安全研究人员近期公布了2017年 WordPress 插件和主题漏洞的统计数据,这些数据来源于某安全厂商最新的 WordPress 漏洞数据库。据悉,目前该厂商正在监视大量的数据源,以便实时向数据库中添加新的漏洞。
2017 年整体统计数据
2017 年 ThreatPress 在其数据库中添加了 221 个漏洞,总数较之前减少了 69 %。数据显示, 跨站脚本(XSS)与 2016 年一样,仍然位列榜首。研究人员猜测是因为许多开发人员不重视转义数据输出,才导致了越来越多的 WordPress 插件和主题受到跨站点脚本(XSS)漏洞的攻击。此外, SQL 注入漏洞在 2017 年也大幅上升。
令人惊讶的是,目前有许多网站受到 WordPress 插件中的漏洞威胁,据初步统计,安装插件的网站总数已达 17,101,300 + ,其中:
· 易受攻击的插件 – 202
· 易受攻击的主题 – 5
· 受 WordPress.org 存储库漏洞影响的插件 – 153
· 受漏洞影响的 非 WordPress.org 存储库插件 – 24
WordPress 的三大漏洞
· 跨站点脚本( XSS )
· SQL 注入( SQLi )
· 损坏的访问控制
按漏洞类型分类的插件 TOP 5 统计
· XSS(跨站脚本) – 71
· SQL 注入 – 40
· 不受限制的访问 – 20
· 跨站请求伪造(CSRF) – 12
· 多重攻击(Multi) – 10
在 2017 年受到漏洞影响的最受欢迎的 5 个插件
· Yoast SEO(最流行的 SEO 插件) – 5,000,000 –> 受 XSS(跨站脚本)影响
· WooCommerce(最流行的电子商务插件) – 3,000,000 –> 受 XSS(跨站脚本)影响
· Smush 图像压缩和优化 – 1,000,000 –> 受 目录遍历 影响
· Duplicator – 1,000,000 –> 受 XSS(跨站脚本)影响
· Loginizer – 600,000 –> 受 SQL 注入影响
滞后的安全更新
· WordPress 在 2017 年发布了 8 个安全更新。
· 安全漏洞数据库中的漏洞总数为 3321 。
· 第一个漏洞发现于 2005-02-20 。
来源:hackernews
领取专属 10元无门槛券
私享最新 技术干货