最近從WebARX重命名的Patchstack發(fā)布了2020年安全白皮書。該報告確定了總共582個安全漏洞。但是，只有22個問題來自WordPress本身。第三方插件和主題占剩余的96.22％，所以奉勸大家千萬不要使用來路不明的盜版WordPress插件和盜版WordPress主題。

“這些都是Patchstack內(nèi)部研究團(tuán)隊，Patchstack Red Team社區(qū)，第三方安全供應(yīng)商以及其他獨(dú)立安全研究人員所披露的所有安全問題，” Patchstack創(chuàng)始人兼首席執(zhí)行官Oliver Sild說?！耙虼耍ㄓ嘘P(guān)漏洞的所有公共信息?！?/p>

Patchstack是一家安全公司，專注于WordPress的第三方擴(kuò)展。它的漏洞數(shù)據(jù)庫是公共的，任何人都可以查看。

2020年第二季度，Patchstack對近400名Web開發(fā)人員，自由職業(yè)者和代理商進(jìn)行了有關(guān)Web安全性的調(diào)查。白皮書說：“超過70％的人回答說，他們越來越擔(dān)心自己的網(wǎng)站的安全性，首要原因是'第三方插件中的漏洞'。” “大約有45％的受訪者發(fā)現(xiàn)對其所管理的網(wǎng)站的攻擊有所增加，而25％的受訪者必須在參與調(diào)查的前一個月內(nèi)處理被黑的網(wǎng)站?！?/p>

在漏洞排名中，排名最高的是跨站點(diǎn)腳本（XSS）問題，占總數(shù)的36.2％。

“ WordPress插件中的XSS幾乎總是發(fā)生，因?yàn)橛脩糨斎氲臄?shù)據(jù)被直接打印到屏幕上而沒有任何清理，” Sild說。”esc_html將用于將某些字符轉(zhuǎn)換為它們的HTML實(shí)體，因此它將按字面意義打印在屏幕上。然后，還有esc_attr用于用戶輸入的變量，需要在HTML屬性中使用。OWASP（開放Web應(yīng)用程序安全性項(xiàng)目）發(fā)布了許多很好的資源，例如“安全編碼實(shí)踐”。”

注射漏洞在70個獨(dú)特案例中排名第二。其次是38個跨站請求偽造（CSRF）問題和29個敏感數(shù)據(jù)泄露實(shí)例。

“在插件和主題中發(fā)現(xiàn)的漏洞往往比在WordPress核心中發(fā)現(xiàn)的漏洞更為嚴(yán)重，” Sild在白皮書中寫道。“更糟糕的是，許多流行的插件都有數(shù)百萬個活動安裝，而當(dāng)我們查看有漏洞的插件影響了多少網(wǎng)站時，數(shù)量還不是很多?！?/p>

全年活躍和脆弱的主題和插件安裝總數(shù)為7000萬。根據(jù)WordCamp Central的統(tǒng)計，WordPress已安裝在7500萬個網(wǎng)站上。到2020年，許多站點(diǎn)可能擁有多個易受攻擊的插件，而不是有7000萬個單獨(dú)站點(diǎn)處于風(fēng)險之中。

Patchstack對50,000個網(wǎng)站進(jìn)行了調(diào)查，發(fā)現(xiàn)它們一次平均有23個活動插件。每個站點(diǎn)上約有四個已經(jīng)過時，并且沒有可用的升級，這通常會增加出現(xiàn)安全問題的風(fēng)險。

WordPress插件解決了該報告中的478個漏洞。但是，只有82個獨(dú)特的主題問題。盡管主題的范圍通常受到更大的限制，但除了少數(shù)例外，它們可以做插件可以做的任何事情。

看到主題的數(shù)量減少并不奇怪。但是，人們不得不懷疑，正在進(jìn)行的放寬WordPress.org主題目錄審查指南的計劃是否會在未來一兩年內(nèi)將其納入考慮范圍。當(dāng)前，官方目錄的審閱者會進(jìn)行廣泛的代碼檢查，這很可能在主題到達(dá)用戶手中之前就發(fā)現(xiàn)了問題。如果要權(quán)衡是更好的自動化，這還意味著更嚴(yán)格的編碼標(biāo)準(zhǔn)和更少的人工審核者可能會錯過的安全性問題。

Sild在報告中總結(jié)道：“來自第三方代碼的漏洞仍然是對基于WordPress的網(wǎng)站的最大威脅之一?！?“相比2020年和2021年初，我們已經(jīng)看到WordPress插件和WordPress主題中報告的獨(dú)特漏洞有所增加?！?/p>

奉勸大家千萬不要使用來路不明的盜版WordPress插件和盜版WordPress主題。