2025年將面臨的10大WordPress網站安全風險

簡而言之：2025 年，最可怕的網站安全風險並非來自 WordPress 核心——而是來自易受攻擊的外掛、被忽視的主題以及未打補丁的伺服器軟體，例如 Ubuntu 上的 OpenSSH 和 PHP。

以下是今年迄今為止 10 個最具影響力的漏洞，包括它們的運作方式以及網站所有者和開發者應該吸取的教訓。總而言之：持續更新、謹慎的角色管理以及對安全建議的關注，是防止您的託管故事變成恐怖故事的關鍵。

一切總是以同樣的方式開始。

深夜的 ping。驚慌失措的客戶。一個昨天執行良好的 WordPress 網站，現在卻不斷輸出錯誤日誌，並將訪問者重定向到一個可疑的藥房域名。在您的腦海中，您所能聽到的只是恐怖配樂中刺耳的小提琴聲。

大多數可怕的託管故事並非由恐怖季節中著名的鬼魂和怪物引起。它們來自未修補時間過長的漏洞。 2025 年，真正的危險並非來自 WordPress 核心（今年迄今為止只出現過一個值得關注的問題），而是驅動您網站的外掛、主題和伺服器軟體。

正因如此，我們手拿手電筒，帶您瞭解今年令開發者毛骨悚然的十大漏洞。這些並非旨在嚇唬您遠離網路的警示故事，而是來自前線的現場筆記——您可以借鑑這些經驗教訓，防止您的託管故事變成恐怖故事。讓我們深入瞭解一下。

2025年WordPress外掛和Ubuntu軟體包的威脅形勢如何？

幾乎所有 WordPress 風險都存在於外掛和主題中。2025 年，WordPress 核心迄今為止只出現過一個重大漏洞，但截至 9 月（我們撰寫本文時），外掛和主題生態系統已經產生了近 8,000 個漏洞。

年中報告不僅證實了漏洞數量之高，也證實了其在現實世界中的高可利用性。今年上半年共發現 6,700 個漏洞，其中 41% 被歸類為可在實際攻擊中利用的漏洞。

Ubuntu 的安全通知 (USN) 會定期透明地更新所有受支援版本中的問題。其中許多 USN 涵蓋了託管環境中常用的關鍵軟體（PHP、OpenSSH、libxml2 等庫）。2025 年 1 月至 8 月期間，Canonical 釋出了 829 個 USN，涵蓋了所有受支援版本中的 7,408 個唯一 CVE。這已經超過了 2024 年全年的 884 個 USN，涵蓋了 5,611 個 CVE。

趨勢很明顯：作業系統級漏洞的數量正在加速增長，其風險通常與外掛和主題洩漏重疊。

那麼，企業主可以從 2025 年的威脅形勢中汲取什麼教訓呢？主要有三點：

1. 您不能依賴核心保護——真正的危險來自外掛和主題中的第三方程式碼，因為這些程式碼中的漏洞正在不斷增多。
2. 可利用性正在上升——這不僅僅是更多的漏洞。現在，越來越多的漏洞可用於攻擊。
3. 作業系統漏洞加劇風險——即使 WordPress 程式碼健全，過時或易受攻擊的 Ubuntu 軟體包也會大大擴大攻擊面。

2025年的10個恐怖故事：出了什麼問題（以及我們可以從中吸取什麼教訓）？

以下是今年（迄今為止）震撼 WordPress 外掛生態系統的真正漏洞。請記住，這些漏洞並非歷史遺留問題——許多網站除非及時修補，否則仍然可能暴露在外。

1. Post SMTP

事件：版本 ≤ 3.2.0 的 WordPress Post SMTP 外掛在其一個 REST API 端點（ get_logs_permission 函式）的訪問控制功能中存在漏洞。該函式僅檢查使用者是否登入，而不會檢查使用者是否擁有足夠的許可權（例如管理員許可權）。

因此，即使是訂閱者級別的使用者也可以獲取電子郵件日誌、檢視電子郵件正文，並攔截髮送給高許可權使用者的密碼重置郵件。糟糕！

電子郵件日誌通常包含敏感資訊。攔截密碼重置意味著低許可權使用者可以重置管理員密碼並控制網站。這使得一個看似無害的外掛漏洞變成了對整個網站的攻擊。

此外，Post SMTP 的使用非常廣泛，活躍安裝量超過 40 萬。在漏洞披露時，這些網站中很大一部分執行的都是存在漏洞的版本。

關鍵要點：即使是簡單的檢查（ is_user_logged_in ）也不足以保護敏感資料。許可權檢查必須與端點的敏感度相匹配。

2. Essential Addons for Elementor

事件：Elementor 的 Essential Addons 版本（≤ 6.0.14）在 popup-selector 查詢引數中存在一個反射型跨站指令碼 (XSS) 漏洞。輸入在嵌入到頁面輸出之前未經過適當的過濾/驗證。該漏洞已在 6.0.15 版本中修復。

該外掛的安裝量超過 200 萬次，因此此類漏洞的潛在影響範圍很廣。如果攻擊者誘騙使用者點選精心設計的 URL，反射型 XSS 可能會導致網路釣魚、憑證盜竊、令牌劫持或資料篡改。活躍安裝的規模意味著許多網站都暴露在外。

關鍵要點：熱門外掛 + 簡單的輸入向量 = 廣泛存在的風險。龐大的安裝基數會放大即使是“XSS”漏洞。

3. WPForms Lite

事件：WPForms Lite 1.9.5 及更高版本透過 start_timestamp 引數存在儲存型 XSS 漏洞。經過身份驗證的貢獻者或更高階別使用者可以注入指令碼，這些指令碼會在使用者訪問受感染頁面時持續執行。

由於貢獻者級別訪問許可權通常會在擁有多名作者或團隊成員的網站上被授予（或意外保留），因此風險是真實存在的。持續型指令碼注入的能力意味著攻擊可以持續到網站程式碼或資料庫被清理為止，而不僅僅是一次性的反射式攻擊。

雖然此問題的 CVSS 嚴重程度為“中等”（5.4），但持久型 XSS 更難檢測、更難清除，並且帶來的後果（Cookie 竊取、許可權提升、使用者信任喪失）比許多人意識到的更嚴重。

關鍵要點：透過低階別角色使用者實施的儲存型 XSS 非常危險。許可權至關重要，即使是“受信任”的使用者也可能無法自動獲得安全保障。

4. GiveWP

事件：GiveWP 3.19.4 之前的版本存在 PHP 物件注入漏洞。傳遞給某些反序列化函式的輸入未經驗證，導致精心設計的有效載荷被注入。在某些 PHP 配置下，這可能使攻擊者能夠觸發類中的“魔法方法”，從而導致遠端程式碼執行 (RCE)。

GiveWP 是最受歡迎的捐贈外掛之一，支援超過 10 萬個活躍安裝。依賴它進行非營利性籌款的網站的伺服器可能遭到劫持，而不僅僅是前端顯示。這既是業務連續性問題，也是信任危機。

關鍵要點：像捐贈平臺這樣的複雜外掛會處理敏感資料，因此它們成為首要攻擊目標。務必快速修復它們。

5. AI Engine外掛

事件：Meow Apps 的 AI Engine 外掛釋出了一個缺乏訪問許可權檢查的版本，允許擁有最低許可權的使用者提升許可權。這意味著即使攻擊者可以註冊為普通使用者，也可以將自己提升為管理員。

許可權提升漏洞是最具破壞性的漏洞之一，因為它們會破壞信任模型。註冊使用者（在某些情況下甚至是建立新賬戶的機器人）可以立即控制整個網站。隨著 AI Engine 被廣泛用於整合 OpenAI 和其他 AI 服務，其影響範圍也擴充套件到了營銷和生產網站。

關鍵要點：許可權提升比 XSS 更可怕，因為它會將網站的金鑰拱手讓給攻擊者。角色稽覈應該成為每月例行維護工作的一部分。

6. B Blocks外掛

事件：B Blocks 是一款安裝量達數萬次的 WordPress 外掛，它存在一個嚴重漏洞：缺少授權檢查，導致未經身份驗證的訪問者可以建立新的管理員帳戶。與其他許可權提升漏洞不同，這個漏洞根本不需要任何使用者角色或登入資訊。

任何知道端點的攻擊者都可以建立一個全新的管理員帳戶。從那裡，他們可以安裝後門程式、匯出資料庫或在網站上注入 SEO 垃圾連結。由於不需要現有訪問許可權，這個漏洞在披露後不久就被廣泛利用。

關鍵要點：未經身份驗證的許可權提升極其危險。每個網站所有者都應該定期檢查其使用者列表，即使他們認為所有問題都已修復。

7. Motors主題

事件：廣泛用於汽車經銷商和汽車市場網站的 Motors 主題存在許可權提升漏洞。該漏洞允許未經身份驗證的攻擊者利用主題程式碼中較弱的檢查機制獲取管理員許可權。

與小眾主題不同，Motors 主題是商業主題，被廣泛採用。如此大規模的主題被攻陷意味著數千個商業網站的廣告資源、支付和客戶線索資訊會突然暴露。許可權提升意味著攻擊者無需耍小聰明——他們只需“闖入”即可進行自我推廣。

關鍵要點：主題和外掛一樣危險。如果您幾年前購買了某個主題但從未更新，那麼該主題可能是您最薄弱的環節。

8. Contact Form 7 / WPForms / Elementor Forms資料庫

事件：CF7、WPForms 和 Elementor Forms 外掛的資料庫存在一個嚴重的遠端程式碼執行/拒絕服務漏洞。 1.4.3 及以下版本的外掛未能過濾使用者提供的輸入，導致攻擊者可以透過表單提交注入惡意負載。

由於此外掛是三個最流行的表單生成器的附加元件，因此風險被放大。攻擊者可以提交一個看似無害的表單，但實際上卻在您的伺服器上植入程式碼——這對於管理多個客戶站點的代理機構來說簡直是噩夢。

關鍵要點：即使是小型的“輔助”外掛也可能導致整個堆疊崩潰。如果您使用附加元件擴充套件關鍵外掛，請像修補主工具一樣緊急修補它們。

9. Ubuntu 24.04上的OpenSSH

事件：Canonical 在 2025 年披露了多個 OpenSSH 漏洞，包括一個轉發繞過漏洞，該漏洞導致 DisableForwarding 指令無法按預期工作 (USN-7457-1)。另一份公告 (USN-7270-1) 解決了客戶端連線中潛在的拒絕服務風險。

OpenSSH 是 Ubuntu 伺服器上最基礎的軟體包之一。如果 SSH 訪問許可權暴露，攻擊者可以串聯這些漏洞來獲得永續性或破壞可用性。許多系統管理員認為 SSH 預設是安全的，但此類漏洞表明，即使是經過強化的核心也需要保持警惕。

關鍵要點：不要認為關鍵軟體包是無懈可擊的。即使是像 OpenSSH 這樣成熟的軟體也需要不斷修補和配置審查。

10. Ubuntu上的PHP

事件：PHP 的 SOAP/XML 解析中存在一個漏洞，允許使用格式錯誤的名稱空間字首的惡意負載觸發崩潰。Canonical 將此漏洞納入 USN-7648-1，並在受支援的 Ubuntu 版本上修復了該問題。

許多 WordPress 外掛和主題依賴 PHP SOAP/XML 函式進行整合（支付閘道器、CRM、營銷自動化）。PHP 直譯器層的崩潰意味著完全拒絕服務，該伺服器上的每個站點都可能受到影響。

關鍵要點：伺服器軟體缺陷與 WordPress 漏洞一樣具有威脅性。如果您的 PHP 程序崩潰，您的網站也會隨之崩潰。

這些故事的啟示

總而言之，這 10 個案例講述了一個共同的故事：2025 年最可怕的漏洞並非 WordPress 核心中那些奇特的零日漏洞，而是那些每天都在出現的漏洞：過時的外掛、被忽視的主題以及未打補丁的伺服器軟體。

三個教訓值得關注：

1. 外掛和主題是最薄弱的環節。大多數 WordPress 漏洞都是由熱門附加元件造成的，而它們龐大的安裝量使其成為首要攻擊目標。
2. 許可權提升無處不在。從 Post SMTP 到 AI Engine 外掛，攻擊者都在尋找獲取管理員許可權的捷徑。一旦掌握了這些許可權，其他一切都是次要的。
3. 作業系統級別的漏洞與應用程式漏洞同樣重要。OpenSSH 和 PHP 漏洞提醒我們，保持 Ubuntu 軟體包的最新版本與更新 WordPress 本身同樣重要。

關鍵在於，不要害怕你的軟體堆疊，而要尊重它並妥善保管它。你安裝的每個外掛、主題或伺服器軟體包都會擴大攻擊面。可怕的託管故事和例行補丁週期之間的區別在於你發現和解決這些風險的速度。

安全不必如此可怕。透過持續更新、謹慎的角色管理以及關注安全建議，你就能抵禦這些“怪物”的攻擊。