwych danych,
• Najczęstsze w tej kategorii to:
  • Cross-Site Request Forgery (CSRF),
  • Reflected XSS,
  • Braki autoryzacji dla drobnych ustawień,
  • Stored XSS możliwy z poziomu współautora.

Podatności według wymagań uwierzytelnienia

Analiza wymaganego poziomu uwierzytelnienia dla wykorzystania podatności daje lepszy obraz rzeczywistego zagrożenia.

• Podatności bez uwierzytelnienia lub z niskim poziomem dostępu (np. subskrybent) są najgroźniejsze – można je łatwo zautomatyzować.
• Wysokopoziomowe konta (autor, edytor, administrator) są rzadziej dostępne publicznie, co utrudnia atakującemu dostęp.

Statystyki 2024:

• Najczęstsze podatności wymagały dostępu z poziomu współautora – 34%.
• Kolejne to podatności bez uwierzytelnienia, ale z wymogiem interakcji użytkownika – 23%.
• Trzecie miejsce – czysty brak uwierzytelnienia – 19%, głównie z powodu braku autoryzacji.

Ponad 68% ujawnionych podatności w 2024 roku wymagało wyższego poziomu dostępu lub interakcji użytkownika, co oznacza niskie ryzyko ataku masowego.

Załatane vs. niezałatane luki ujawnione w 2024 roku

• Około 35% luk ujawnionych w 2024 roku pozostało niezałatanych do 2025 roku.
• Oznacza to, że większość deweloperów reaguje odpowiedzialnie – ale ponad ⅓ jest nieosiągalna lub nieodpowiedzialna.
• Dotyczy to również zewnętrznych marketplace’ów jak Envato, nie tylko oficjalnego repozytorium WordPressa.

Dlatego kluczowe jest korzystanie z WAF i skanerów podatności (np. Wordfence), które chronią przed niezałatanymi lukami i informują o nich użytkownika.

Rozkład podatności między WordPress Core, wtyczkami i motywami

• WordPress Core pozostaje bardzo bezpieczny – tylko 5 luk dotyczyło samego rdzenia systemu.
• 96% wszystkich luk dotyczyło wtyczek.
• Pozostałe – motywy WordPressa.

Wtyczki są głównym wektorem ataków, co wymaga ostrożności przy ich wyborze i aktualizacji.

Podział podatności według liczby aktywnych instalacji

Analiza liczby aktywnych instalacji oprogramowania, w którym znaleziono podatności, daje ciekawe wnioski:

• Najwięcej luk wystąpiło w wtyczkach/motywach z 1 000–10 000 aktywnych instalacji – 21%.
• Drugie miejsce zajmuje oprogramowanie z poniżej 100 instalacji – 17%.
• Około 37% luk pochodziło z oprogramowania mającego do 1 000 aktywnych instalacji.
• Około 58% pochodziło z oprogramowania z poniżej 10 000 instalacji.

Większość luk nie dotyczy najpopularniejszych wtyczek. Bezpieczniejszym wyborem są regularnie aktualizowane rozszerzenia z dużą bazą użytkowników.

Najczęstsze typy podatności według klasyfikacji CWE (Common Weakness Enumeration)

1. Cross-Site Scripting (CWE-79) – 46% wszystkich podatności (3 795 przypadków).
2. Brak autoryzacji (CWE-862) – 13% (1 178 przypadków).
3. Cross-Site Request Forgery (CWE-352) – 11% (948 przypadków).

Zauważalny spadek w klasyfikacji dla CSRF oznacza, że badacze przenoszą uwagę na groźniejsze typy luk.

Dogłębna analiza 5 najczęstszych typów podatności w 2024 roku

1. Cross-Site Scripting (XSS)

• Najczęściej zgłaszany typ luki, spowodowany nieprawidłowym filtrowaniem danych wejściowych.
• Dzieli się na:
  • Reflected XSS – wymaga interakcji użytkownika, mniejsze zagrożenie masowe.
  • Stored XSS – większe ryzyko, skrypt wykonywany przy każdym załadowaniu strony przez ofiarę.

Statystyki:

• 23% XSS to Reflected XSS (939 przypadków),
• Tylko 161 luk XSS można było wykorzystać całkowicie bez uwierzytelnienia i bez interakcji,
• 2 849 podatności wymagały dostępu użytkownika (np. współautora),
• 594 luk wystąpiło na poziomie administratora/edytora – często zgłaszane ze względu na łatwość uzyskania CVE, ale niskie ryzyko rzeczywiste.

2. Brak autoryzacji (Missing Authorization)

• Typowa luka: brak weryfikacji, czy użytkownik ma prawo wykonać daną operację (np. przez wp_ajax).
• 91% tych luk możliwych do wykorzystania przez subskrybentów lub osoby nieautoryzowane.

CVSS:

• Większość: średnie ryzyko – modyfikacje ustawień, które nie dają pełnej kontroli,
• 13% luk oceniono jako wysokiego ryzyka – np. nieautoryzowane aktualizacje opcji, eskalacje uprawnień.

3. Cross-Site Request Forgery (CSRF)

• Luka, w której nie sprawdza się „intencji” użytkownika (np. tokenu CSRF).
• Wymaga interakcji (np. kliknięcia w link), więc ryzyko masowego ataku jest niskie.
• 93% luk CSRF miało ocenę „średnią” (np. 4.3 w CVSS).

Typowe skutki:

• Zmiana drobnych ustawień, rzadko poważne naruszenia.
• Istniało 172 przypadki CSRF prowadzących do XSS typu Stored.

4. SQL Injection (SQLi)

• Ta luka umożliwia atakującemu odczyt danych z bazy WordPressa – mogą to być m.in. hashe haseł i dane użytkowników.
• W środowisku WordPress rzadko dochodzi do tzw. zapytań złożonych (stacked queries), więc większość luk SQLi ogranicza się do wycieku danych (confidentiality impact).

Rozkład według uwierzytelnienia:

• 47% wszystkich luk SQLi można było wykorzystać bez uwierzytelnienia lub z poziomu subskrybenta.
• Pokazuje to, że badacze koncentrują się na lukach wysokiego ryzyka, a wiele z nich udaje się załatać, zanim zostaną wykorzystane.

Wordfence zablokował w 2024 roku ponad 1,1 miliarda prób ataków SQL Injection.

5. Eksponowanie informacji (Information Exposure)

• Może obejmować: ujawnianie prywatnych postów, dostęp do wrażliwych plików w niezabezpieczonych katalogach, ujawnianie pełnych ścieżek systemowych itp.

Poziomy uwierzytelnienia:

• 74% luk możliwych do wykorzystania bez uwierzytelnienia – często przez REST API lub otwarte katalogi.
• Kolejne duże źródło to dostęp z poziomu współautora – wiele podatności dotyczyło wycieków treści prywatnych postów.

Ocena CVSS:

• 94% luk miało ocenę „Średnią”, co sugeruje niskie ryzyko dla większości witryn.

Analiza luk wysokiego ryzyka (High-Threat Vulnerabilities)

Luki wysokiego ryzyka to takie, które:

• mają wysokie prawdopodobieństwo skutecznego wykorzystania,
• są proste do automatyzacji,
• mogą prowadzić do pełnego przejęcia strony.

Typowe przykłady:

• Nieautoryzowany upload pliku (Arbitrary File Upload) – wrzucenie i uruchomienie pliku .php na serwerze.
• Usunięcie plików (Arbitrary File Deletion) – np. wp-config.php, co prowadzi do resetu witryny.
• Aktualizacja opcji (Arbitrary Option Updates) – np. zmiana roli użytkownika na administratora.
• Odczyt plików (Arbitrary File Read) – dostęp do danych logowania, kluczy itp.
• Remote Code Execution
• Privilege Escalation
• Authentication Bypass

Statystyki:

• W 2024 r. ujawniono 614 luk wysokiego ryzyka (~7,5% wszystkich).
• Po odfiltrowaniu luk wymagających dostępu administratora liczba spada do 536 (~6,1%).

Większość podatności wciąż stanowi niskie ryzyko, ale obecność setek luk wysokiego zagrożenia podkreśla znaczenie ochrony typu WAF + skanery.

Najczęściej zgłaszane luki wysokiego ryzyka w 2024 roku

1. Nieautoryzowany upload pliku (Arbitrary File Upload) – 38% wszystkich luk wysokiego ryzyka:
   • Umożliwia wrzucenie np. pliku .php, który po uruchomieniu daje pełną kontrolę nad witryną.
2. Eskalacja uprawnień (Privilege Escalation) – 24%:
   • Pozwala użytkownikowi o niskim poziomie dostępu uzyskać uprawnienia administratora.
3. Obejście uwierzytelnienia (Authentication Bypass) – 10%:
   • Umożliwia logowanie się bez hasła lub jako inny użytkownik, często jako administrator.

Poziomy uwierzytelnienia wymagane do wykorzystania luk wysokiego ryzyka

• 48% podatności nie wymagało żadnego uwierzytelnienia – co czyni je wyjątkowo groźnymi.
• 26% wymagało tylko niskiego poziomu (np. konto subskrybenta).
• Luki typu CSRF zostały pominięte w tej analizie ze względu na niższe ryzyko ich wykorzystania.

Instalacje zagrożone lukami wysokiego ryzyka w 2024 roku

• 66% luk wystąpiło w oprogramowaniu z maksymalnie 10 000 instalacji.
• 25% z tych luk dotyczyło pluginów/motywów z co najwyżej 100 instalacjami.
• Tylko 12% dotyczyło oprogramowania z ponad 50 000 instalacjami.

Najpopularniejsze wtyczki są bardziej dojrzałe i szybciej łatane. Ryzyko jest większe w przypadku mniej znanych, porzuconych lub spoza oficjalnego repozytorium dodatków.

Dlatego Wordfence rozszerzyło zakres Bug Bounty – od 2024 r. każda luka wysokiego ryzyka w oprogramowaniu z co najmniej 25 instalacjami kwalifikuje się do nagrody.

Top 5 typów luk według poziomu uwierzytelnienia wymaganego do ich wykorzystania

Zbadanie najczęstszych luk na różnych poziomach uprawnień pozwala lepiej zrozumieć, gdzie witryny WordPress są najbardziej narażone i jak skutecznie zapobiegać zagrożeniom.

Najczęstsze luki nie wymagające uwierzytelnienia, ale wymagające interakcji użytkownika

Najpowszechniejsze typy luk:

• Reflected XSS
• CSRF

Stanowią one aż 98% wszystkich przypadków tego typu.

Ochrona zależy tutaj głównie od świadomości użytkownika – unikanie klikania w podejrzane linki, zamykanie sesji po pracy, aktualizacja przeglądarek.

Najczęstsze luki nie wymagające uwierzytelnienia ani interakcji

Top 5 typów luk:

1. Brak autoryzacji (Missing Authorization)
2. Eksponowanie informacji (Information Disclosure)
3. SQL Injection
4. Obejście uwierzytelnienia (Authentication Bypass)
5. Nieautoryzowany upload pliku (Arbitrary File Upload)

Obecność luk typu File Upload w tej kategorii pokazuje skuteczność programów Bug Bounty – pozwalają one szybko identyfikować i zgłaszać najgroźniejsze podatności.

Najczęstsze luki na poziomie subskrybenta/klienta

• Przeważa typ Missing Authorization – stanowi aż 73% luk.
• Wiele z nich znaleziono w wp_ajax, który daje dostęp autoryzowanym użytkownikom bez weryfikacji uprawnień.

Top 5 w tej kategorii:

• Missing Authorization
• CSRF
• XSS
• IDOR (Insecure Direct Object Reference)
• Informacje jawne

Najczęstsze luki na poziomie współautora/autora

• Dominują luki Stored XSS – aż 78% wszystkich luk w tej grupie.
• Wiele z nich znaleziono w wtyczkach Page Builder – ich edytory oferują wiele punktów wstrzykiwania kodu.

Badacze chętnie celowali w tego typu luki, bo były one łatwe do wykrycia i kwalifikowały się do nagród CVE.

Najczęstsze luki na poziomie administratora/edytora

• XSS – dominujący typ luk na tym poziomie (ok. 68%).
• Wynika to z dużej liczby niesanitowanych danych wejściowych w panelu admina.
• Popularne wśród początkujących badaczy CVE – łatwe do znalezienia, ale niskie ryzyko w praktyce.

Drugie miejsce:

• SQL Injection – ok. 12% – głównie przez niezabezpieczone ORDER BY w zapytaniach w kokpicie.

Wyróżnienia dla badaczy: Top contributorzy w programie Bug Bounty Wordfence

10 najlepszych badaczy według liczby opublikowanych luk

10 badaczy z najwyższą średnią oceną CVSS (minimum 5 luk)

10 badaczy, którzy zabezpieczyli najwięcej witryn (wg liczby instalacji)

Wordfence podkreśla ogromny wkład tych badaczy w poprawę bezpieczeństwa WordPressa na całym świecie.

Wyróżnione luki 2024 – wybrane przypadki o dużym wpływie

1. GiveWP – PHP Object Injection → Remote Code Execution
   • luka bez autoryzacji, odkryta przez villu164, dotyczyła ponad 100 000 witryn.
2. Really Simple SSL – obejście uwierzytelnienia z włączonym 2FA
   • odkryta przez Istvána Mártona, wpływała na ponad 4 000 000 witryn.
3. LiteSpeed Cache – eskalacja uprawnień
   • dotyczyła ponad 5 000 000 witryn, szybki cel dla atakujących.
4. Post Grid & Gutenberg Blocks – eskalacja uprawnień
   • odkryta przez wesley (wcraft), wpłynęła na ponad 40 000 witryn.
5. Jupiter X Core – jednoczesne wystąpienie dwóch krytycznych luk
   • Arbitrary File Upload i Authentication Bypass, wpływ na ponad 90 000 witryn.
6. Modern Events Calendar – File Upload z poziomu subskrybenta → RCE
   • odkryta przez Foxyyy, wpływała na ponad 150 000 witryn.

Raport z ataków na WordPress w 2024 roku

Złośliwe żądania i ich źródła

• Wordfence zarejestrował ponad 54 miliardy złośliwych żądań z 209 milionów unikalnych adresów IP.
  • 48 miliardów zostało zablokowanych jako próby ataków (luki, skanowanie, lista blokowanych IP),
  • Pochodziły one z ponad 142 milionów różnych adresów IP.

Ataki nasilały się w listopadzie–grudniu i spadały pod koniec roku. Zbiegło się to z większą liczbą ujawnień luk i mniejszą liczbą ataków hakerskich na hasła.

Ataki na hasła

• Wordfence zablokował ponad 55 miliardów prób ataków hakerskich na hasła (brute force, credential stuffing itp.).
• Zauważalny spadek liczby ataków w ciągu całego roku.

Hasła stają się mniej atrakcyjnym celem z powodu lepszych zabezpieczeń hostingu i wzrostu świadomości użytkowników.
Równocześnie zwiększyła się liczba prób wykorzystania podatności w oprogramowaniu.

Top 5 ogólnych typów podatności atakowanych w 2024 roku

1. Cross-Site Scripting (XSS) – 9 miliardów prób
2. SQL Injection – 1,1 miliarda prób
3. Directory Traversal – 837 milionów prób
   1. popularna technika w celu np. usunięcia pliku wp-config.php i przejęcia witryny.

Kluczowa rola zapory aplikacyjnej (WAF), jak Wordfence, w automatycznym blokowaniu takich żądań, nawet jeśli łatka nie została jeszcze opublikowana.

5 najbardziej atakowanych konkretnych podatności (wg reguł firewall Wordfence)

1. LiteSpeed Cache ≤ 6.3.0.1 – Privilege Escalation
   1. Najczęściej atakowana podatność w 2024 r., wykorzystująca techniki brute-force.
2. WP Meta SEO ≤ 4.5.12 – Unauthenticated Stored XSS (nagłówek Referer)
   1. Bardzo atrakcyjna dla atakujących.
   2. Podatności z lat 2023 i 2016 – nadal aktywnie atakowane mimo upływu czasu.

Raport o malware WordPress w 2024 roku

Skala infekcji

• W 2024 roku Wordfence wykrył blisko 1 milion unikalnych witryn zainfekowanych złośliwym oprogramowaniem.
• Średnio 325 000–350 000 stron dziennie było aktywnie zainfekowanych.
• Wiele witryn aktywowało Wordfence dopiero po infekcji, w celu usunięcia malware.

Najczęściej wykrywane typy malware

1. Złośliwe pliki .ico i .php z ukrytym kodem w komentarzach
   • Wykryto je na 95 200 witrynach.
2. Zaszyfrowane backdoory ogólnego przeznaczenia
   • Wystąpiły na 78 500 stronach.
   • Wordfence śledzi podobne próbki od 2018 roku.
3. Nowa, mocno zaciemniona forma malware (odnotowana od listopada 2023 r.)
   • Znaleziona na 74 239 witrynach.

Charakterystyka malware

1. Malware korzystało z globalnych zmiennych $_COOKIE i $_POST, aby przechowywać i wykonywać złośliwe ładunki.
2. Techniki zaciemniania obejmowały:
   • ukrywanie kodu w komentarzach,
   • funkcje przekształcania tekstu (str_repeat, str_rot13, strrev),
   • funkcje zmiennych (variable functions) do tworzenia dynamicznego kodu.

Obserwacje i trendy

• Choć w 2020 roku głównym zagrożeniem były nulle wtyczki, dziś ich wpływ jest znikomy – to dowód na poprawę świadomości użytkowników WordPressa.
• Wordfence wykonał w 2024 roku 574 nowe sygnatury malware, a w 2025 – już 226 (stan na pierwszy kwartał).

Regularne skanowanie witryn za pomocą skanera malware (np. Wordfence CLI) jest niezbędne, nawet przy zachowaniu najlepszych praktyk bezpieczeństwa.

Inne spostrzeżenia z 2024 roku

• Nie zaobserwowano poważnych exploitów typu 0-day, co jest pozytywnym znakiem poprawy jakości i bezpieczeństwa ekosystemu WordPress.
• Najciekawszy incydent: łańcuchowy atak supply chain, w którym:
  • przestępcy przejęli konta deweloperów na WordPress.org,
  • dodali złośliwy kod do istniejących wtyczek,
  • malware instalował się automatycznie po aktualizacji pluginu.

Wordfence szybko zareagował, tworząc sygnatury malware i przekazując informacje do zespołu ds. wtyczek WordPressa.

Czego spodziewać się w 2025 roku i później

• Liczba ujawnianych luk będzie nadal rosła dzięki programom Bug Bounty i wzrostowi liczby badaczy.
• Mimo to większość luk to nadal średniego ryzyka, wymagające poziomu współautora lub wyższego.

Prognozy:

• Więcej odpowiedzialnego ujawniania luk wysokiego ryzyka.
• Mniejszy nacisk na zgłaszanie błahych błędów (np. XSS na poziomie administratora).
• Lepsza edukacja, lepsze zabezpieczenia, większa współpraca między badaczami i dostawcami.

Rekomendacje na 2025 rok

1. Stosuj podejście „defense in depth”

• Zapora aplikacyjna (WAF),
• Skaner malware i podatności,
• Automatyczne aktualizacje,
• Dwuskładnikowe uwierzytelnienie (2FA),
• Monitorowanie i reagowanie w czasie rzeczywistym.

Rozważ usługę Wordfence Care lub Response – zawiera pełny audyt bezpieczeństwa i rekomendacje.

2. Inwestuj w edukację

• Właściciele stron – powinni znać zagrożenia i umieć wdrożyć zabezpieczenia.
• Deweloperzy – są nowym celem ataków. Muszą stosować:
  • izolowane środowiska developerskie,
  • bezpieczne metody wdrażania kodu,
  • silne hasła i 2FA.
• Badacze bezpieczeństwa – potrzebują aktualnej wiedzy i narzędzi do wykrywania poważnych luk.

3. Zachowuj higienę haseł

• Nie używaj tych samych haseł w różnych usługach.
• Unikaj łatwych do odgadnięcia danych (np. dat urodzenia).
• Korzystaj z 2FA.

4. Audytuj wtyczki i motywy

• Usuń nieużywane i porzucone dodatki – zwłaszcza takie, które nie były aktualizowane od 2+ lat.
• Wybieraj oprogramowanie aktywnie rozwijane, nawet jeśli ma niewielką liczbę instalacji.

Zakończenie

Wordfence nadal realizuje misję „defense in depth” – kompleksowej ochrony WordPressa, oferując społeczności:

• darmowe raporty,
• dane z badań,
• newslettery,
• bazę danych o podatnościach i API.

Produkty Wordfence chronią dziś ponad 5 milionów witryn każdego dnia.