Pan Vagenas prošel repozitář pluginů na WordPress.org. Chtěl zjistit kdy byly naposledy aktualizované a jak jsou na tom s kompatibilitou.

Pan Vagenas se nechal inspirovat článkem od Isabel Castillo, která také hledala ty nejdéle neaktualizované pluginy na WordPress.org. Našla celkem 3.960 pluginů, které byly aktualizovány před více jak 6 lety. Jen pro zajímavost nejstarší byl Jason’s User Comments, který byl naposledy aktualizován koncem roku 2004 a podle statistik má stále tisíc aktivních instalací.

Nejvíce aktivních instalací mají:

  • Exec-PHP – 100K (aktualizován 23.6.2009)
  • Category Order – 90K (aktualizován 30.5.2008)
  • Ultimate Google Analytics – 80K (aktualizován 3.2.2008)
  • Post-Plugin Library – 80K (aktualizován 17.9.2009)
  • .html on PAGES – 70K (aktualizován 16.10.2009)

Což je neuvěřitelné množství.

Pan Vagenas na její výzkum navázal a prošel celý repozitář, kde v té době bylo 37,3K plugunů.

Výsledkem bylo:

  • 17.383 pluginů nebylo aktualizováno minimálně 2 roky.
  • 13.655 pluginů je označeno, že jsou kompatibilní s WordPress 3.x (WordPress 4.0 vyšel v září 2014).
  • 3.990 pluginů nebylo aktualizovaných od roku 2010 – tedy jsou starší 7 let.
  • Našli 18 pluginů, které si můžete nainstalovat a pravděpodobně obsahují bezpečnostní chybu. U všech neproběhla aktualizace více jak 2 roky.
  • Našli 4 pluginy, které obsahovaly zranitelnost, kterou autor opravil. Ovšem nezměnil číslo verze, takže uživatelům tohoto pluginu nebyla nabídnuta aktualizace.
  • Těchto 22 pluginů má v součtu 37.040 aktivních instalací.

Tabulka nalezených nebezpečných pluginů:

Plugin Instalací
WP PHP widget* 30000
WP Post to PDF 1000
Spreadsheet 1000
Bookmarkify 800
Xorbin Digital Flash Clock 600
Image Metadata Cruncher 500
FAQs Manager 400
Easy Banners 300
The Crawl Rate Tracker 200
ThinkIT WP Contact Form 200
WordSpew* 100
bib2html* 100
Dynamic Font Replacement DFR4WP EN 100
Floating Tweets 100
A to Z Category Listing 100
URL Cloak & Encrypt 70
Spicy Blogroll 40
stripShow* 40
Page Showcaser Boxes 40
Monetize 30
Starbox Voting 10
Blogstand Banner 10

Více informací najdete v originálním článku.

Výše uvedené pluginy byste samozřejmě neměli používat. To znamená kompletně smazat. Deaktivace v některých případech nemusí stačit (záleží na povaze zranitelnosti).

Co dělat pokud používáte starší plugin

Starší a dlouho neaktualizované pluginy nemusí být nutně zranitelné. Pokud autor dodržuje určitá pravidla, tak nemusí být plugin dokonce zranitelný nikdy. Také záleží co plugin dělá. Jestli je jeho úkolem provádět jen nějaké úkony na pozadí anebo zobrazovat jednoduché informace většinou se toho moc nemůže pokazit. Spíše ale narazíte na problém s kompatibilitou. Opět záleží na autorovi. Pokud se drží zaběhnutých standardů a myslí na budoucnost tak to nemusí být hned. Navíc WordPress poměrně důsledně dbá na zpětnou kompatibilitu. Ovšem jestli byl plugin psán pro PHP 4 a přejdete na PHP 7, tak už se většinou něco rozbije.

Ještě k té bezpečnosti. Jestli váš plugin má nějakou zranitelnost si můžete ověřit v databázi WPScan. Pokud se něco objeví hned nepanikařte. Zkontrolujte hlavně verzi 😉

 

Share on FacebookTweet about this on TwitterShare on Google+Share on LinkedInBuffer this page