AI generovaný obrázek: wordpress zranitelnosti

Třetina webů je zranitelných! Jaký je trend a stav bezpečnostních rizik?

OdMatěj Rokos

Americká společnost Liquid Web uvádí, že 20-40% wordpressových webů je zranitelných. Naše měření českých firemních webů ukazuje přibližně stejné výsledky. Jaké množství zranitelností vlastně je a jak se vyvíjí v čase?

Na světě je denně hacknuto asi 30 000 webových stránek. (dle Liquid Web) Vzhledem k celkovému počtu webů je to malé číslo. Pro útočníky to však znamená dostatečnou příležitost i garanci zisku. 20% napadených firem uvedlo, že díky kybernetickému útoku téměř zbankrotovali (údaj za rok 2022).

Počet zranitelností roste

S tím, jak rostou schopnosti a funkce webů, roste i jejich kód. Čím víc kódu, tím víc chyb. Současně se zlepšují analytické a výpočetní možnosti, díky kterým jde nejen objevit a opravit víc chyb, ale také provádět rozsáhlejší a sofistikovanější útoky.

Graf ukazuje růst počtu zranitelností WordPressu, pluginů a šablon dle světově uznávané databáze WPScan:

Graf počtů zranitelností WordPressu, šablon a pluginů ukazující výrazně rostoucí trend v letech 2022-2024.
počty zranitelností WordPressu, šablon a pluginů

Prémiové komponenty jsou až 29x bezpečnější

Zajimavé srovnání je mezi prémiovými a free komponentami. Počet zranitelností ve free šablonách je vyšší 29x, free pluginy jsou zranitelnější 24x.

Prémiové komponenty poskytují firmy, které platí profesionální vývojáře. Typicky jsou to placené pluginy a šablony s podporou. Free komponenty nejčastěji vznikají jako hobby projekty a bývají zdarma. Tím se liší i přístup k nim. Hobby vývojáři nemívají čas, peníze a často ani znalosti na tvorbu bezpečného kódu.

Bezpečný kód nebývá ani cíl hobby projektů. Tyto komponenty autoři vytvářejí ve svém volném čase, primárně pro svoji potřebu. Když si jejich výtvor stáhnou další lidé, mají radost. Je skvělé, že to dělají. Mnoha dalším poskytují možnost se z kódu učit, rozvíjet jejich tvorbu dál, nebo jej využít pro své hobby projekty. Profesionální využití takového kódu v podnikovém prostředí však nemusí dopadnout dobře.

Pravidelná kontrola bezpečnosti je zásadní

Důsledné zabezpečení webu je nezbytné, o tom není pochyb. Důležité je uvědomit si důležitost periodické kontroly bezpečnosti. Zranitelnosti i útoky se objevují průběžně. Stejně průběžně se vydávají bezpečnostní aktualizace. Kontrola namátkově, jednou za čas, má proto relativně malý efekt. Pro solidní zabezpečení je potřeba mít pravidelnou rutinu. Kontrolní seznam, který prochází ideálně robot. Lidé totiž snadno nějaký bod či detail přehlédnou.

Podobné příspěvky