דו"ח Patchstack השנתי: כמעט כל חולשות האבטחה בוורדפרס – בתוספים
עו"ד אמציה שינפלד,
96% מהפגיעויות בוורדפרס מגיעות מהתוספים.
כך עולה מהדו"ח השנתי שפרסם ארגון האבטחה Patchstack מהגופים המרכזיים בקהילת WordPress.
נכון, פרסמנו על כך לא מעט מאמרים, הפצרנו, הדגשנו, וחזרנו על עצמנו שוב ושוב – אבל שזה מופיע בדו"ח השנתי המסכם של Patchstack זה ראוי להתייחסות נפרדת. Patchstack, המוכרת היטב בקהילת הוורדפרס העולמית, חוקרת, מנטרת, ועוקבת אחרי הפגיעויות השונות. דוחותיה מבוססים על עבודת עומק וניתוח כמויות עצומות של מידע בצורה יסודית.
נסקור, על קצה המזלג, חלק מהממצאים.
כמעט 8,000 פגיעויות חדשות – עליה חדה לעומת השנה שקדמה
בשנת 2024 התגלו 7966 פגיעויות אבטחה חדשות באקוסיסטם של WordPress – עליה של כ-34% אחוזים לעומת השנה שקדמה.
קרוב לחצי מהפגיעויות מאפשרות לתוקף לבצע פעולה באתר – מבלי להזדהות
כ43% מכל אותן פגיעויות מאפשרות לתוקף לשלוח הודעה מרחוק, ולגרום לאתר לבצע פעולה, ללא אימות, בלי צורך בשם משתמש או סיסמא.
זה שהתוסף פופולרי – לא אומר שהוא בטוח
מספר התקנות גבוה אינו ערובה לאיכות או תחזוקה – גם תוספים עם מאות אלפי או אפילו מיליוני התקנות כללו פגיעויות חמורות.
תופעה מדאיגה נוספת עליה מצביע הדו"ח הינה כי גם כאשר חוקרי אבטחה פונים למפתחי התוספים ונותנים הזדמנות לתיקון החולשה לפני פרסומה הפומבי, יותר ממחציתם אינם מגיבים או אינם ממהרים לפרסם עדכון במועד.
אז מה עושים ?
שימוש בתוספים מוכרים ומתוחזקים, שעוברים עדכונים שוטפים; הסרת תוספים שאינם בשימוש או שאינם פעילים – גם קוד שנראה "רדום" עלול להכיל חולשות; הקפדה על עדכונים; שימוש במערכות הגנה דוגמת WAF; וכמובן מעקב באמצעות מקורות אמינים, והמידע זמין ונמצא במקומות רבים, אחר חולשות ופגיעויות.
ומה לגבי חברות האחסון ?
זה אינו חלק מהדו"ח אבל שווה לציין כי חלק מחברות אחסון וורדפרס המובילות מסייעות גם בתחומים אלו. Kinsta ו- WP Engine למשל מציעות ללקוחותיהן פתרונות אבטחה מתקדמים כחלק ממסלולים יעודיים הכוללים מנגנונים ותהליכים שונים, על פי רוב במסגרת שירות פרמיום. uPress מציעה סריקות אבטחה ייעודיות והתראות בזמן אמת, גם בחבילה הבסיסית, כולל המלצות מומחי וורדפרס, עדכונים אוטומטיים לרכיבים שונים, ושכבות הגנה נוספות.
לסיכום
הקהילה הענפה של WordPress אחראית להיקף עצום של תוספים ופיצ'רים לכל צורך. זה אחת הסיבות שהפלטפורמה כל כך פופולרית וחזקה. אך יש לכך מחיר.
לכן, רגע לפני שאתם ממהרים להתקין תוסף, קחו אוויר והקדישו לפחות מספר דקות לבדיקה, ואפילו בקשו ממודל הAI המועדף עליכם לעזור לכם בהתחקות אחרי האמינות של התוסף, ההיסטוריה שלו, והאופן שבו הוא מתוחזק. הגעתם למסקנה שהתוסף לא בטוח מספיק – אין מצב שלא תמצאו תוסף חלופי, בטוח יותר.
וכמובן, וחשוב לא פחות – בצעו תחזוקה, מעקב ועדכונים בצורה באמת שוטפת. לתוספים, לתבניות ובעצם לכל רכיבי האתר. אין לכך תחליף.
כדאי מאד להישאר בצד הבטוח של הסטטיסטיקה.
*למעוניינים להעמיק יותר, מומלץ לעבור על הדו"ח עצמו:
https://patchstack.com/whitepaper/state-of-wordpress-security-in-2025/
עו"ד אמציה שינפלד
מנהל פרויקטים בחברה. מתמחה בדיני פרטיות, סייבר ואינטרנט.
אחסון וורדפרס מנוהל