Безопасность плагинов.
-
Ещё 6 лет назад участник форума sibqwerty задал вопрос: «Насколько безопасно скачивать плагины из админки, точнее из официального репозитария WordPress? Проверяет ли их там кто-то (кроме автора плагина) на наличие скрытых элементов или ещё чео-нибудь нехорошего?», на который модератор форума sergeybiryukov ответил ему
Насколько мне известно, с момента создания каталога плагины проверяет Mark Jaquith, один из ведущих разработчиков WordPress. Плагины, которые не соответствуют требованиям, удаляются из каталога. В позапрошлом и прошлом году он выступал на конференциях WordCamp с презентациями «Secure Coding with WordPress» и «Writing Secure Plugins».
Однако в 2016 году исследователи из компании RIPS Technologies изучили безопасность 47 959 плагинов для WordPress (именно столько представлено на официальном сайте WordPress.org, так что исследователи проверили большую их часть). Для проведения тестов, специалисты загрузили все плагины с сайта, а затем воспользовались статическим анализатором кода, чтобы выявить плагины, которые имеют хотя бы один PHP-файл. Таких оказалось 44 705, именно их изучали далее.
Как выяснилось, около 14 000 плагинов (32%) содержат всего 2-5 файлов, тогда как крупных плагинов, содержащих более 500 строк кода, насчитывается 10 523 штуки. 4559 из них (то есть 43%) содержат по меньшей мере одну XSS-уязвимость.
Критические уязвимости были найдены лишь в 41 плагине, а вот серьёзные и умеренные проблемы содержат 7411 плагинов. Малоопасные проблемы были найдены в 1426 плагинах. Таким образом, суммарно исследователи выявили 67 486 различных проблем с безопасностью и установили, что более 8800 плагинов так или иначе уязвимы.
Самым распространенным типом уязвимостей являются XSS-баги (68%). Широкое распространение также имеют и SQL-инъекции (20%).
В связи с чем опять возник тот же вопрос шестилетней давности, а именно, проверяет ли кто на безопасность плагины для WordPress, размещённые на официальном сайте WordPress.org?!
Результаты своего исследования специалисты компании RIPS Technologies опубликовали на своём сайте 14 декабря 2016 года.
Информация об этом в русском переводе опубликована журналом Xaker.ru 16.12.2016 года.
- Тема «Безопасность плагинов.» закрыта для новых ответов.