Пропускането на актуализациите на WordPress е широко разпространена практика, като много администратори се страхуват, че нещо може да се обърка. Повечето сайтове използват стари плъгини, PHP без актуализации и остарял основен софтуер, а хакерите ги атакуват с автоматизирани инструменти, предупреждава компанията за киберсигурност Censys.
Censys сканира видимата част от интернет и установи, че повечето сайтове, базирани на WordPress не използват най-новите версии на софтуера. WordPress e най-популярната система за управление на съдържание и обслужва приблизително 40% от уеб пространството – над 59 милиона сайта, разпределени на 1 милион уникални IP адреса.„Само 14% от публично видимите WordPress сайтове използваха най-новия пач на WordPress.“
посочи Censys в своя докладНай-новата версия в момента е WordPress 7.0. Ако се включат и сайтовете, работещи с WordPress 6.9, чиято поддръжка беше прекратена на 20 март, общият брой на активно поддържаните сайтове би се повишил до 31%.
WordPress е изграден на базата на PHP – един от най-популярните езици за програмиране от страна на сървъра. Над 70% от уебсайтовете също разчитат на остарял PHP. Още по-лошото е, че повечето уебсайтове (над 20%) все още използват PHP 7.4, който беше обявен за остарял преди почти четири години, през ноември 2022 година. Изследователите по сигурност нарекоха тази практика „самоубийство в областта на сигурността“. Поддържаната понастоящем версия PHP 8.4 беше открита на около 4% от уебсайтовете, а най-новата версия 8.5 не се появява изобщо в класацията.
Censys отбеляза, че администраторите по-често използват актуални версии на WordPress заедно с версии на PHP, чийто жизнен цикъл е приключил.
„Актуализациите на PHP не са просто подобрения по избор, а критични кръпки за сигурност. Тази тенденция към използване на остарели версии представлява сериозен проблем за сигурността на уеб сървърите. По-старите фреймуъркове не само са по-малко ефективни, но и са по-податливи на уязвимости.“
предупреждават изследователите от CensysАнализираната извадка включваше 316 300 WP PHP сайта, които не са скрили данните за версията, което представлява едва 0,5% от общия брой WP сайтове. Макар сайтовете на WordPress със скрита информация за версията по-вероятно да са актуализирани, може да се твърди, че много администратори прикриват проблема, за да намалят рисковете от случайни атаки, вместо да отстранят действителните проблеми.
Плъгините също са остарели. Почти 7,5 милиона сайта на WordPress имат регистриран остарял плъгин. Един от най-известните е Yoast, който автоматизира SEO-то и се среща на над 5 милиона сайта. Censys установи, че само 22% от сайтовете разполагат с най-новата версия. Освен това, налице са и много други грешки в конфигурацията и уязвимости, които засягат уебсайтовете, като например открити SSH портове без IP ограничения и активирана автентификация чрез парола. Всички те бързо се натрупват, което прави уебсайтовете уязвими.
Изследователите в областта на сигурността също така предупреждават за продължаващата кампания на хакерски атаки с автоматизирани сканирания и промяна на съдържанието на остарели WordPress уебсайтове.
Censys счита, че остарялата версия на PHP отразява основен проблем в архитектурата на CMS – уеб услугата не може лесно да поддържа нови актуализации. Междувременно самата PHP предполага, че потребителите използват версия, която е само с една актуализация по-стара, което прави преминаването от стари версии изключително трудно.Ето защо Censys препоръчва ограничаване на автоматичните актуализации на WordPress, тъй като те често нарушават функционалността на сайта и причиняват проблеми със съвместимостта. Актуализирайте WordPress ръчно само до утвърдени и надеждни основни версии след тестване и не забравяйте плъгините. Сensys призовава администраторите да актуализират PHP по същия цикъл на кръпки, да проверяват за актуализации на всеки 1-3 месеца и да прилагат всички критични версии възможно най-скоро. Следващата версия на PHP, 8.6 ще бъде пусната през ноември.