Close Menu
    Trending
    SEO

    數據證實 WordPress 漏洞有所增加

    onlineadminBy 02 Mins Read

    Patchstack 的 WordPress 安全研究人員發布了年度 WordPress 安全狀況白皮書,顯示嚴重和高嚴重性漏洞的增加,強調了 WordPress 平台中所有網站安全的重要性。

    XSS 是 2023 年最嚴重的 WordPress 漏洞

    漏洞類型有很多種,但迄今為止最常見的是跨站腳本(XSS),佔所有 WordPress 新安全漏洞的 53.3%。

    XSS 漏洞通常是由於對使用者輸入的「清理」不充分而發生的,其中包括阻止任何不符合預期的輸入。 Patchstack 分享稱,第三方託管電商平台 Freemius 框架佔所有 XSS 漏洞的 1,200 多個,佔 2023 年發現的所有新 XSS 漏洞的 21%。

    Freemius 軟體開發工具包 (SDK) 被用作 1,200 多個外掛程式的元件,這些外掛程式又安裝在超過 700 萬個 WordPress 網站上。 這突顯了供應鏈漏洞的問題,其中一個元件被用作 WordPress 外掛程式的一部分,隨後將漏洞的範圍擴大到單一外掛程式之外。

    Patchstack 報告解釋:

    「今年,我們再次看到 Freemius 框架中的一個跨站腳本漏洞如何導致 1,248 個插件繼承該安全漏洞,從而使用戶面臨風險。

    2023 年發現的所有新漏洞中有 21% 可以追溯到這個單一缺陷。 開發人員必須仔細選擇堆棧,並在安全更新可用時快速應用,這一點至關重要。”

    更多漏洞被評為高危險或危急

    漏洞被分配一個嚴重性分數,該分數對應於所發現的缺陷的破壞性。 評級範圍為低、中、高和嚴重。

    2022 年,13% 的新漏洞被列為高風險或嚴重漏洞。 2023 年這一比例飆升至 42.9%,這意味著 2023 年破壞性漏洞比前一年更多。

    經過身份驗證與未經身份驗證的漏洞

    報告中出現的另一個指標是不需要身份驗證(未經身份驗證)的漏洞的百分比,這意味著攻擊者不需要任何級別的使用者權限即可發動攻擊。

    需要攻擊者擁有管理員級訂閱者級權限的缺陷對於攻擊者來說克服的門檻更高。 未經身份驗證的漏洞不需要攻擊者首先獲得權限級別,這使得此類漏洞更加令人擔憂,因為它可以透過自動化攻擊來利用,例如機器人在某個地方探測漏洞,然後自動發動攻擊。

    Patchstack 發現,58.9% 的新漏洞不需要身份驗證。

    廢棄插件的風險因素不斷增加

    造成漏洞的另一個主要原因是大量廢棄的插件。 2022 年,Patchstack 報告了 WordPress.org 上有 147 個已棄用的外掛程式和主題,其中 87 個已被刪除,其餘的已修補。

    2023 年,已棄用插件的數量從 2022 年的 147 個增加到 2023 年的 827 個插件和主題。雖然 2022 年刪除了 87 個易受攻擊的已棄用插件,但 2023 年刪除了 481 個。

    補丁棧指出:

    「我們在一天之內報告了404 個此類插件,以引起人們對WordPress 中『殭屍插件流行病』的關注。這些『殭屍』插件乍一看似乎是安全且最新的,但可能包含未修補的安全性問題此外,即使這些外掛程式已從 WordPress 外掛程式儲存庫中刪除,它們也會在使用者網站上保持活動狀態。

    最受歡迎的存在漏洞的插件

    如上所述,嚴重性等級分為低、中、高和嚴重。 Patchstack 編制了一份最受歡迎的存在漏洞的插件清單。

    2022 年,有 11 個流行插件存在漏洞,活躍安裝量超過 100 萬。 2023 年,Patchstack 將安裝量從 100 萬次降低到超過 10 萬次。 然而,儘管清單變得更容易訪問,但只有 9 個流行插件被發現存在漏洞,遠少於 2022 年。

    2022年,11個最受歡迎的漏洞插件中,只有5個包含高嚴重性漏洞,沒有一個包含嚴重級漏洞,其餘均為中度嚴重性漏洞。

    這些數字在 2023 年明顯惡化。儘管降低了流行插件的門檻,但清單中的所有 9 個插件都包含嚴重程度的漏洞。 此列表中的絕大多數插件(九個中有六個)包含未經身份驗證的漏洞,這意味著漏洞很容易透過自動化進行擴充。 其餘三個需要身份驗證的僅需要訂戶級存取權限,這是最容易取得的權限級別,只需註冊、驗證電子郵件即可。 這也可以透過自動化來擴展。

    最受歡迎的存在漏洞的插件列表

    1. Elementor 1M+ 安裝的基本插件(嚴重等級 9.8)
    2. WP 最快快取 100 萬+ 安裝(嚴重性評分 9.3)
    3. Gravity Forms 940k 裝置(重力分數 8.3)
    4. Fusion Builder 900k 安裝(嚴重性評分 8.5)
    5. Flatsome(主題)618,000 次安裝(嚴重性評分 8.3)
    6. WP 統計 60 萬次安裝(嚴重性評分 9.9)
    7. Forminator 400k 設施(嚴重性評分 9.8)
    8. WPvivid 備份與遷移安裝 30ok(嚴重性評分 8.8)
    9. JetElements for Elementor 30ok 安裝(嚴重性評分 8.2)

    WordPress 安全狀況較差

    如果您認為最近的漏洞比以往任何時候都多,現在您知道原因了,統計數據不言而喻。 到 2023 年,將會出現更多漏洞,並且更大比例的漏洞處於高危險級別,可以透過大規模自動化來利用。

    這意味著所有發布者都需要提高安全性,並確保有人負責定期審查他們的外掛程式和主題,以確保它們得到更新和積極維護。

    SEO 應該考慮到這一點,因為當 Google 從搜尋結果中刪除被駭的網站時,安全性很快就會成為排名問題。 許多執行網站審核的 SEO 甚至不進行最基本的安全檢查,例如檢查安全標頭是否到位,而我每次審核時都會這樣做。 始終確保與客戶討論他們的安全問題,以確保他們意識到風險。

    Patchstack 是一個服務範例,即使在外掛程式發布修補程式來修復漏洞之前,它也會自動保護 WordPress 網站免受漏洞影響。 這些類型的服務對於防範盜版以及搜尋可見度和收入損失非常重要。

    閱讀 Patchstack 報告:

    2023 年 WordPress 安全狀況

    精選圖片由 Shutterstock/Iurii Stepanov 提供

    Source link

    Share.

    Related Posts

    Add A Comment
    Leave A Reply