WordPress 的插件,或者更具体地说是免费的 WordPress 插件,是真正的原始缺陷和漏洞汤,其中许多允许威胁参与者完全接管目标网站,其中许多 – 永远不会得到修补。
这是 Patchstack 的一份报告中的严峻结论,该公司为流行的网站构建器平台提供威胁情报和安全工具。
根据该报告,与上一年相比,与 WordPress 相关的漏洞数量在 2021 年增长了 150%。在这些漏洞中,只有 0.58% 存在于 WordPress 核心中,即实际的网站构建器。超过十分之九 (91.38%) 出现在免费插件中,8.62% 出现在商业插件中。
XSS 最流行的漏洞
在 WordPress 插件中发现的几乎三分之一 (29%) 的严重缺陷从未得到修补。好消息是,未打补丁的插件最终会从插件存储库中丢弃。该报告称,九个插件从未收到补丁,随后被删除。
去年,该公司发现了五个严重程度的漏洞,总共影响了 55 个 WordPress 主题。其中一个滥用文件上传功能,这是一个特别危险的发现。在这些插件中,Patchstack 发现了 35 个严重漏洞,其中两个存在于 400 万个网站中。
Patchstack 进一步发现,最流行的漏洞是跨站点脚本 (XSS),其次是“混合”跨站点请求伪造、SQL 注入和任意文件上传。
WordPress 网站平均安装了 18 个组件,其中至少有一个包含一个危险的漏洞。报告称,与前一年平均安装的 23 个插件相比,这个数字有所下降。
在所有易受攻击的插件中,去年最受欢迎的目标是 OptinMonster、PublishPress Capabilities、Booster for WooCommerce 插件和 Image Hover Effects Ultimate 插件。
互联网上几乎一半 (43.2%) 的网站由 WordPress 提供支持。