Listopad 2025: popularne wtyczki WordPress z podatnościami na ataki

Na co dzień pracuję przy WordPressie – stawiam nowe projekty, rozwijam własne wtyczki lub konfiguruję zewnętrzne narzędzia, dlatego takie raporty jak najnowszy WordPress Vulnerability Report od SolidWP traktuję jak poranną prasę. W wydaniu z 12 listopada 2025 r. opisano aż 199 nowych podatności (197 we wtyczkach, 2 w motywach), z czego około 95 wciąż jest niezałatanych w repozytorium. To nie są egzotyczne dodatki, których nikt nie używa – wśród nich przewijają się bardzo popularne narzędzia, z którymi wielu z nas pracuje na co dzień.

The Events Calendar – krytyczny SQL injection i wyciek danych

Jeśli ogarniasz wydarzenia czy kalendarze na WordPressie, jest spora szansa, że korzystasz z The Events Calendar. W raporcie pojawia się on dwukrotnie: najpierw z podatnością typu SQL Injection (ocena: critical), a dodatkowo z problemem ujawniania wrażliwych danych (sensitive data exposure). Obie luki zostały załatane w wersji 6.15.10, więc jeśli widzisz niższy numer w swoim panelu, aktualizacja jest absolutnym „must have”. W praktyce takie błędy mogą umożliwić osobie atakującej manipulowanie zapytaniami do bazy danych albo podejrzenie informacji, które nigdy nie powinny wypłynąć na zewnątrz.

Gravity Forms i Jet „ekosystem” – formularze i widżety też potrafią zaboleć

Drugi ważny case to Gravity Forms – klasyk, jeśli chodzi o rozbudowane formularze na WordPressie. Raport pokazuje tu podatność typu Arbitrary File Upload (ocena: critical), czyli ryzyko wgrania na serwer dowolnego pliku, np. webshella, co w najgorszym scenariuszu kończy się przejęciem strony. Problem został naprawiony w Gravity Forms 2.9.21, więc dopiero ta wersja (i wyżej) jest uznawana za bezpieczną.

W tym samym zestawieniu pojawia się też JetElements for Elementor – wtyczka z rodziny Jet, którą wiele osób instaluje razem z JetEngine. Tutaj wykryto XSS (Cross Site Scripting, ocena: medium), załatane w wersji 2.7.12.1. XSS to klasyk – możliwość wstrzyknięcia złośliwego JS-a, który może np. podkraść sesję administratora albo modyfikować to, co widzi użytkownik.

FunnelKit, FunnelKit Automations, WPFunnels – uderza w lejki sprzedażowe

Ciekawie wygląda też fragment raportu dotyczący narzędzi do lejków sprzedażowych. FunnelKit – Funnel Builder for WooCommerce Checkout dostał wpis za XSS (ocena: high), załatane w 3.12.0.1.
Z kolei FunnelKit Automations (automatyzacje e-maili i CRM) ma na liście dwie podatności: ujawnianie wrażliwych danych oraz broken access control – obie naprawiono w wersji 3.6.4.2.
Do tego dochodzi WPFunnels – Easy WordPress Funnel Builder, gdzie wykryto broken access control i arbitrary file deletion (usuwanie dowolnych plików), załatane dopiero w 3.6.3.

Mówiąc po ludzku: w miejscach, gdzie obracasz leadami, danymi klientów i kasą, pojawiło się kilka dziur, które bez aktualizacji mogą mocno zaboleć.

Co z tym zrobić w praktyce (i jak nie zwariować)?

Nie chodzi o to, żeby teraz wyrzucać z projektu wszystkie wtyczki z raportu. Podatności zdarzają się każdemu vendorowi – kluczowe jest to, czy szybko pojawia się patch i czy Ty go w ogóle instalujesz.

Sprawdzaj, czy dana wtyczka jest na liście (tu: The Events Calendar, Gravity Forms, JetElements, FunnelKit, FunnelKit Automations, WPFunnels).
Porównuj wersję na stronie z wersją „patched” z raportu – jeśli jest poniżej, update powinien iść w pierwszej kolejności.
Minimalizuj liczbę wtyczek – każda dodatkowa paczka zewnętrznego kodu to kolejny potencjalny wektor ataku.
Dbaj o backupy i środowisko testowe – najpierw aktualizacje na stagingu, testy, dopiero potem produkcja.
Regularnie zaglądaj w raporty bezpieczeństwa.

Jeśli potrzebujesz pomocy przy Twojej stronie na WP, może chcesz, żebym przejrzał Twoje wtyczki, zrobił porządek z aktualizacjami i bezpieczeństwem – skontaktuj się ze mną!