WordPress

WordPress-haavoittuvuudet 2024-2026: mitä pk-yrittäjä ei tiedä

7 966 uutta WordPress-haavoittuvuutta 2024, 96 % plugineissa. Top CVE:t, hyökkäystavat ja mitä halpa webhotelli jättää tekemättä — Resahost-näkökulma.

Olli Junes · · 6 min

Vuonna 2024 julkaistiin 7 966 uutta WordPress-haavoittuvuutta. Se on lähes uusi tietoturvareikä joka tunti, ympäri vuoden. Suomalainen pk-yrittäjä, joka pyörittää sivustoaan halvalla webhotellilla ja luottaa siihen että "WordPress päivittyy itsestään", istuu tällä hetkellä aikapommin päällä.

7 966 uutta haavaa: kasvua 34 prosenttia

Patchstackin vuosiraportti laski 7 966 uutta haavoittuvuutta WordPress-ekosysteemissä vuonna 2024 (State of WP Security 2025). Edellisvuoteen verrattuna kasvua on 34 prosenttia. Wordfencen julkaiseman datan mukaan automatisoidut botnetit tekevät keskimäärin 65 miljoonaa kirjautumisyritystä päivässä. Käytännössä jokaiseen julkiseen WP-sivustoon kohdistuu murtoyritys noin 28 minuutin välein.

Sucuri puolestaan löysi vuoden 2024 aikana yli 500 000 saastunutta WordPress-sivua. Suurimmat infektiotyypit olivat SEO-spämmi (422 000 sivua) ja haitalliset uudelleenohjaukset (175 000 sivua). Alkuvuonna 2025 AI-pohjaisten botnettien aktiivisuus kasvoi vielä 45 prosenttia (Patchstack Q1/2025).

Ydin ei ole ongelma, pluginit ovat

Tämä on tärkein yksittäinen havainto pk-yrittäjälle. Kun Patchstack erotteli haavoittuvuudet komponentin mukaan:

  • 96 prosenttia löydettiin plugineista
  • 4 prosenttia teemoista
  • vain 7 reikää WordPressin ytimestä koko vuoden aikana

Tästä seuraa kaksi käytännön seikkaa. WordPress itse on hyvin ylläpidettyä koodia. Jokainen asennettu plugin sen sijaan lisää hyökkäyspintaa. Keskivertosivustolla on 20–25 pluginia, joista osa ei ole saanut päivitystä vuosiin. Patchstack mittasi että 33 prosenttia kaikista julkistetuista haavoista oli paikkaamatta sinä päivänä kun ne julkistettiin — hyökkääjä sai tiedon haavasta samaan aikaan kuin sivuston omistaja, mutta ehti hyödyntää sen ensin.

Top 5 hyödynnetyt CVE:t 2024-2025

Nämä viisi haavoittuvuutta aiheuttivat eniten murtoja viimeisen 18 kuukauden aikana:

  1. CVE-2024-27956 (WP Automatic Plugin, 40 000+ asennusta) — autentikoimaton SQL-injektio. Pelkästään Q1/2025:n aikana Patchstack esti 6 500 hyökkäysyritystä tätä haavaa kohti.
  2. CVE-2024-25600 (Bricks-teema, 30 000+ asennusta) — autentikoimaton etäkoodin ajaminen. Hyökkääjä saa palvelimen täysin haltuunsa ilman kirjautumista.
  3. CVE-2025-27007 (OttoKit, entinen SureTriggers, 100 000+ asennusta) — vakava oikeuksien laajennus. Tavallinen tilaaja voi nostaa itsensä pääkäyttäjäksi.
  4. CVE-2025-1562 (FunnelKit Automations) — autentikoimaton plugin-asennus. Hyökkääjä voi asentaa oman taustaoven plugin-muodossa.
  5. CVE-2025-2294 (Kubio AI Page Builder) — autentikoimaton paikallinen tiedoston sisällytys, jota käytetään yleensä wp-config.php:n vuotamiseen.

Lisäksi LiteSpeed Cache (6 miljoonaa asennusta) sai vuoden 2024 aikana useita XSS- ja oikeuksien laajennus -haavoja. Jos sivustosi käyttää sitä eikä auto-päivitys ole päällä, asia kannattaa tarkistaa tänään.

Hyökkäystavat: bruteforce, XML-RPC, XSS

H1/2025-haavojen tyyppijakauma kertoo mistä hyökkääjät käytännössä tulevat sisään (Patchstack):

  • Cross-Site Scripting (XSS): 34,7 %
  • Cross-Site Request Forgery (CSRF): 19 %
  • Local File Inclusion (LFI): 12,6 %
  • Broken Access Control: 10,9 %
  • SQL Injection: 7,2 %

Hyökkäysvektoreista yleisin on edelleen wp-login.php-bruteforce. Toinen on XML-RPC:n system.multicall-rajapinta, jonka avulla yksi pyyntö voi kokeilla satoja salasanoja. Molemmat ovat ratkaistavissa palomuuritasolla, mutta useimmat halvat webhotellit eivät tee sitä puolestasi.

Suomalaisen pk-yrittäjän kannalta riskit eivät ole abstrakteja. Vastaamo-tapaus näytti miten yhden tietokantavuodon hinta nousee miljooniin. Pienemmässä mittakaavassa saastunut WordPress-sivu johtaa SEO-rankingin romahtamiseen, Googlen "Tämä sivusto on hakkeroitu" -varoitukseen ja asiakaskunnan menetykseen viikoissa.

Mitä halpa webhotelli ei tee

Tyypillinen 4,90 euron kuukausihinnalla myyty WordPress-paketti sisältää WordPressin asennuksen ja levytilan. Sähköposti tulee mukana. Useimmiten paketti ei sisällä:

  • Päivittäistä haittaohjelmaskannausta
  • Virtuaalipäivityksiä, joissa tunnetut haavat paikataan palomuuritasolla ennen kuin plugin-tekijä ehtii julkaista korjauksen
  • WordPress-spesifisiä palomuurikontrolleja, jotka pysäyttävät valtaosan ekosysteemin haavoista
  • Staging-ympäristöä, jossa päivitykset testataan ennen tuotantoa
  • 4 minuutin palautusta backupista jos jokin menee pieleen

Käytännössä halvan paketin asiakas on yksin vastuussa kaikesta yllä mainitusta. Ja koska 33 prosenttia haavoista on paikkaamattomia julkistushetkellä, pelkkä auto-päivitys ei riitä.

Resahost hoitaa kerroksen jonka muut jättävät tekemättä

Jokaisessa Resahost-paketissa on WordPress-spesifiset palomuurikontrollit, säännöllinen haittaohjelmaskannaus, virtuaalipäivitykset paikkaamattomille haavoille ja staging-ympäristö. Suomalainen tiimi, Traficom-validoitu palveluntarjoaja.

Katso paketit tai tilaa maksuton tietoturva-audit.

Lähteet: Patchstack State of WordPress Security 2025, Patchstack Q1/2025 Threat Report, Wordfence Intelligence Weekly Report, WPScan Vulnerability Statistics, Sucuri Hacked Website Report 2024.