WordPress през 2024: Повече уязвимости, но не и повече риск

Бъг баунти програми и повишено внимание доведоха до рекорден брой разкрити уязвимости, но за повечето собственици на сайтове заплахата остава ниска.

Сцената на WordPress сигурността през 2024 г. претърпя значителна трансформация. Рекорден ръст от 68% на публично оповестените уязвимости спрямо предходната година може да звучи тревожно, но погледът зад цифрите показва една различна картина: подобрено ниво на прозрачност, по-силен фокус върху отговорното разкриване и все по-активна роля на общността.

Голямата новина беше стартирането на нови програми за бъг баунти, сред които Wordfence Vulnerability Rewards Program, която създаде възможности за устойчив доход на изследователи в областта на сигурността. Това доведе не просто до повече уязвимости, а до по-добро разбиране за тяхното разпределение, тежест и реален риск.

Накратко, статистиката на WordFence показва:

• 68% ръст в броя на публикуваните уязвимости спрямо 2023 г.

• 81% от всички уязвимости са със средна степен на тежест (CVSS).

• Най-често срещаното изискване за експлоатация: достъп на ниво „Contributor“ (34%).

• 35% от уязвимостите все още не са запушени към началото на 2025 г.

• 96% от уязвимостите са в плъгини, което подчертава, че те остават най-слабото звено.

Интересен акцент е, че над половината (58%) от всички уязвимости са в софтуер с под 10 000 активни инсталации, което предполага ограничен обхват и по-нисък риск за масовите потребители. Само 19% засягат софтуер с над 50 000 инсталации – по-сериозен индикатор за потенциална експозиция.

Кои са най-често срещаните уязвимости:

• Cross-Site Scripting (XSS) води класацията – 56% от тях изискват ниво „Contributor“ за експлоатация.

• Само 5.7% от XSS уязвимостите могат да бъдат експлоатирани без автентикация и без потребителска интеракция.

• Cross-Site Request Forgery (CSRF) е в спад – сигнал за еволюция в защитните механизми.

• Високорисковите уязвимости (сериозен потенциал за щети) са 7.4% от общия брой – с ръст от 149% спрямо 2023. Най-често: Arbitrary File Upload и Privilege Escalation.

2025: какво следва?

1. Бройката на уязвимости ще продължи да расте – но това е признак за по-добра информираност и по-добър мониторинг, не за по-голяма несигурност.

2. Бъг баунти програмите ще продължат да стимулират активността – очаквайте още по-детайлни и бързи разкрития.

3. Разработчиците трябва да улеснят отговорното разкриване – прозрачност и комуникация са ключ.

4. Дълбока защита (defense-in-depth) и многослойни мерки (WAF, 2FA, скенери, актуализации) стават задължителни.

5. Образование и осведоменост – те са новата линия на защита, не само технологията.

6. Редовен одит и почистване на изоставени теми/плъгини – проста, но често игнорирана стъпка.