Na tohtoročnej konferencii a v správe Wordfence zazneli alarmujúce, ale aj povzbudzujúce správy. Rok 2024 priniesol rekordný počet objavených zraniteľností vo WordPresse – až 8223, čo je o 68 % viac než v roku 2023. Až 96 % z nich sa týkalo pluginov, čím sa len potvrdilo, že najväčšie riziko číha práve v rozšíreniach, nie v samotnom jadre systému.
🔓 Najväčšie riziká WordPress stránok v roku 2024
Správa odhalila, že najčastejšie zraniteľnosti v roku 2024 boli:
- Cross-Site Scripting (XSS) – 46 % zo všetkých zraniteľností, najmä na úrovni Contributor (autora).
- Chýbajúca autorizácia – 13 %, častokrát umožňujúca neoprávnené úpravy.
- SQL Injection – umožňuje krádež údajov alebo eskaláciu oprávnení.
Hoci 81 % týchto zraniteľností bolo klasifikovaných ako “stredne závažné”, až 7,5 % patrilo medzi vysoko rizikové. Napríklad kritická chyba v plugine LiteSpeed Cache umožňovala neoprávnený prístup ako admin pre viac ako 5 miliónov webov.
👩💻 Bug Bounty programy a komunita výskumníkov
Jednou z najvýraznejších zmien v oblasti kybernetickej bezpečnosti WordPressu v roku 2024 bol prudký nárast záujmu o tzv. Bug Bounty programy. Ide o systém finančných odmien za nahlásenie bezpečnostných chýb, ktorý motivuje etických hackerov a výskumníkov hľadať a zverejňovať zraniteľnosti zodpovedným spôsobom – teda ešte predtým, ako ich môžu zneužiť útočníci.
Wordfence, popredný poskytovateľ bezpečnostného softvéru pre WordPress, v roku 2023 spustil vlastný Bug Bounty program a jeho dopad bol okamžitý. Len za rok 2024 sa podarilo vďaka tejto iniciatíve zverejniť viac než 3400 nových zraniteľností, čo predstavuje 42 % všetkých objavených zraniteľností vo WordPresse za daný rok.
Za týmto úspechom stoja desiatky výskumníkov, z ktorých niektorí sa stali doslova legendami WordPress bezpečnostnej scény. Wesley (wcraft) zabezpečil svojím výskumom ochranu pre takmer 40 miliónov stránok, zatiaľ čo Francesco Carlucci publikoval vyše 490 zraniteľností. Títo výskumníci nehľadajú len chyby – ich práca doslova chráni online podnikanie a dôveru používateľov po celom svete.
Ak ste vývojár, práve teraz je najlepší čas zapojiť sa do tejto zodpovednej komunity. Je dôležité:
-
aktualizovať pluginy a témy pravidelne,
-
nepoužívať opustené alebo neudržiavané rozšírenia,
-
vytvoriť si kanál pre prijímanie bezpečnostných hlásení (napr. cez security.txt súbor alebo kontaktný formulár),
-
a predovšetkým byť otvorený spätnej väzbe od výskumníkov.
Bug Bounty programy nechránia len používateľov – pomáhajú aj samotným vývojárom udržať si dôveru a reputáciu. V čase, keď útoky sú automatizované a masové, môže jeden zodpovedne zverejnený bug zachrániť tisíce stránok.
📌 Čo odporúča Wordfence na rok 2025?
Správa zdôrazňuje, že správne zabezpečenie stránky nie je len o aktualizáciách. Kľúčové je:
- používať Web Application Firewall (WAF),
- nastaviť 2FA (dvojfaktorovú autentifikáciu – overenie prihlásenia napríklad cez mobil),
- pravidelne skenovať pluginy na zraniteľnosti,
- nepoužívať opustené pluginy,
- monitorovať všetky pokusy o prihlásenie a zásahy do systému.
Spoločnosť Path-UP s.r.o. poskytuje profesionálne riešenia v oblasti tvorby BEZPEČNÝCH WordPress stránok, vrátane ochrany emailových kont, auditu bezpečnosti a riešení na mieru.