Patchstack 已經發布了它的 WordPress 安全狀態 白皮書總結了 2021 年記錄的 WordPress 生態系統面臨的威脅。白皮書匯總了來自多個來源的數據,包括 補丁棧漏洞資料庫,Patchstack Alliance(公司的漏洞賞金平台),並公開來自其他來源的報告的 CVE。
2021 年,Patchstack 記錄了近 1,500 個漏洞,與 2020 年記錄的約 600 個相比增加了 150%。 Patchstack 發現其中大部分來自 WordPress.org 目錄:
WordPress.org 存儲庫是 WordPress 插件和主題的主要來源。 這些組件中的漏洞占添加到 Patchstack 資料庫中的漏洞的 91.79%。
2021 年報告的其餘 8.21% 的漏洞是在通過 Envato、ThemeForest、Code Canyon 等其他市場銷售或僅可供直接下載的 WordPress 插件或主題的高級或付費版本中報告的。
WordPress 核心發布了四個安全版本,其中只有一個包含針對關鍵漏洞的補丁。 此特定漏洞不在 WordPress 本身中,而是在其捆綁的開源庫之一 PHPMailer 庫中。
Patchstack 估計,從 2021 年開始,99.31% 的安全漏洞都在組件中——WordPress 插件和主題。 主題有最嚴重的漏洞,今年記錄了 55 個。 Patchstack 發現主題中報告的漏洞中有 12.4% 的關鍵 CVSS 得分為 9.0-10.0。 任意文件上傳漏洞是最常見的。
插件共有 35 個關鍵安全問題。 與主題相比,此漏洞較少,但其中 29% 的漏洞未收到公開補丁。
「最令人驚訝的發現實際上也是最不幸的事實,」Patchstack 安全倡導者 Robert Rowley 說。 「我沒想到會看到這麼多帶有嚴重漏洞的插件沒有收到補丁。
「其中一些漏洞不需要身份驗證即可執行,並且具有公開可用的概念證明(利用代碼),可在網上廣泛使用。 對於沒有收到網站易受攻擊通知的網站所有者來說,可能已經太晚了。」
Patchstack 對 109 位 WordPress 網站所有者進行了調查,發現 28% 的受訪者的安全預算為零,27% 的預算為 1-3 美元/月,7% 的預算約為 50 美元/月。 與單個站點所有者相比,代理商更有可能將每月成本分配給安全性。
相反,這些受訪者的結果顯示,清除惡意軟體的平均成本為 613 美元。 報告的妥協後清理價格從 50 美元到 4,800 美元不等。
Rowley 認為 2021 年發現的安全漏洞顯著增加是安全專業人員參與度增加的證據,而不是 WordPress 生態系統變得不安全的跡象。
「這很可能是由於報告了更多的安全漏洞(發現了更多易受攻擊的代碼,因為有更多的人在尋找),」Rowley 說。 「Patchstack 運行一個漏洞賞金計劃,該計劃會向安全研究人員支付他們在 WordPress 生態系統中報告的漏洞,從而激勵安全研究人員(甚至是熟悉 WordPress 的開發人員)尋找更多的安全漏洞。」
總體而言,Patchstack 今年的調查結果表明,WordPress 核心非常安全,並且絕大多數漏洞都存在於主題和插件中。 用戶應該監控他們的擴展並定期檢查它們是否已被放棄,因為並非所有易受攻擊的軟體都可以保證得到修補。 查看完整的 安全白皮書 有關 2021 年最常見的漏洞類型的更多詳細信息。
像這樣
載入中…