Bei den in WordPress entdeckten Sicherheitslücken machen Cross-Site Scripting (XSS) Schwachstellen etwa 53,3% aus. Im Vergleich zum Vorjahr, wo XSS 27% der Sicherheitsprobleme ausmachte, ist dies ein signifikanter Anstieg.
XSS ermöglicht es Angreifern, schädlichen Code auf Websites einzuschleusen, was zu unerwünschten Aktionen wie Umleitungen oder Datendiebstahl führen kann, durch die Angreifer Kontrolle über eine Website erlangen können.
Warum sind XSS-Schwachstellen so verbreitet?
^Ein wesentlicher Faktor für die hohe Anzahl an XSS-Schwachstellen war eine Sicherheitslücke im Freemius-Framework, einem Drittanbieter-eCommerce-System, das viele Plugins betrifft. Über 1.200 XSS-Schwachstellen lassen sich auf diese einzelne Lücke zurückführen.
Dabei stellten Schwachstellen mit hoher oder kritischer Schwere 42,9% der neu entdeckten Sicherheitslücken dar, ein deutlicher Anstieg im Vergleich zu 2022. Zudem waren 58,9% der Schwachstellen ohne Authentifizierung ausnutzbar, was sie besonders gefährlich macht.
Zunahme von aufgegebenen Plugins
^Eine weitere große Sicherheitsbedrohung stellt die hohe Zahl an aufgegebenen Plugins dar. 2023 wurden 827 Plugins und Themes als gefährdet gemeldet, von denen 481 aus dem Plugin-Repository entfernt wurden. Um auf die „Zombie-Plugin-Pandemie“ aufmerksam zu machen, wurden an einem Tag 404 dieser Plugins gemeldet. Diese „Zombie“-Plugins weisen möglicherweise unbehobene Sicherheitslücken auf, obwohl sie sicher und aktuell erscheinen mögen.
Die fünf neu entdeckten Schwachstellen mit den meisten Ausnutzungsversuchen
- TagDiv Composer Plugin – Unauthentifizierte gespeicherte XSS-Schwachstelle
- WooCommerce Payments Plugin – Unauthentifizierte Privilegienerweiterung
- Ultimate Member Plugin – Unauthentifizierte Privilegienerweiterung
- Essential Addons for Elementor Plugin – Unauthentifizierte Privilegienerweiterung
- HT Mega Absolute Addons for Elementor Plugin – Unauthentifizierte Privilegienerweiterung
Die Zunahme von Sicherheitslücken weist nicht notwendigerweise auf eine Verschlechterung der Sicherheitssituation innerhalb der WordPress-Plattform hin. Vielmehr zeigt sie, dass sowohl Plugin-Entwickler als auch Sicherheitsforscher der Sicherheit eine höhere Priorität einräumen.