最近從WebARX重命名的Patchstack發(fā)布了2020年安全白皮書。該報(bào)告確定了總共582個(gè)安全漏洞。但是,只有22個(gè)問題來自WordPress本身。第三方插件和主題占剩余的96.22%,所以奉勸大家千萬不要使用來路不明的盜版WordPress插件和盜版WordPress主題。
“這些都是Patchstack內(nèi)部研究團(tuán)隊(duì),Patchstack Red Team社區(qū),第三方安全供應(yīng)商以及其他獨(dú)立安全研究人員所披露的所有安全問題,” Patchstack創(chuàng)始人兼首席執(zhí)行官Oliver Sild說。“因此,它包括有關(guān)漏洞的所有公共信息。”
Patchstack是一家安全公司,專注于WordPress的第三方擴(kuò)展。它的漏洞數(shù)據(jù)庫是公共的,任何人都可以查看。
2020年第二季度,Patchstack對(duì)近400名Web開發(fā)人員,自由職業(yè)者和代理商進(jìn)行了有關(guān)Web安全性的調(diào)查。白皮書說:“超過70%的人回答說,他們?cè)絹碓綋?dān)心自己的網(wǎng)站的安全性,首要原因是'第三方插件中的漏洞'。” “大約有45%的受訪者發(fā)現(xiàn)對(duì)其所管理的網(wǎng)站的攻擊有所增加,而25%的受訪者必須在參與調(diào)查的前一個(gè)月內(nèi)處理被黑的網(wǎng)站。”
在漏洞排名中,排名最高的是跨站點(diǎn)腳本(XSS)問題,占總數(shù)的36.2%。
“ WordPress插件中的XSS幾乎總是發(fā)生,因?yàn)橛脩糨斎氲臄?shù)據(jù)被直接打印到屏幕上而沒有任何清理,” Sild說。”esc_html將用于將某些字符轉(zhuǎn)換為它們的HTML實(shí)體,因此它將按字面意義打印在屏幕上。然后,還有esc_attr用于用戶輸入的變量,需要在HTML屬性中使用。OWASP(開放Web應(yīng)用程序安全性項(xiàng)目)發(fā)布了許多很好的資源,例如“安全編碼實(shí)踐”。”
注射漏洞在70個(gè)獨(dú)特案例中排名第二。其次是38個(gè)跨站請(qǐng)求偽造(CSRF)問題和29個(gè)敏感數(shù)據(jù)泄露實(shí)例。
“在插件和主題中發(fā)現(xiàn)的漏洞往往比在WordPress核心中發(fā)現(xiàn)的漏洞更為嚴(yán)重,” Sild在白皮書中寫道。“更糟糕的是,許多流行的插件都有數(shù)百萬個(gè)活動(dòng)安裝,而當(dāng)我們查看有漏洞的插件影響了多少網(wǎng)站時(shí),數(shù)量還不是很多。”
全年活躍和脆弱的主題和插件安裝總數(shù)為7000萬。根據(jù)WordCamp Central的統(tǒng)計(jì),WordPress已安裝在7500萬個(gè)網(wǎng)站上。到2020年,許多站點(diǎn)可能擁有多個(gè)易受攻擊的插件,而不是有7000萬個(gè)單獨(dú)站點(diǎn)處于風(fēng)險(xiǎn)之中。
Patchstack對(duì)50,000個(gè)網(wǎng)站進(jìn)行了調(diào)查,發(fā)現(xiàn)它們一次平均有23個(gè)活動(dòng)插件。每個(gè)站點(diǎn)上約有四個(gè)已經(jīng)過時(shí),并且沒有可用的升級(jí),這通常會(huì)增加出現(xiàn)安全問題的風(fēng)險(xiǎn)。
WordPress插件解決了該報(bào)告中的478個(gè)漏洞。但是,只有82個(gè)獨(dú)特的主題問題。盡管主題的范圍通常受到更大的限制,但除了少數(shù)例外,它們可以做插件可以做的任何事情。
看到主題的數(shù)量減少并不奇怪。但是,人們不得不懷疑,正在進(jìn)行的放寬WordPress.org主題目錄審查指南的計(jì)劃是否會(huì)在未來一兩年內(nèi)將其納入考慮范圍。當(dāng)前,官方目錄的審閱者會(huì)進(jìn)行廣泛的代碼檢查,這很可能在主題到達(dá)用戶手中之前就發(fā)現(xiàn)了問題。如果要權(quán)衡是更好的自動(dòng)化,這還意味著更嚴(yán)格的編碼標(biāo)準(zhǔn)和更少的人工審核者可能會(huì)錯(cuò)過的安全性問題。
Sild在報(bào)告中總結(jié)道:“來自第三方代碼的漏洞仍然是對(duì)基于WordPress的網(wǎng)站的最大威脅之一。” “相比2020年和2021年初,我們已經(jīng)看到WordPress插件和WordPress主題中報(bào)告的獨(dú)特漏洞有所增加。”
奉勸大家千萬不要使用來路不明的盜版WordPress插件和盜版WordPress主題。
新主題官方微信公眾號(hào)
掃碼關(guān)注新主題(XinTheme)官方公眾號(hào),本站動(dòng)態(tài)早知道。
發(fā)布本站最新動(dòng)態(tài)(新主題發(fā)布、主題更新)和WordPress相關(guān)技術(shù)文章。