V minulom roku zaznamenali bezpečnostní experti enormný nárast odhalených zraniteľností v pluginoch pre WordPress. Z pohľadu bezpečnosti patrí WordPress medzi najbezpečnejšie redakčné systémy. Problémy spôsobuje práve jeho obľúbenosť a množstvo rozšírení, ktoré viete nainštalovať.
Pre WordPress existuje aktuálne takmer 60-tisíc pluginov priamo v respozitári na wordpress.org. Ďalšie desiatky tisíc pluginov je potom platených. Vysoká obľúbenosť WordPressu potom logicky vedie k tomu, že zraniteľností je každoročne viac.
Minulý rok podľa analytikov z bezpečnostnej firmy Risk Based Security stúpol počet zraniteľností v pluginoch WordPress o 142% oproti roku 2020. Problémom je, že mnohé zo zraniteľností vývojári ani neodstránili a útočníci ich teda stále môžu využívať.
Viac ako 2-tisíc
Za minulý rok experti odhalili 2.240 zraniteľností v pluginoch pre WordPress. Celkovo je evidovaných viac ako 10-tisíc zraniteľností, ktoré ešte neboli opravené. Zo všetkých neopravených zraniteľností totiž až pri 77% z nich nie je nasadená oprava a zverejnený je aj návod ako danú chybu využiť.
Pre WordPress (podobne ako pre iný software) platí niekoľko zásad, ktorých by sa majitelia stránok mali držať. V prvom rade je potrebné myslieť na pravidelnú aktualizáciu samotného WordPressu, témy a samozrejme pluginov.
Menej je viac
Mnoho užívateľov WordPressu si mylne myslí, že čim viac pluginov, tým lepšie. Vždy neplatí, že čím viac tým lepšie. Platí to aj v prípade WordPressu. Minimalizujte počet pluginov, ktoré vaša stránka k chodu potrebuje len na tie nevyhnutné.
Ak niektorý plugin nepoužívate, tak ho úplne odstráňte. Aj po deaktivácii pluginu zostáva celý nahratý na serveroch a je teda možné zneužiť jeho zraniteľnosť. Ak s pluginom už nepracujete a nepotrebujete to, tak ho úplne vymažte.
Navyše veľké množstvo pluginov vašu stránku aj extrémne spomalí, čo sa môže prejaviť v nižšej návštevnosti a v horšom hodnotení od vyhľadávačov ako Google.
Volte platené
Mnoho používateľov sa spolieha hlavne na bezplatné pluginy, ale to nie je ideálne riešenie. Platené verzie pluginov majú často viac funkcií a hlavne vývojári ich pravidelne aktualizujú. Skôr sa teda zbavíte zraniteľnosti, ktorá bola odhalená.
Ak sa objaví nová zraniteľnosť v plugine, ktorý používate a vývojár ju ešte neopravil, tak plugin radšej deaktivujte a vymažte. Je jednoduchšie nájsť iný plugin ako potom odstraňovať škodlivý kód, ktorý sa vám na stránku dostane cez deravý plugin.
Zbavte sa aj pluginov, ktoré sú niekoľko rokov staré a nie sú aktualizované. Tie sú rizikové jednak z toho dôvodu, že môžu obsahovať bezpečnostné diery, ale hlavne môžu spôsobovať konflikt so samotným WordPressom. Vo všeobecnosti ak má plugin verziu, ktorá nebola rok aktualizovaná, tak sa neodporúča jej používanie.