Откуда в WordPress столько ошибок и уязвимостей?
Какая нынче эпоха царит на вашем WordPress-сайте? Уверены, что поспеваете за течением технического времяисчисления? С этим движком не все так однозначно. Ведь внезапно могут появиться апдейты, которые вас «замедлят»…
От апдейта к апдейту возникают апдейты
WordPress по разнообразию функционала и своей глобальности затмевает другие движки. Но в его доступности и распространенности кроется большая невидимая опасность.
Первый выпуск движка вышел в 2003 г. И за прошедшие восемнадцать лет уже можно было бы создать неприступную крепость, которая не по зубам даже самым талантливым хакерам. Но этого не произошло.
Для латания новых дыр и багов команда WordPress вместе с основными версиями движка выпускает большое количество промежуточных. Чаще всего между основными выпусками выходит одна заплатка. Но в этот раз их потребовалось две.
Чего латают?
Самая свежая редакция CMS – 5.7. В середине апреля WordPress выпустил версию 5.7.1. Апдейт содержит исправления 26 ошибок и двух потенциально опасных уязвимостей:
- XXE (eXternal Entity XML) – уязвимость в библиотеке медиа, связанная с PHP 8.
Через XXE злоумышленник может вмешаться в процесс обработки XML-документов в WordPress.
- Уязвимость, связана с раскрытием данных через REST API.
Версия 5.7.1 латает дырки в WordPress 4.7-5.7.
Ну, теперь все пучком! Баги исправлены, защита усилена. Теперь можно расслабиться? Нет. Оказывается, не все слабины еще рассмотрели. Поэтому примерно через месяц появилась на свет еще одна заплатка – WordPress 5.7.2. В этот раз апдейт латает только одну уязвимость – возможность внедрения объекта в библиотеку PHPMailer. Данная уязвимость опасна тем, что открывает для злоумышленников путь к реализации других типов атак: внедрение программного кода, SQL инъекция и т.д.
Эксперты по кибербезопасности оценили опасность, которую нейтрализует WP 5.7.2, в 9,8 баллов из 10 возможных. Причем этой уязвимости подвержены практически все версии WordPress (c 3.7 до 5.7). Почему ее не увидели раньше, остается загадкой.
Дуршлаг?
После услышанного о любимом движке складывается не очень лестное мнение. Но столько дыр обнаруживаются в WordPress именно благодаря его популярности. Движок поддерживается развитым сообществом разработчиков. Поэтому столь много уязвимостей и латается. А в других менее востребованных CMS эти дыры просто некому искать и исправлять!
