На прошлой неделе в экосистеме WordPress было выявлено сразу 264 уязвимости в 214 плагинах и 31 теме, причём часть из них до сих пор не исправлена. Это хороший повод пересмотреть свою стратегию безопасности и обновления на сайте.
Ключевые цифры и выводы
-
264 уязвимости за период 5–11 января 2026 года в плагинах и темах WordPress.
-
134 уязвимости уже получили патч, 130 остаются неисправленными — то есть риск эксплуатации по‑прежнему актуален.
-
По шкале CVSS зафиксировано 5 критических, 48 высоких, 210 средних и только 1 низкоуровневая уязвимость.
Какие типы атак преобладают
-
Больше всего уязвимостей связано с XSS: 97 случаев «Improper Neutralization of Input During Web Page Generation (Cross-site Scripting)».
-
На втором месте проблемы с авторизацией и правами доступа: 70 «Missing Authorization» и ещё несколько десятков смежных CWE по контролю доступа.
-
Отдельно отмечены SQL‑инъекции (12), CSRF‑атаки (15) и RFI/Path Traversal, что повышает риск полного компромета сайта.
Плагины и темы под ударом
-
В отчёт попали популярные решения: формы, LMS, календарь событий, галереи, WooCommerce‑дополнения, инструменты SEO и аналитики и т.д.
-
Уязвимости обнаружены в таких категориях, как плагин форм (Fluent Forms, Forminator), системы бронирования и событий, различные аддоны для Elementor и Gutenberg, а также в коммерческих темах из ниш eCommerce, портфолио, SEO и туризма.
-
Если вы используете премиум‑темы типа Oshin, Phlox, Jobify, VideoPro, GrandRestaurant и другие, стоит свериться с отчётом и версиями установленных продуктов.
Что стоит сделать владельцам сайтов
-
Проверить список установленных плагинов и тем на совпадения с отчётом и как минимум обновить всё до последних версий.
-
Для критичных компонентов (авторизация, формы, платежи) настроить регулярные сканы и мониторинг уязвимостей через Wordfence или другой специализированный инструмент.
-
Пересмотреть подход к «лишним» плагинам: ненужные расширения лучше удалить, а не просто деактивировать.
