WordPress on maailman suosituin verkkosivustojen rakentamis- ja julkaisuohjelmisto. Yli 40% internetin sivustoista toimii tällä ohjelmistolla, joka takaa valtavan valikoiman laajennusmoduleita (plugin) ja sivuston ulkoasun tekeviä teemoja (theme). Ikävä puoli tässä on se, että WordPress houkuttelee rikollisia, eikä ihme: sen plugin-laajennokset ovat kovin haavoittuvia.
Tietoturvaan erikoistunut yritys Pathstack on koonnut raportin nimenomaan WordPress-ohjelmiston tietoturvasta. Raportin viesti on hyytävä: yli 70 miljoonaa WordPress-sivustoa käyttää plugin-moduuleja ja teemoja, joissa on todettuja tietoturva-aukkoja. Plugin-lisäosia ja teemoja tuottavat pääasiassa yksittäiset kehittäjät ja pienet ohjelmisto- ja konsulttiyritykset.
Tärkeimmät havainnot Pathstackin Security vulnerabilities of WordPress ecosystem in 2020 (WordPress-ekosysteemin tietoturvahaavoittuvuudet 2020) raportissa ovat:
- Kaiken kaikkiaan koko WordPress-järjestelmässä – lisäosat mukaanlukien – löydettiin 582 haavoittuvuutta vuonna 2020.
- Ainoastaan 22 ongelmaa oli WordPress-ohjelmiston ytimessä, 82 oli teemoissa ja 478 plugin-moduuleissa.
- Prosentteina plugin-moduulit edustivat 99,22% kaikista löydetyistä tietoturvavirheistä.
Pathstack luokitteli WordPressin tietoturvaongelmat viiteen kategoriaan. Yksi kategoria erottuu selvästi muita yleisempänä:
- Ohjaus osoitteeseen, joka lataa vaarallista ohjelmakoodia käyttäjälle (Cross-Site Scripting, XSS) – 211 löydettyä ongelmaa.
- Tietokantaan tunkeutuminen (SQL injection, SQLi) – 53
- Cross-Site Request Forgery (CSRF) – 38
- Tietovuoto – 29
- Mahdollisuus ladata tiedosto palvelimelle – 16
- Muu ongelma – 131
Ovatko tulokset huolestuttavia vai uusi normaali?
Pathstackin asiantuntijat analysoivat myös 50 000 WordPress-sivustoa, ja laskivat miten monta pluginia yleensä on käytössä. Hieman yllättävä tulos oli, että WordPress-sivustolla keskimäärin on peräti 23 plugin-moduulia. Neljä noista 23 pluginista oli sellaista, joihin olisi päivitys saatavilla, mutta päivitystä ei oltu tehty.
Tämän lisäksi Pathstack kysyi 400 alan ammattilaiselta mitä he ajattelivat WordPressin tietoturvasta. Noin 70% heistä kertoi olevansa yhä enemmän huolissaan verkkosivustojen tietoturvasta erityisesti plugin-moduulien vuoksi.
Tässä on kyse laajasta ongelmasta, jota on mahdollista käyttää esimerkiksi suurten verkkohyökkäysten organisointiin tai tietojen varastamiseen viallisilta palvelimilta. Toivottavasti WordPress-kehittäjien yhteisö ja keskeinen kehittäjä Automattic ovat jo tarttuneet asiaan. Riippumattomien yksittäisten kehittäjien ja yritysten tuottamat pluginit ja teemat ovat aivan olennaisia avoimen lähdekoodin WordPress-ohjelmistossa, mutta tietoturva on oltava kunnossa.
New York Timesin journalisti Nicole Perlroth julkaisi äskettäin kirjan This is how they tell me the world ends (Näin maailmanloppu saattaa tapahtua), jossa hän vuosien ajan keräsi tietoja hakkereilta ja kyber-turva-alan yrityksiltä erityisesti koskien tietoturva-aukkoja, jotka eivät olleet vielä julkisia (zero day). Nämä salaiset turva-aukot ovat niin arvokkaita, että valtioiden tiedusteluviranomaiset ja varakkaat rikollisjärjestöt voivat maksaa miljoona dollaria tiedosta.
Julkiset, paikkaamattomat tietoturva-aukot, kuten WordPressin tapauksessa ovat luonnollisesti avoinna kenelle tahansa koittaa taitojaan tietokoneisiin murtautumisessa.
Wptavern raportoi tutkimuksesta.
