WordPress-сайты взламывают за считанные часы после обнаружения уязвимости — отчёт Patchstack 2026
Дата публикации
03.03.2026
Компания Patchstack, специализирующаяся на безопасности WordPress, опубликовала ежегодный отчёт State of WordPress Security. Главный вывод: хакеры эксплуатируют уязвимости значительно быстрее, чем владельцы сайтов успевают их закрыть. Половина критических уязвимостей начинает использоваться в течение 24 часов после раскрытия, а наиболее атакуемые — в среднем за 5 часов.
11 334 новых уязвимости за год
В 2025 году в экосистеме WordPress обнаружили 11 334 новых уязвимости — на 42% больше, чем в 2024-м. Из них 4 124 (36%) представляли реальную угрозу и требовали срочной защиты. 1 966 (17%) имели высокий уровень критичности, то есть могли быть использованы в автоматизированных массовых атаках. По данным Patchstack, количество таких высокоприоритетных уязвимостей в 2025 году превысило суммарный показатель двух предыдущих лет.
Само ядро WordPress при этом остаётся относительно защищённым — основная масса уязвимостей приходится на плагины.
Премиальные плагины: меньше проверок — больше рисков
Отдельное внимание в отчёте уделено премиальным компонентам с маркетплейсов вроде Envato. Закрытый код ограничивает доступ исследователей безопасности, поэтому уязвимости в таких плагинах обнаруживают реже. Но когда их находят — они оказываются серьёзными.
По итогам целевого анализа Patchstack получил 1 983 подтверждённых отчёта об уязвимостях в премиальных и freemium-компонентах (29% от общего числа). Из них 59% были пригодны для массовых автоматизированных атак, ещё 17% — для целевых. В общей сложности 76% обнаруженных уязвимостей в премиальных компонентах можно было эксплуатировать в реальных условиях. Критических уязвимостей нулевого дня в премиальных плагинах выявили 33, тогда как в бесплатных — лишь 12.
Патчи запаздывают
Разработчики плагинов и тем не успели вовремя выпустить исправления для 46% уязвимостей. В период между раскрытием проблемы и появлением патча сайты остаются беззащитными — именно тогда интерес злоумышленников наиболее высок.
Патч (от англ. patch — «заплатка») — это небольшое программное обновление, выпущенное для того, чтобы исправить ошибку, повысить стабильность или «залатать» брешь в безопасности.
Хостинг-провайдеры частично компенсируют это веб-аппликационными файрволами (WAF) — защитной системой фильтрации трафика для сайтов и веб-приложений. Но их эффективность ограничена. По результатам масштабного тестирования Patchstack хостинги заблокировали лишь 26% атак на известные уязвимости WordPress.
Старые уязвимости тоже под ударом
Среди десяти наиболее атакуемых уязвимостей в 2025 году только четыре были обнаружены в том же году. Остальные — из 2023–2024 годов, в том числе в плагинах LiteSpeed Cache, tagDiv Composer, GiveWP и WooCommerce Payments. Сайты, не обновившие эти плагины до безопасных версий, по-прежнему остаются мишенями.
Взломали — и закрепились надолго
Изменилось и поведение злоумышленников после получения доступа. По наблюдениям Patchstack хакеры всё чаще закрепляются на взломанном сайте: устанавливают загрузчики для многоэтапных атак, встраивают вредоносный код в легитимные файлы и обеспечивают возможность вернуться даже после очистки. Таким образом, простое удаление подозрительных файлов больше не гарантирует устранения угрозы.
Прогноз на 2026 год
Patchstack прогнозирует расширение поверхности атаки за пределы традиционных плагинов и тем. Растёт доля кастомного кода, JavaScript- и PHP-зависимостей, а также кода, сгенерированного ИИ, — и всё это не проходит через стандартные каналы обновлений WordPress.
Что делать владельцам WordPress-сайтов
Отчёт Patchstack подтверждает, что безопасность сайта на WordPress зависит от скорости реакции на уязвимости, качества выбранных плагинов и регулярного технического обслуживания. Автоматические обновления, мониторинг уязвимостей, проверка премиальных компонентов перед установкой и периодический аудит безопасности — минимум, без которого риски растут с каждым днём.
Комментарии