Как человек, который годами управлял сайтами на WordPress, я внимательно следил за последними отчётами о безопасности, и они подчёркивают действительно тревожную тенденцию. Сейчас целью является не только ядро WordPress – премиум-плагины становятся серьёзной слабой точкой. Ещё более раздражает то, что хакеры становятся быстрее в эксплуатации уязвимостей, часто *до того*, как у нас появляется возможность обновить наши сайты и устранить проблемы. Это означает, что следить за обновлениями и тщательно проверять эти премиум-плагины важнее, чем когда-либо.
Купил акции на все деньги, а они упали? А Илон Маск снова написал твит? Знакомо. У нас тут клуб тех, кто пытается понять этот цирк и не сойти с ума.
Купить на падении (нет)Безопасность все чаще становится гонкой со временем.
Новый отчёт от компании по безопасности WordPress Patchstack показывает, что хакеры пользуются задержкой между обнаружением уязвимости и её устранением владельцами веб-сайтов. Раньше предполагалось, что у владельцев сайтов достаточно времени для оценки и применения обновлений, но это становится всё менее и менее правдой.
Злоумышленники эксплуатируют уязвимости быстрее, чем когда-либо, иногда сразу после их обнаружения. Это оказывает давление на традиционные методы безопасности, которые полагаются на исправление уязвимостей, превращая их в постоянную борьбу со временем, когда атаки начинают происходить в течение нескольких часов.
https://www.searchenginejournal.com/wp-json/sscats/v2/tk/Middle_Post_Text
Наше исследование показывает, что злоумышленники часто начинают использовать серьезные недостатки в системе безопасности очень быстро – примерно половина наиболее критических уязвимостей подвергается атаке в течение 24 часов после обнаружения.
Учитывая, как часто уязвимости действительно подвергались атаке, типичное время до первой эксплуатации составляет 5 часов. Это означает, что уязвимости, которые, скорее всего, будут атакованы, обычно подвергаются атаке в течение нескольких часов, а не в течение нескольких дней.
Владельцы веб-сайтов должны использовать эту информацию для улучшения подхода к обработке обновлений безопасности, помогая им быстро устранять проблемы после их обнаружения.
Масштаб воздействия расширяется.
В 2025 году количество зарегистрированных уязвимостей программного обеспечения значительно возросло. Большинство этих уязвимостей были не в основной программе WordPress, а в дополнениях, называемых плагинами. Это означает, что наибольшие риски для безопасности исходили от этих плагинов, которые создаются и поддерживаются многими разными разработчиками.
- Ограниченная видимость в отношении премиальных компонентов торговой площадки.
- Быстрая эксплуатация после раскрытия информации
- Многоэтапное, устойчивое атакующее поведение после компрометации
Растущий набор функций, созданных как с использованием собственного кода, так и готовых программных инструментов (таких как JavaScript или PHP), позволяющий расширить функциональность.
В 2025 году в мире WordPress было обнаружено в общей сложности 11 334 новых уязвимости в системе безопасности, что представляет собой значительный скачок на 42% по сравнению с предыдущим годом.
Из всех вновь обнаруженных уязвимостей 4 124 – или 36% – представляли реальную опасность и требовали немедленной защиты с помощью правил RapidMitigate.
Почти одна из пяти уязвимостей (17%, или 1 966 в общей сложности) считалась критически важной, что делало их приоритетной целью для широкомасштабных, автоматизированных атак.
В 2025 году WordPress зафиксировал значительный всплеск уязвимостей в системе безопасности высокой степени серьезности – больше, чем было обнаружено в 2023 и 2024 годах вместе взятых. Большая часть этого увеличения связана с премиум-плагинами и темами, продаваемыми на торговых площадках, таких как Envato. Это указывает на ключевую проблему: эксперты по безопасности имеют ограниченный доступ к этим компонентам, что затрудняет выявление и исправление уязвимостей до того, как они могут быть использованы.
Исследование показывает, что уязвимости существуют как в бесплатных плагинах, так и в платных опциях на торговых площадках. Поскольку тщательно изучить эти компоненты было сложно, выявление слабых мест оказалось непростой задачей.
Премиум-компоненты демонстрируют высокие показатели подверженности эксплуатации.
Хотя премиум плагины и темы для WordPress не всегда проверяются так тщательно, как бесплатные варианты из-за ограниченного доступа к коду, отсутствие зарегистрированных уязвимостей не гарантирует их безопасность. Фактически, исследования Patchstack показывают, что многие недостатки в безопасности, обнаруженные в этих премиум-продуктах, активно использовались злоумышленниками.
В прошлом году мы исследовали популярные маркетплейсы, такие как Envato, чтобы лучше понять риски безопасности, связанные с премиум-плагинами и темами.
Мы получили 1 983 обоснованных сообщения об уязвимостях в наших платных и бесплатных функциях, что составляет 29% от общего количества полученных сообщений.
Почти шесть из десяти этих уязвимостей были признаны Patchstack высококритичными, что означает, что они могут быть использованы в крупномасштабных, автоматизированных атаках.
Еще 17% имели уязвимости средней степени серьезности, что делает их уязвимыми для более целенаправленных атак.
Как цифровой маркетолог, специализирующийся на безопасности, могу сказать вам, что значительные 76% уязвимостей, которые мы выявили в наших Premium компонентах, были не просто теоретическими – они могли быть реально использованы в реальных атаках. Это тревожная статистика и подчеркивает важность проактивных мер безопасности.
Наши исследования в области безопасности выявили 33 серьезных недостатка в платных версиях нашего программного обеспечения, что значительно больше, чем 12, которые мы обнаружили в бесплатных версиях.
По сути, многие из уязвимостей, обнаруженных в топовом программном обеспечении, на самом деле были использованы злоумышленниками в реальных ситуациях.
Задержки с доступностью патчей
Как SEO-эксперт, я всегда говорю своим клиентам, что поддержание плагинов и тем WordPress в актуальном состоянии имеет решающее значение для безопасности. Однако обновления работают только в том случае, если разработчики выпускают исправления при обнаружении уязвимостей, и это не всегда происходит быстро. Эта задержка является реальной проблемой, поскольку она оставляет веб-сайты уязвимыми *exactly* тогда, когда хакеры наиболее активно ищут слабые места для эксплуатации. Это гонка со временем, и медленная реакция разработчиков может быть катастрофической для ваших рейтингов и общего состояния сайта.
Согласно Patchstack, разработчики плагинов и тем не выпустили исправления для почти половины (46%) обнаруженных уязвимостей в безопасности достаточно быстро.
Инфраструктурная защита блокирует лишь малую часть атак.
В то время как хостинговые компании используют брандмауэры и другие системы безопасности, тестирование показало, что эти защиты останавливают лишь небольшой процент атак, направленных на уязвимости в WordPress веб-сайтах.
В ходе всестороннего тестирования безопасности нескольких известных веб-хостинговых компаний менее четверти (26%) предпринятых атак, использующих уязвимости, были успешно остановлены.
Более старые уязвимости остаются активными целями.
Как SEO-эксперт, я постоянно отслеживаю угрозы веб-безопасности и заметил действительно тревожную тенденцию. Дело не только в *новых* уязвимостях, о которых нам нужно беспокоиться. Patchstack недавно поделился данными, которые меня шокировали: большинство из десяти ведущих уязвимостей, которые активно используют злоумышленники, на самом деле не новые! Только четыре из них были обнаружены в этом году, а это означает, что большинство — это более старые проблемы, которые не были должным образом устранены. Это действительно подчеркивает важность своевременного обновления всего вашего программного обеспечения, а не только фокусировки на последних угрозах.
Из десяти наиболее часто атакуемых уязвимостей, только четыре были обнаружены в 2025 году.
Они перечисляют следующие устаревшие версии плагинов, которые сайты не обновили до безопасных версий:
- Плагин WordPress LiteSpeed Cache <= 5.7 (2024 г.)
- Плагин WordPress tagDiv Composer < 4,2 (2023)
- WordPress Startklar Elementor Addons Plugin <= 1.7.13 (2024)
- WordPress GiveWP Plugin <= 3.14.1 (2024)
- Плагин WordPress LiteSpeed Cache <= 6.3.0.1 (2024 г.)
- Плагин WordPress WooCommerce Payments <= 5.6.1 (2023 г.)
Деятельность после компрометации подчеркивает устойчивость.
Хакеры сейчас больше сосредотачиваются на удержании внутри системы после первоначального взлома, вместо того чтобы просто быстро проводить атаку и уходить.
Продолжающийся рост числа атак указывает на то, что хакеры больше не ищут быстрых, изолированных побед. Теперь они создают долгосрочные операции, устанавливая инструменты на скомпрометированных веб-сайтах, которые позволяют им запускать множественные атаки в течение длительного периода и поддерживать постоянный доступ.
Современные кибератаки – это не разовые события. Хакеры теперь создают долгосрочные точки доступа в системах, позволяя им неоднократно возвращаться, устанавливать больше вредоносного программного обеспечения и оставаться на связи, даже если их первоначальная атака обнаружена и удалена.
Как человек, который уже много лет занимается безопасностью веб-сайтов, я видел, как вредоносное ПО становится намного умнее. Это не похоже на старые времена, когда можно было просто обнаружить плохой файл и удалить его. Теперь оно часто прячется *внутри* нормальных файлов или использует уловки, чтобы работать, избегая обнаружения. Это значительно усложняет очистку от заражения – это уже не просто удаление, вам действительно нужно копать глубоко, чтобы убедиться, что всё удалено.
Обзор 2026 года
Patchstack предсказывает, что код, приводящий в действие веб-сайты WordPress, будет расширяться за пределы типичных плагинов и тем. Эффективная защита этих сайтов означает учет кода, который не является частью стандартных пакетов плагинов и тем.
Веб-сайты становятся все более уязвимыми для атак из-за растущей сложности их кода. Это включает в себя пользовательские функции, код, добавленный из внешних источников, таких как JavaScript или PHP, и даже код, созданный искусственным интеллектом. Критически важно, что эти дополнения часто обходят стандартные обновления безопасности для плагинов и тем, оставляя их незащищенными.
- Индивидуально разработанные плагины для отдельных сайтов или агентств
- JavaScript и PHP пакеты, добавленные в проекты как зависимости
- Код, сгенерированный ИИ, использовался для создания функций или целых фронтендов.
Поддержание безопасности WordPress сегодня означает понимание его уникальных, пользовательских частей – таких как код, который вы добавили или который был создан автоматически – и не только фокусировку на стандартных плагинах и темах.
Смотрите также
- Акции AGRO. РусАгро: прогноз акций.
- Уточнение запросов: как Google помогает пользователям быстрее находить товары
- Какой самый низкий курс доллара к рублю?
- Анализ динамики цен на криптовалюту ETH: прогнозы эфириума
- Анализ динамики цен на криптовалюту TAO: прогнозы TAO
- Анализ динамики цен на криптовалюту STX: прогнозы STX
2026-03-02 13:42