最近由WebARX重新命名的Patchstack釋出了2020年安全白皮書。該報告確定了總共582個安全漏洞。但是,只有22個問題來自WordPress本身。第三方外掛和主題佔剩餘的96.22%。
“這些都是Patchstack內部研究團隊,Patchstack Red Team社羣,第三方安全供應商以及其他獨立安全研究人員所披露的所有安全問題,” Patchstack創始人兼執行長Oliver Sild說。“因此,它包括有關漏洞的所有公共資訊。”
Patchstack是一家安全公司,專注於WordPress的第三方擴充套件。它的漏洞資料庫是公開的,任何人都可以檢視。
2020年第二季度,Patchstack對近400名Web開發人員,自由職業者和代理商進行了有關Web安全性的調查。白皮書說:“超過70%的人回答說,他們越來越擔心自己的網站的安全性,首要原因是’第三方外掛的漏洞’。” “大約有45%的受訪者發現對其所管理的網站的攻擊有所增加,而25%的受訪者在參與調查的前一個月內必須處理被黑的網站。”
在漏洞排名中,排名最高的是跨站點指令碼(XSS)問題,佔總數的36.2%。
“ WordPress外掛中的XSS幾乎總是發生,因為使用者輸入的資料被直接列印到螢幕上而沒有任何清理,” Sild說。”esc_html用於將某些字元轉換為它們的HTML實體,因此它將按字面意義列印在螢幕上。然後,還有esc_attr用於使用者輸入的變數,需要在HTML屬性中使用。OWASP(開放Web應用程式安全性專案)釋出了許多很好的資源,例如“安全編碼實踐”。”
其中注入漏洞排名第二(共70個案例)。其次是38個跨站請求偽造(CSRF)問題和29個敏感資料洩露例項。
“在外掛和主題中發現的漏洞往往比在WordPress核心中發現的漏洞更為嚴重,” Sild在白皮書中寫道。“更糟糕的是,許多流行的外掛存在數百萬個啟用安裝,而當我們檢視有漏洞的外掛影響了多少網站時,數量還不是很多。”
全年啟用的安全比較薄弱的主題和外掛安裝總數為7000萬。根據WordCamp Central的統計,WordPress已安裝在7500萬個網站上。到2020年,許多站點可能擁有多個易受攻擊的外掛,而不是有7000萬個單獨站點處於風險之中。
Patchstack對50,000個網站進行了調查,發現它們平均有23個啟用外掛。每個站點上約有四個外掛的版本已經過時,並且沒有可用的升級,這通常會增加出現安全問題的風險。
WordPress外掛解決了該報告中的478個漏洞。但是,只有82個獨特的主題問題。儘管主題的範圍通常受到更大的限制,但除了少數例外,它們可以做外掛可以做的任何事情。
看到主題的數量減少並不奇怪。但是,人們不得不懷疑,正在進行的放寬WordPress.org主題目錄審查指南的計劃是否會在未來一兩年內將其納入考慮範圍。當前,官方目錄的審閱者會進行廣泛的程式碼檢查,這很可能在主題到達使用者手中之前就發現了問題。如果要權衡是更好的自動化,這還意味著更嚴格的編碼標準和更少的人工稽覈者可能會錯過的安全性問題。
Sild在報告中總結道:“來自第三方程式碼的漏洞仍然是對基於WordPress的網站的最大威脅之一。” “相比2020年和2021年初,我們已經看到WordPress外掛和主題中報告的獨特漏洞有所增加。”
評論留言