数据证实 WordPress 漏洞激增

Patchstack 的 WordPress 安全研究人员发布了他们的年度 WordPress 安全状况白皮书，该白皮书显示高危和严重漏洞数量有所增加，凸显了 WordPress 平台上所有网站的安全重要性。

XSS 是 2023 年最大的 WordPress 漏洞

漏洞的种类很多，但迄今为止最常见的是跨站点脚本 (XSS) 漏洞，占所有新的 WordPress 安全漏洞的 53.3%。

XSS 漏洞通常是由于对用户输入的“清理”不足而发生的，其中包括阻止任何不符合预期的输入。Patchstack 分享说，第三方管理电子商务平台 Freemius 框架占所有 XSS 漏洞的 1,200 多个，占 2023 年发现的所有新 XSS 漏洞的 21%。

Freemius 软件开发工具包 (SDK) 是 1,200 多个插件的组件，而这些插件又安装在 700 多万个 WordPress 网站中。这凸显了供应链漏洞问题，因为组件被用作 WordPress 插件的一部分，从而将漏洞的范围扩大到不止一个插件。

更多漏洞被评为高危或严重

漏洞的严重性分数与发现的漏洞的破坏性相对应。评级范围为低、中、高和严重。

2022 年，13% 的新漏洞被归类为高危或严重漏洞。这一比例在 2023 年飙升至 42.9%，这意味着 2023 年的漏洞破坏性比前一年更强。

经过身份验证的漏洞与未经身份验证的漏洞

报告中出现的另一个指标是不需要身份验证（未经身份验证）的漏洞百分比，这意味着攻击者不需要任何用户权限级别即可发起攻击。

需要攻击者拥有从订阅者级别到管理员级别权限的漏洞对攻击者来说具有更高的门槛。未经身份验证的漏洞不需要攻击者首先获得权限级别，这使得这些漏洞更加令人担忧，因为它们可以通过自动攻击来利用，例如使用机器人探测网站是否存在漏洞然后自动发起攻击。

废弃插件激增成为风险因素

造成漏洞的另一个重要原因是大量废弃的插件。2022 年，Patchstack 向 WordPress.org 报告了 147 个废弃的插件和主题，其中 87 个已被删除，其余的已修补。

2023 年，废弃插件的数量从 2022 年的 147 个激增至 827 个插件和主题。2022 年删除了 87 个易受攻击的废弃插件，而 2023 年则删除了 481 个。

最流行的存在漏洞的插件

如前所述，严重性等级范围为低、中、高和严重。Patchstack 编制了一份最流行的存在漏洞的插件列表。

2022 年，有 11 个流行插件的活跃安装量超过一百万，但存在漏洞。2023 年，Patchstack 将安装量标准从一百万降低到十万以上。然而，尽管上榜变得更容易，但只有 9 个流行插件被发现存在漏洞，远少于 2022 年。

2022 年，11 个最受欢迎的存在漏洞的插件中，只有 5 个包含高严重性漏洞，没有一个包含严重级别漏洞，其余的都是中等严重性漏洞。

2023 年，这些数字变得更糟。尽管降低了流行插件的门槛，但列表中的所有 9 个插件都包含严重级别的漏洞。该列表中的绝大多数插件（九个中有六个）都包含未经身份验证的漏洞，这意味着利用这些漏洞很容易通过自动化进行扩展。其余三个需要身份验证的插件只需要订阅者级别的访问权限，这是最容易获得的权限级别，只需注册、验证电子邮件即可。这也可以通过自动化进行扩展。

最受欢迎且存在漏洞的插件列表

1. Elementor 的必备附加组件 100 万+ 安装（严重性等级 9.8）
2. WP Fastest Cache 1M+ 安装（严重性等级 9.3）
3. Gravity Forms 940k 安装（严重程度等级 8.3）
4. Fusion Builder 900k 安装（严重程度等级 8.5）
5. Flatsome（主题）618k 安装（严重性评级 8.3）
6. WP 统计 60 万次安装（严重程度评级 9.9）
7. Forminator 400k 安装（严重程度等级 9.8）
8. WPvivid 备份和迁移 30ok 安装（严重性等级 8.8）
9. JetElements For Elementor 30ok 安装（严重程度等级 8.2）

WordPress 安全状况更糟糕

如果您觉得最近的漏洞比以往任何时候都多，现在您知道原因了，统计数据说明了一切。2023 年的漏洞更多，而且更大比例的漏洞处于高危和关键级别，可以通过大规模自动化加以利用。

这意味着所有出版商都需要提高他们的安全性，并确保有人负责定期审核他们的插件和主题，以确保它们都得到更新和积极维护。