Le vulnerabilità sono provenienti da CMS Plug-Ins
I sistemi di gestione dei contenuti sono al centro dei cyber criminali a causa della disponibilità di plug-in, grande attacco Superfici temi ed estensioni. Le notizie degli ultimi mesi hanno rivelato un aumento del numero di vulnerabilità e attacchi contro il più popolare di gestione dei contenuti systems.Being il più popolare di queste piattaforme, i in esecuzione su WordPress siti web hanno ricevuto il maggior numero di attacchi - in media 24 % più rispetto al resto dei siti web in esecuzione su altre piattaforme CMS. I ricercatori di malware affermano che questo è normale, da oltre 75 milioni di siti sono in esecuzione su WordPress, rispetto a Drupal con appena un po 'oltre 1 milioni di siti. Gli attacchi però non significa che WordPress è meno sicuro, solo che è il più popolare sistema di gestione dei contenuti.
Tutte le piattaforme conosciute, Compreso WordPress, Drupal e Joomla sono stati oggetto di vari difetti, dove la maggior parte di loro sono provenienti da plug-in di terze parti utilizzate per la personalizzazione sito e non dal codice.
Thee sviluppatori di automatico che fa la guardia al codice di base di WordPress sono molto apprezzati dagli esperti di sicurezza. Il ricercatore indipendente Ryan Dewhurst ha recentemente rilasciato WPScan Vulnerability Database. Presenta le vulnerabilità di WordPress che aveva raccolto nel corso degli anni. Nonostante questi difetti, il tester ha un'opinione molto positiva del team di sviluppo di Word Press e pensa che questa squadra sta facendo tutto il possibile per sviluppare software sicuro e senza difetti nel codice.
Secondo l'esperto IT Ryan Dewhurst, le gravi vulnerabilità sono provenienti da i plug-in e temi, che sono scritti da sviluppatori di terze parti, che mancano di esperienza nel campo della sicurezza. La superficie degli attacchi è anche abbastanza grande. Gli sviluppatori automatici affermare che la comunità WordPress ha più di 33 000 diversi plug-in e altri in cantiere. Ancora, non è solo WordPress che ha un problema con i plug-in. Questi difetti sono questione generale per le altre piattaforme CMS come pure.
50 000 siti web hacked via MailPoet Newsletter plug-in per WordPress
I principali framework CMS sono caratterizzati da un open-source e sono estensibili, così le persone decidono di aggiungere moduli, estensioni e plug-in. Naturalmente, questo grande numero di plug-in è molto difficile da controllare come sono scritte da molte persone diverse di vari ambiti di provenienza. A causa di tutto ciò che, le relazioni di vulnerabilità relative ai quadri CMS sono abbondanti in hack maligni e proof-of-concetti. Nell'estate del 2014, più di 50 000 siti web sono stati violati a causa della vulnerabilità trovata nelle newsletter MailPoet plug-in per WordPress. Nel mese di settembre 2014 più di 60 000 siti web sono stati colpiti dalla vulnerabilità scripting trovato in Mollum – il modulo contenuto moderazione per Drupal. Nello stesso mese è stato anche trovato una vulnerabilità in estensione VirtueMart del Joomla che potrebbe dare attaccanti il controllo completo del sito in questione e database.
Il CEO di High-Tech Ponte Ilia Kolochenko dice che la difficoltà viene fornito con il fatto che i plug-in non potrebbero essere evitati. Questo è così come il sito web proprietari saranno sempre cercare di specifiche funzioni personalizzate sui loro siti web che la regolare CMS non può offrire. Naturalmente, le principali piattaforme CMS lottano anche da nuove vulnerabilità, ma questi sono solo una minoranza rispetto al resto degli attacchi e sono abbastanza facili da sfruttare. Gli specialisti informatici e ricercatori dicono che le aziende non dovrebbero essere così attenti ad aggiornare i loro quadri CMS. Essi dovrebbero anche lavorare con i plug-in creati da grandi società di sviluppo.
