Securitatea celor ~600 de milioane de site‑uri WordPress: De ce plugin‑urile sunt veriga slabă a internetului

by

WordPress a pornit în 2003 ca o simplă platformă de blogging.
Astăzi, a devenit fundația unei părți semnificative din internet.

📊 În aprilie 2026:

Cu alte cuvinte:

Aproape 1 din 2 site‑uri de pe internet rulează WordPress [hidemywpghost.com]

Această popularitate masivă vine însă cu un cost major:
WordPress a devenit una dintre cele mai mari suprafețe de atac existente online.

🎯 WordPress: Sistem sigur, ecosistem vulnerabil

Contrar percepției generale:

WordPress ca platformă nu este în mod fundamental nesigur.

De fapt:

În 2025:

  • au fost identificate 11,334 vulnerabilități în ecosistemul WordPress [wpexperts.io]
  • majoritatea în plugin‑uri
  • iar peste 92% din breșele reale au provenit tot din pluginuri sau teme, nu din platforma principală [w3techs.com]

Problema, așadar, nu este WordPress în sine —
ci ecosistemul extensiilor terțe care rulează în interiorul acestuia.

🔓 Plugin‑urile: Supply Chain Software la Scară Globală

Plugin‑urile WordPress sunt practic:

✅ cod terț
✅ dezvoltat de mii de autori independenți
✅ distribuit prin marketplace‑uri
✅ executat în același proces cu CMS‑ul

Acestea au:

  • acces la baza de date
  • acces la sesiuni autentificate
  • privilegii administrative
  • acces la sistemul de fișiere

Fără sandboxing real.

Astfel:

Exploatarea unui plugin echivalează cu compromiterea întregului site.

Mai grav:

  • 43% dintre vulnerabilitățile WordPress pot fi exploatate fără autentificare [sqmagazine.co.uk]

Adică:

  • nu este nevoie de parolă
  • nu este nevoie de phishing
  • nu este nevoie de interacțiune cu utilizatorul

Doar o cerere HTTP către endpoint‑ul vulnerabil.

⚠️ Timpul de reacție: Ore, nu zile

În infrastructura WordPress modernă:

  • timpul mediu dintre publicarea unei vulnerabilități și explorarea sa în masă este de aproximativ 5 ore [colorlib.com]
  • iar 46% dintre vulnerabilități nu au patch disponibil la momentul dezvăluirii publice [wpexperts.io]

În același timp:

  • peste 50% dintre dezvoltatorii de pluginuri nu oferă patch înainte de publicarea vulnerabilității [expandedra…blings.com]

Acest lucru creează o fereastră critică:

CVE public → PoC online → Scanare botnet → Compromitere site

Totul, uneori, în mai puțin de o zi.

💣 Impactul în lumea reală

Conform datelor din 2025–2026:

  • aproximativ 13,000 de site‑uri WordPress sunt compromise zilnic [colorlib.com]
  • peste 500,000 au fost infectate cu malware în 2024 (redirecționări, SEO spam etc.) [expandedra…blings.com]
  • iar:
    • 96% dintre administratori au experimentat cel puțin un incident de securitate [wpzoom.com]
    • 64% au raportat o breșă completă [wpzoom.com]

Mai îngrijorător:

👉 Doar aproximativ 27% dintre site‑uri au un plan de recuperare post‑breșă [colorlib.com]

🧠 Ce își doresc atacatorii?

Majoritatea atacurilor WordPress nu vizează distrugerea site‑ului.

Scopul este monetizarea sau reutilizarea acestuia ca infrastructură.

După exploatarea unui plugin vulnerabil, atacatorii urmăresc:

✅ Persistență

  • crearea unor conturi admin ascunse
  • plantarea de backdoor‑uri
  • modificarea fișierelor temei/plugin‑ului

✅ Monetizare

  • injectarea de pagini SEO spam
  • redirecționarea traficului către phishing
  • cryptomining
  • trimiterea de spam
  • skimming de plăți (ex: WooCommerce)

✅ Reutilizare

  • hosting malware
  • landing pages pentru phishing
  • noduri botnet
  • infrastructură Command‑and‑Control

🧩 Concluzie

WordPress este o platformă matură și relativ bine securizată.

Dar plugin‑urile transformă fiecare site:

dintr‑un CMS
într‑o aplicație distribuită construită din componente terțe cu niveluri variabile de securitate

La scara celor ~600 de milioane de site‑uri WordPress existente,
această realitate creează:

  • o suprafață de atac uniformă
  • exploatabilă automat
  • monetizabilă la scară industrială

Securitatea WordPress, așadar, nu mai este o problemă de configurație —
ci una de supply chain software.