WordPress — это не «просто популярная CMS», а большая поверхность атаки. По W3Techs, на ней крутится 43,1% сайтов в интернете. Для злоумышленника это идеально: одна найденная уязвимость может масштабироваться на тысячи одинаковых установок.
Что видно по данным Wordfence за 2024 год: число уязвимостей в плагинах и темах выросло на 68% год к году. И проблема не только в баге как таковом, а в том, что часть расширений годами остаётся без патчей. Особенно опасны заброшенные плагины: ядро обновили, а старый модуль продолжает открывать дыру.
Практический вывод простой: безопасность WP — это не чекбокс «поставили обновления», а процесс.
Минимальный workflow:
1. Инвентаризация всех тем и плагинов
2. Проверка версии и статуса поддержки
3. Скан уязвимостей перед и после обновлений
4. Удаление неиспользуемых модулей, а не просто деактивация
5. Регулярный мониторинг новых CVE и changelog’ов
WPScan здесь полезен как базовый инструмент: он показывает, какие версии уязвимы, где устаревшие расширения и что реально нужно закрыть в первую очередь 🔍
Если у вас WordPress — вопрос не «есть ли уязвимости», а «сколько из них уже известно и не закрыто».
PR Lab
@PRLabPro