Patchstack 已发布其 WordPress 安全状态 白白皮书总结了 2021 年记录的 WordPress 生态系统面临的威胁。白皮书汇总了来自多个来源的数据,包括 Patchstack 漏洞数据库、Patchstack 联盟(该公司的漏洞赏金平台)以及来自其他来源的公开报告的 CVE。

2021 年,Patchstack 记录了近 1,500 个漏洞,比 2020 年记录的约 600 个增加了 150%。Patchstack 发现其中大部分来自 WordPress.org 目录:

WordPress.org 存储库是 WordPress 插件和主题的主要来源。这些组件中的漏洞占添加到 Patchstack 数据库的漏洞的 91.79%。

2021 年报告的其余 8.21% 的漏洞出现在通过 Envato、ThemeForest、Code Canyon 等其他市场销售或仅可直接下载的 WordPress 插件或主题的高级或付费版本中。

WordPress 核心有四个安全版本,其中只有一个包含关键漏洞的补丁。这个特殊的漏洞并不存在于 WordPress 本身,而是存在于 PHPMailer 库中,它是其捆绑的开源库之一。

Patchstack 估计,从 2021 年开始,99.31% 的安全漏洞将出现在组件中——WordPress 插件和主题。主题具有最严重的漏洞,今年记录了 55 个。 Patchstack 发现主题中报告的漏洞中有 12.4% 的关键 CVSS 分数为 9.0-10.0。任意文件上传漏洞是最常见的。

该插件共有 35 个关键安全问题。与主题相比,这方面的漏洞较少,但其中 29% 的漏洞尚未收到公开补丁。

“最令人惊讶的发现实际上是最不幸的事实,”Patchstack 的安全倡导者罗伯特罗利说。 “我没想到会看到这么多具有​​严重漏洞的插件没有收到补丁。”

“其中一些漏洞不需要身份验证即可执行,并且具有公开可用的概念证明(利用代码) ,在网络上广泛可用。对于尚未被告知其网站易受攻击的网站所有者,可能已经为时已晚。”

Patchstack 调查了 109 名 WordPress 网站所有者,发现 28% 的受访者的安全预算为零,27% 的预算为 1-3 美元/月,7% 的预算约为 50 美元/月。与个人网站所有者相比,机构更有可能将每月成本分配给安全。

< p>相反,这些受访者的结果显示平均成本为 613 美元。报告的妥协后清理价格从 50 美元到 4,800 美元不等。

Rowley 将 2021 年发现的安全漏洞显着增加作为证据安全专业人员参与度的增加,而不是 WordPres 的迹象s 生态系统变得越来越不安全。

“这可能是由于报告了更多的安全漏洞(因为有更多人在寻找,所以发现了更多易受攻击的代码)”Patchstack 运行一个漏洞赏金计划,该计划向安全研究人员支付报酬他们报告 WordPress 生态系统中的漏洞,激励安全研究人员(甚至熟悉 WordPress 的开发人员)寻找更多漏洞,”Rowley 说。安全漏洞。 ”

总体而言,Patchstack 今年的调查结果表明 WordPress 核心非常安全,绝大多数漏洞存在于主题和插件中。用户应该监控他们的扩展并定期检查他们是否已放弃,因为并非所有易受攻击的软件都保证会被修补。查看完整的安全白皮书,了解有关 2021 年最常见漏洞类型的更多详细信息。

点赞

正在加载...

资源