WordPress重大漏洞99%是插件和主题,30%的插件没有打补丁

    根据WordPress插件安全服务业者Patchstack观察,在2021年有29%含有重大安全漏洞的WordPress插件,负责的开发者选择忽略修补作业甚至直接下架了事文章源自奇点世界-https://www.xerer.com/archives/33490.html

     文章源自奇点世界-https://www.xerer.com/archives/33490.html

    专门提供WordPress插件程序安全服务的Patchstack,本周出版了WordPress安全状态的年度报告,指出在2021年所发现的WordPress插件程序重大安全漏洞中,有29%没有被开发者修补,而且使用者可能浑然不觉。文章源自奇点世界-https://www.xerer.com/archives/33490.html

     文章源自奇点世界-https://www.xerer.com/archives/33490.html

    开源的WordPress为全球最热门的内容管理系统,2021年全球大约有43.2%的网站采用WordPress建置,高于2020年的39.5%,这些WordPress网站使用了各式各样的插件程序来改善网站功能或呈现,也让专门强化WordPress插件程序安全性的资安公司应运而生,如Wordfence或Patchstack。根据Patchstack2021年的分析,每个WordPress网站平均采用了18个不同的插件程序或主题。文章源自奇点世界-https://www.xerer.com/archives/33490.html

     文章源自奇点世界-https://www.xerer.com/archives/33490.html

    Patchstack的调查显示,2020年在有关WordPress的安全漏洞中,3.78%出现在WordPress核心,却有96.22%现身于插件程序和主题,但到了2021年,插件程序及主题的漏洞却增加到99.42%,主题占了6.61%,插件程序则是92.81%,WordPress核心漏洞降至0.58%。文章源自奇点世界-https://www.xerer.com/archives/33490.html

     文章源自奇点世界-https://www.xerer.com/archives/33490.html

    WordPress重大漏洞99%是插件和主题,30%的插件没有打补丁文章源自奇点世界-https://www.xerer.com/archives/33490.html

     文章源自奇点世界-https://www.xerer.com/archives/33490.html

    这些漏洞以跨站指令码(Cross Site Scripting,XSS)为首,总计占了49.82%,居次的是跨站请求伪造(CSRF)的11.18%,仅有0.94%属于远端程序攻击漏洞。值得注意的是,在所有的WordPress网站中,有42%都安装了至少1个含有安全漏洞的元件。文章源自奇点世界-https://www.xerer.com/archives/33490.html

     文章源自奇点世界-https://www.xerer.com/archives/33490.html

    WordPress重大漏洞99%是插件和主题,30%的插件没有打补丁文章源自奇点世界-https://www.xerer.com/archives/33490.html

    此外,在所有的漏洞中,有3.41%被列为重大等级,CVSS风险评分超过9,2021年总计有35个WordPress插件程序漏洞被列为重大等级,其中一个藏匿在All in One SEO plugin中,该插件程序的安装数量超过300万,另一个出现在WP Fastest Cache plugin,安装数量也超过100万。文章源自奇点世界-https://www.xerer.com/archives/33490.html

    WordPress重大漏洞99%是插件和主题,30%的插件没有打补丁文章源自奇点世界-https://www.xerer.com/archives/33490.html

     文章源自奇点世界-https://www.xerer.com/archives/33490.html

    尽管上述两个插件程序开发者都已修补了漏洞,但也有高达29%的插件程序重大漏洞并没有被修补。Patchstack说,这些未修补的插件程序有时只是简单被WordPress、其它市集或开发者下架,并没有警告既有的用户,代表使用者必须手动检查这些插件程序的版本别或安全状态,再加以移除或选择其它的替代程序。文章源自奇点世界-https://www.xerer.com/archives/33490.html

     文章源自奇点世界-https://www.xerer.com/archives/33490.html

    Patchstack的调查还曝露出另外一个问题,亦即尽管WordPress生态体系存在着许多安全漏洞,但WordPress网站并没有太多的安全预算,例如有28%完全没有安全预算,有27%每月的安全预算低于3美元,只有7%每月会编列50美元的安全预算。文章源自奇点世界-https://www.xerer.com/archives/33490.html

    • 本文由 发表于 2022/03/1216:02:55

    发表评论

    匿名网友