Raport Tygodniowy podatności WP – styczeń 2026
Spis treści:
Podsumowanie wykonawcze
Niniejszy raport zawiera syntezę danych dotyczących bezpieczeństwa ekosystemu WordPress w okresie od 19 do 25 stycznia 2026 roku, opracowany na podstawie bazy danych Wordfence Intelligence. W analizowanym tygodniu ujawniono 226 podatności w 190 wtyczkach oraz 17 motywach.
Kluczowe wnioski:
- wysoka liczba niezałatanych luk: aż 104 z 226 zidentyfikowanych podatności (ok. 46%) pozostaje bez oficjalnej poprawki (unpatched), co stanowi istotne ryzyko dla administratorów stron.
- dominacja luk średniego stopnia: większość zagrożeń (167) zaklasyfikowano jako “Medium Severity”, jednak odnotowano również 9 podatności krytycznych oraz 48 o wysokim stopniu dotkliwości.
- główne typy zagrożeń: najczęstszym problemem pozostaje brak autoryzacji (Missing Authorization) oraz błędy typu Cross-site Scripting (XSS).
- aktywność społeczności: w proces identyfikacji zagrożeń zaangażowanych było 69 badaczy bezpieczeństwa, z których najbardziej aktywny zgłosił 28 luk.
Analiza statystyczna podatności
W badanym okresie nastąpił znaczny napływ danych do bazy Wordfence Intelligence, co podkreśla skalę wyzwań stojących przed użytkownikami WordPressa.
Ogólny status poprawek
Poniższa tabela przedstawia stan naprawczy zidentyfikowanych luk w momencie publikacji raportu:
| Status poprawki | Liczba podatności |
| Załatane (Patched) | 122 |
| Niezałatane (Unpatched) | 104 |
| Suma | 226 |
Klasyfikacja według dotkliwości (CVSS)
Poziom dotkliwości luk odzwierciedla potencjalny wpływ na bezpieczeństwo witryny:
| Stopień dotkliwości | Liczba podatności |
| Krytyczny (Critical Severity) | 9 |
| Wysoki (High Severity) | 48 |
| Średni (Medium Severity) | 167 |
| Niski (Low Severity) | 2 |
Główne typy podatności (CWE)
Analiza typów słabości według klasyfikacji CWE (Common Weakness Enumeration) wskazuje na powtarzające się wzorce w kodzie wtyczek i motywów.
| Typ podatności (CWE) | Liczba przypadków |
| Brak autoryzacji (Missing Authorization) | 82 |
| Cross-site Scripting (XSS) – niewłaściwa neutralizacja danych wejściowych | 60 |
| Cross-Site Request Forgery (CSRF) | 16 |
| Ujawnienie wrażliwych informacji nieuprawnionym podmiotom | 12 |
| SQL Injection | 11 |
| PHP Remote File Inclusion | 10 |
| Niewłaściwe zarządzanie uprawnieniami | 6 |
| Niewłaściwe przypisanie uprawnień | 5 |
Inne, rzadziej występujące, ale istotne zagrożenia obejmują:
- ominięcie autoryzacji poprzez klucze kontrolowane przez użytkownika.
- Code Injection (wstrzykiwanie kodu).
- Server-Side Request Forgery (SSRF).
- nieograniczone przesyłanie plików o niebezpiecznym typie.
- deserializacja niezaufanych danych.
Przegląd dotkniętego oprogramowania
Luki wykryto w szerokim spektrum dodatków, od popularnych narzędzi po rozwiązania niszowe. Poniżej wymieniono wybrane wtyczki, w których zgłoszono podatności:
- e-commerce: Dokan, WooCommerce (różne dodatki), PeachPay, SumUp Payment Gateway.
- LMS i edukacja: LearnPress, Tutor LMS, Academy LMS.
- narzędzia budowy stron: Beaver Builder, Elementor (dodatki), Happy Addons.
- zarządzanie i administracja: File Manager for Google Drive, FluentBoards, Uncanny Automator.
- marketing i lead Generation: MailerLite, Newsletter, Hustle.
Pełna lista obejmuje 190 wtyczek oraz 17 motywów, co wskazuje na konieczność stałego monitorowania aktualizacji i stosowania warstwowej ochrony firewall.
