In het eerste kwartaal van dit jaar werden meer dan 2700 beveiligingslekken in plug-ins voor WordPress aangetroffen. Vooral cross-site scripting en SQL Injection blijken een probleem. Een groot deel van de kwetsbaarheden wordt daarnaast niet gepatcht door de betreffende ontwikkelaar. Dat stelt cybersecuritybedrijf Wordfence op basis van eigen onderzoek naar kwetsbaarheden in het eerst kwartaal van dit jaar. Meer dan veertig procent van alle websites op internet draait volgens W3Techs op WordPress.

Wordfence registreerde in het eerste kwartaal van dit jaar 2738 kwetsbaarheden in WordPress-plug-ins. Een stijging van zo'n 24 procent ten opzichte van het kwartaal daarvoor. De meestvoorkomende problemen zijn ontbrekende autorisatie, cross-site scripting, remote file inclusion en SQL Injection. De meer dan 2700 gevonden kwetsbaarheden werden door Wordfence aan de betreffende ontwikkelaars gerapporteerd, maar aan het einde van het eerste kwartaal waren 747 beveiligingslekken nog altijd niet gepatcht. Verder bleek dat dertien procent van de kwetsbaarheden gevonden was in plug-ins die niet meer door de ontwikkelaar worden onderhouden.

Veel van de kwetsbaarheden in WordPress-plug-ins worden door aanvallers misbruikt om admin-accounts toe te voegen en zo controle over de website te krijgen. Vooral een beveiligingslek in een plug-in genaamd SureTriggers waardoor dit mogelijk is werd op grote schaal misbruikt. Wordfence keek ook naar de meest aangevallen type kwetsbaarheden. Meer dan de helft van de aanvallen betrof SQL Injection, gevolgd door path traversal en cross-site scripting. Volgens Wordfence laten de kwetsbaarheden en aanvallen zien dat het belangrijk is dat beheerders hun plug-ins en themes up-to-date houden.