Wordfence опубликовал расширенный еженедельный отчёт о уязвимостях WordPress за период с 15 декабря 2025 по 4 января 2026 года. За три недели было задокументировано 459 уязвимостей в 390 плагинах и 29 темах, к работе над безопасностью WordPress подключилось 95 исследователей.
Отчёт стал частью инициативы Wordfence Intelligence — открытой базы данных из более чем 32 000 уязвимостей и набора бесплатных инструментов, которые помогают внедрять стратегию «defense in depth» (многоуровневая защита) для проектов на WordPress. В рамках этой инициативы доступны веб‑интерфейс, бесплатный API, вебхуки и Wordfence CLI Vulnerability Scanner.
Основные цифры отчёта
-
Всего уязвимостей: 459, из них 219 уже исправлены, а 240 остаются не патчены.
-
По уровню опасности: 2 низкой, 402 средней, 48 высокой и 7 критической тяжести.
-
База Wordfence Intelligence содержит более 32 000 уязвимостей, доступ к ней можно получить через API и CLI бесплатно.
Среди типов уязвимостей лидируют Missing Authorization (167 случаев), XSS (133), CSRF (52) и ошибки управления доступом к файлам и конфиденциальным данным. Это подчёркивает важность корректной проверки прав, валидации ввода и защиты от межсайтовых атак в плагинах и темах.
Роль исследователей и Bug Bounty
Wordfence ведёт Bug Bounty программу для всех плагинов и тем WordPress без стоимости для разработчиков. Исследователи могут зарабатывать до 31 200 долларов за одну уязвимость, передавая её через форму ответственного раскрытия — дальше коммуникации с вендором и сопровождение патча берёт на себя Wordfence.
За отчётный период 95 исследователей внесли вклад в безопасность WordPress, некоторые из них закрыли десятки уязвимостей в одиночку. Это ещё раз показывает, что системная работа исследовательского сообщества напрямую влияет на безопасность миллионов сайтов.
Как владельцам сайтов использовать отчёт
🔍 Практические шаги для администраторов WordPress:
-
Проверить, используются ли на сайте плагины и темы из списка, опубликованного Wordfence, и немедленно установить доступные обновления.
-
Настроить регулярное сканирование уязвимостей через Wordfence CLI или интеграцию с API и вебхуками, чтобы отслеживать новые проблемы в реальном времени.
-
Внедрить многоуровневую защиту: веб‑файрвол, ограничение прав пользователей, аудит плагинов, мониторинг активности и резервные копии.
Wordfence позволяет бесплатно получать выгрузку всей базы уязвимостей и получать уведомления о новых записях, что особенно полезно хостинг‑провайдерам, агентствам и владельцам множества сайтов.
