یکی از امتیازات Word Press “متن باز” (Open Source) بودن آن و داشتن افزونه های (Plug-ins) متنوع است که توسط اشخاص و موسسات ثالث تهیه و منتشر شده اند. با بکارگیری این افزونه ها می توان قابلیت های مختلف و امکانات پیچیده ای را به WordPress اضافه کرد.
در یک تحقیق که اخیراً توسط شرکت Checkmarx صورت گرفته، مشخص شده که از 50 افزونه برتر و پرطرفدار WordPress بیش از 20 درصد آنها آسیب پذیر بوده و دارای نقاط ضعف امنیتی هستند. این میزان افزونه آسیب پذیر تاکنون نزدیک به 8 میلیون بار دریافت (Download) و نصب شده اند.
شرکت Checkmarx راه حل های خودکار برای کنترل کیفیت و بازنگری برنامه (Source Code) نرم افزار تهیه و عرضه می کند.
متاسفانه اغلب نقاط ضعف این افزونه ها به قدری ساده و ابتدایی هستند که با رایج ترین روش های نفوذ، نظیر SQL Injection و Cross-Site Scripting قابل سوء استفاده توسط نفوذگران می باشند.
البته افزونه های WordPress دائماً در حال ارتقاء هستند و نسخه های جدیدی از آنها منتشر می شود. ولی در شش ماه گذشته، تنها نقاط ضعف شش افزونه به طور کامل برطرف و ترمیم شده است.
چند توصیه به مدیران سایت که از WordPress استفاده می کنند:
– افزونه های مورد نیاز خود را همواره از سایت ها و منابع معتبر و شناخته شده، دریافت کنید. سایت WordPress.org بهترین محل برای دریافت افزونه ها است.
– از به روز بودن افزونه های مورد استفاده خود مطمئن شوید. هشدارهای به روز رسانی و انتشار نسخه های جدید را نادیده نگرفته و در اولین فرصت اقدام به ارتقاء و به روز رسانی افزونه ها کنید.
– افزونه هایی را که دیگر لازم ندارید و از آنها استفاده نمی کنید، حذف نمایید.
گزارش کامل شرکت Checkmarx را درباره آسیب پذیری افزونه های WordPress می توانید اینجا مطالعه کنید.