PHP и WordPress в центре атаки: число критических уязвимостей выросло на 30%

03.07.2025

Весна 2025 года ознаменовалась тревожным всплеском киберугроз: по данным BI.ZONE WAF, количество критических уязвимостей в IT-системах выросло на треть по сравнению с зимой, а готовых сценариев атак — на четверть. Всего с марта по май специалисты зафиксировали почти 5000 новых CVE, причём значительная часть приходится на экосистему PHP и популярную CMS WordPress.

Основным вектором атак этой весной стали SQL-инъекции, впервые за долгое время обогнавшие XSS по числу критических багов: зарегистрирована 521 уязвимость через SQL-инъекции против 402 с использованием межсайтовых скриптов. Это говорит о том, что хакеры вновь делают ставку на проверенные, но всё ещё крайне эффективные методы компрометации.

Больше всего под удар попали плагины и сборки WordPress, на которые пришлось 99 из 222 критических багов в PHP-решениях. В зоне риска также оказались учебные проекты на PHP, такие как phpgurukul и projectworlds, которые часто используются новичками без серьёзной защиты. Эксперты подчёркивают, что даже такие seemingly безобидные проекты могут стать воротами для атак на более крупные системы, если их разворачивают в корпоративной среде без должных мер безопасности.

Как отметил Дмитрий Царев, руководитель направления облачных решений кибербезопасности BI.ZONE, тренд на рост старых, но актуальных уязвимостей свидетельствует о том, что многие компании до сих пор не обновляют свои CMS и плагины, открывая хакерам лёгкий путь для взлома. Эксперт советует бизнесу срочно внедрять многоуровневую защиту, обновлять ПО и применять решения класса WAF для предотвращения атак, чтобы не стать следующей жертвой волны компрометаций.