使用技巧

Patchstack白皮书:2020年发现582个WordPress安全问题,超过96%来自第三方扩展

patchstack白皮书582 wordpress安全性问题发现于2020年,来自第三方扩展96补丁程序白皮书:582 WordPress的安全问题于2020年发现,超过96%来自第三方扩展

Patchstack,最近 从WebARX重新命名,发布了 2020年安全白皮书。 该报告确定了总共582个安全漏洞。 但是,只有22个问题来自WordPress本身。 第三方插件和主题占剩余的96.22%。

“这些都是Patchstack内部研究团队,Patchstack Red Team社区,第三方安全供应商以及其他独立安全研究人员所披露的所有安全问题,” Patchstack创始人兼首席执行官Oliver Sild说。 “因此,它包括有关漏洞的所有公共信息。”

Patchstack是一家安全公司,专注于WordPress的第三方扩展。 它的 漏洞数据库 是公开的,任何人都可以查看。

2020年第二季度,Patchstack对近400名Web开发人员,自由职业者和代理商进行了有关Web安全性的调查。 白皮书说:“超过70%的受访者表示,他们越来越担心自己的网站的安全性,首要原因是“第三方插件中的漏洞”。 “大约有45%的受访者发现对其所管理的网站的攻击有所增加,而25%的受访者必须在参与调查的前一个月内处理被黑的网站。”

在漏洞排名中,排名最高的是跨站点脚本(XSS)问题,占总数的36.2%。

“ WordPress插件中的XSS几乎总是发生,因为用户输入的数据被直接打印到屏幕上而没有任何清理,” Sild说。 “ esc_html将用于将某些字符转换为其HTML实体,因此它将按字面意义打印在屏幕上。 然后,您还有用于用户输入变量的esc_attr,该变量需要在HTML属性中使用。 有很多很好的资源发表 OWASP (开放Web应用程序安全性项目),例如“安全编码做法”。”

注射漏洞在70个独特案例中排名第二。 其次是38个跨站请求伪造(CSRF)问题和29个敏感数据泄露实例。

“在插件和主题中发现的漏洞往往比在WordPress核心中发现的漏洞更为严重,” Sild在白皮书中写道。 “更糟糕的是,许多流行的插件都有数百万个活动安装,而当我们查看有漏洞的插件影响了多少网站时,数量还不是很多。”

全年活跃和脆弱的主题和插件安装总数为7000万。 根据WordCamp Central,WordPress已安装在7500万个网站上。 到2020年,许多站点可能拥有多个易受攻击的插件,而不是有7000万个单独站点处于风险之中。

Patchstack对50,000个网站进行了调查,发现它们一次平均有23个活动插件。 每个站点上约有四个已经过时,并且没有可用的升级,这通常会增加出现安全问题的风险。

WordPress插件解决了该报告中的478个漏洞。 但是,只有82个独特的主题问题。 尽管主题的范围通常受到更大的限制,但除了少数例外,它们可以做插件可以做的任何事情。

看到主题的数量减少并不奇怪。 然而,人们不得不怀疑 正在进行的计划 放宽WordPress.org主题目录的审核指南将成为未来一两年的考虑因素。 当前,官方目录的审阅者会进行广泛的代码检查,这很可能在主题到达用户手中之前就发现了问题。 如果要权衡是更好的自动化,这还意味着更严格的编码标准和更少的人工审核者可能会错过的安全性问题。

Sild在报告中总结道:“来自第三方代码的漏洞仍然是对基于WordPress的网站的最大威胁之一。” “相比2020年和2021年初,我们已经看到WordPress插件和主题中报告的独特漏洞有所增加。”

像这样:

像载入中…

来源