11 334 уязвимости за год: отчет Patchstack о катастрофическом состоянии безопасности WordPress

Из них 1 966 (17%) получили высокий уровень серьезности и были уязвимы к автоматизированным массовым атакам. Показательно, что число высококритичных уязвимостей в 2025 году превысило суммарное значение за предыдущие два года вместе взятые.

Главный сдвиг в характере угроз — скорость атак. Половина высококритичных уязвимостей эксплуатируется в течение 24 часов после публикации, а с учетом интенсивности атак медианное время до первого взлома составляет 5 часов. При этом разработчики плагинов и тем не предоставили своевременный патч для 46% уязвимостей, а хостинговые WAF‑решения заблокировали лишь 26% атак в ходе масштабного пентеста.

Отдельную проблему представляют премиум-компоненты с маркетплейсов вроде Envato: из 1 983 отчетов о таких уязвимостях 76% оказались эксплуатируемыми в реальных атаках, а 59% допускали автоматизированные массовые взломы. Поскольку исходный код платных компонентов недоступен исследователям, уязвимости в них обнаруживаются позже и патчи выходят медленнее. В топ‑10 самых атакуемых уязвимостей только четыре были опубликованы в 2025 году — остальные относятся к 2023–2024 годам и все еще активно используются из‑за того, что сайты не обновляются.

На 2026 год Patchstack прогнозирует расширение поверхности атаки за счет кастомного кода, JavaScript/PHP‑зависимостей и ИИ‑сгенерированного кода, который не проходит через стандартные каналы обновления плагинов и тем.