WordPress-сайти зламують за лічені години після виявлення вразливості — звіт Patchstack 2026
Дата публікації
03.03.2026
Компанія Patchstack, яка спеціалізується на безпеці WordPress, опублікувала щорічний звіт State of WordPress Security. Головний висновок: хакери експлуатують вразливості значно швидше, ніж власники сайтів встигають їх закрити. Половина критичних вразливостей починає використовуватися протягом 24 годин після оприлюднення, а найбільш атаковані — в середньому за 5 годин.
11 334 нові вразливості за рік
У 2025 році в екосистемі WordPress виявили 11 334 нових вразливості — на 42% більше, ніж у 2024-му. З них 4 124 (36%) становили реальну загрозу та потребували термінового захисту. 1 966 (17%) мали високий рівень критичності, тобто могли бути використані в автоматизованих масових атаках. За даними Patchstack, кількість таких високопріоритетних вразливостей у 2025 році перевищила сумарний показник двох попередніх років.
При цьому саме ядро WordPress залишається відносно захищеним — основна маса вразливостей припадає на плагіни.
Преміальні плагіни: менше перевірок — більше ризиків
Окрему увагу у звіті приділено преміальним компонентам з маркетплейсів на кшталт Envato. Закритий код обмежує доступ дослідників безпеки, тому вразливості в таких плагінах виявляють рідше. Але коли їх знаходять — вони виявляються серйозними.
За підсумками цільового аналізу Patchstack отримав 1 983 підтверджених звіти про вразливості в преміальних і freemium-компонентах (29% від загальної кількості). З них 59% були придатні для масових автоматизованих атак, ще 17% — для цільових. Загалом 76% виявлених вразливостей у преміальних компонентах можна було експлуатувати в реальних умовах. Критичних вразливостей нульового дня в преміальних плагінах виявили 33, тоді як у безплатних — лише 12.
Патчі запізнюються
Розробники плагінів і тем не встигли вчасно випустити виправлення для 46% вразливостей. У період між оприлюдненням проблеми та появою патча сайти залишаються беззахисними — саме тоді інтерес зловмисників найвищий.
Патч (від англ. patch — «латка») — це невелике програмне оновлення, випущене для того, щоб виправити помилку, покращити стабільність або «залатати» діру в безпеці.
Хостинг-провайдери частково компенсують це вебаплікаційними фаєрволами (WAF) — захисною системою фільтрації трафіку для сайтів і вебзастосунків. Але їхня ефективність обмежена. За результатами масштабного тестування Patchstack хостинги заблокували лише 26% атак на відомі вразливості WordPress.
Старі вразливості теж під ударом
Серед десяти найбільш атакованих вразливостей у 2025 році лише чотири були виявлені того ж року. Решта — з 2023–2024 років, зокрема в плагінах LiteSpeed Cache, tagDiv Composer, GiveWP і WooCommerce Payments. Сайти, які не оновили ці плагіни до безпечних версій, досі залишаються мішенями.
Зламали — і закріпилися надовго
Змінилася й поведінка зловмисників після отримання доступу. За спостереженнями Patchstack хакери дедалі частіше закріплюються на зламаному сайті: встановлюють завантажувачі для багатоетапних атак, вбудовують шкідливий код у легітимні файли та забезпечують можливість повернутися навіть після очищення. Отже, просте видалення підозрілих файлів більше не гарантує усунення загрози.
Прогноз на 2026 рік
Patchstack прогнозує розширення поверхні атаки за межі традиційних плагінів і тем. Зростає частка кастомного коду, JavaScript- і PHP-залежностей та коду, згенерованого ШІ, — і все це не проходить через стандартні канали оновлень WordPress.
Що робити власникам WordPress-сайтів
Звіт Patchstack підтверджує, що безпека сайту на WordPress залежить від швидкості реакції на вразливості, якості вибраних плагінів і регулярного технічного обслуговування. Автоматичні оновлення, моніторинг вразливостей, перевірка преміальних компонентів перед встановленням і періодичний аудит безпеки — мінімум, без якого ризики зростають з кожним днем.
Комментарии