最近從WebARX重命名的Patchstack發(fā)布了2020年安全白皮書(shū)。該報(bào)告確定了總共582個(gè)安全漏洞。但是，只有22個(gè)問(wèn)題來(lái)自WordPress本身。第三方插件和主題占剩余的96.22％，所以奉勸大家千萬(wàn)不要使用來(lái)路不明的盜版WordPress插件和盜版WordPress主題。

“這些都是Patchstack內(nèi)部研究團(tuán)隊(duì)，Patchstack Red Team社區(qū)，第三方安全供應(yīng)商以及其他獨(dú)立安全研究人員所披露的所有安全問(wèn)題，” Patchstack創(chuàng)始人兼首席執(zhí)行官Oliver Sild說(shuō)?！耙虼?，它包括有關(guān)漏洞的所有公共信息。”

Patchstack是一家安全公司，專(zhuān)注于WordPress的第三方擴(kuò)展。它的漏洞數(shù)據(jù)庫(kù)是公共的，任何人都可以查看。

2020年第二季度，Patchstack對(duì)近400名Web開(kāi)發(fā)人員，自由職業(yè)者和代理商進(jìn)行了有關(guān)Web安全性的調(diào)查。白皮書(shū)說(shuō)：“超過(guò)70％的人回答說(shuō)，他們?cè)絹?lái)越擔(dān)心自己的網(wǎng)站的安全性，首要原因是'第三方插件中的漏洞'?！?“大約有45％的受訪者發(fā)現(xiàn)對(duì)其所管理的網(wǎng)站的攻擊有所增加，而25％的受訪者必須在參與調(diào)查的前一個(gè)月內(nèi)處理被黑的網(wǎng)站。”

在漏洞排名中，排名最高的是跨站點(diǎn)腳本（XSS）問(wèn)題，占總數(shù)的36.2％。

“ WordPress插件中的XSS幾乎總是發(fā)生，因?yàn)橛脩糨斎氲臄?shù)據(jù)被直接打印到屏幕上而沒(méi)有任何清理，” Sild說(shuō)?！眅sc_html將用于將某些字符轉(zhuǎn)換為它們的HTML實(shí)體，因此它將按字面意義打印在屏幕上。然后，還有esc_attr用于用戶輸入的變量，需要在HTML屬性中使用。OWASP（開(kāi)放Web應(yīng)用程序安全性項(xiàng)目）發(fā)布了許多很好的資源，例如“安全編碼實(shí)踐”?！?/p>

注射漏洞在70個(gè)獨(dú)特案例中排名第二。其次是38個(gè)跨站請(qǐng)求偽造（CSRF）問(wèn)題和29個(gè)敏感數(shù)據(jù)泄露實(shí)例。

“在插件和主題中發(fā)現(xiàn)的漏洞往往比在WordPress核心中發(fā)現(xiàn)的漏洞更為嚴(yán)重，” Sild在白皮書(shū)中寫(xiě)道。“更糟糕的是，許多流行的插件都有數(shù)百萬(wàn)個(gè)活動(dòng)安裝，而當(dāng)我們查看有漏洞的插件影響了多少網(wǎng)站時(shí)，數(shù)量還不是很多?！?/p>

全年活躍和脆弱的主題和插件安裝總數(shù)為7000萬(wàn)。根據(jù)WordCamp Central的統(tǒng)計(jì)，WordPress已安裝在7500萬(wàn)個(gè)網(wǎng)站上。到2020年，許多站點(diǎn)可能擁有多個(gè)易受攻擊的插件，而不是有7000萬(wàn)個(gè)單獨(dú)站點(diǎn)處于風(fēng)險(xiǎn)之中。

Patchstack對(duì)50,000個(gè)網(wǎng)站進(jìn)行了調(diào)查，發(fā)現(xiàn)它們一次平均有23個(gè)活動(dòng)插件。每個(gè)站點(diǎn)上約有四個(gè)已經(jīng)過(guò)時(shí)，并且沒(méi)有可用的升級(jí)，這通常會(huì)增加出現(xiàn)安全問(wèn)題的風(fēng)險(xiǎn)。

WordPress插件解決了該報(bào)告中的478個(gè)漏洞。但是，只有82個(gè)獨(dú)特的主題問(wèn)題。盡管主題的范圍通常受到更大的限制，但除了少數(shù)例外，它們可以做插件可以做的任何事情。

看到主題的數(shù)量減少并不奇怪。但是，人們不得不懷疑，正在進(jìn)行的放寬WordPress.org主題目錄審查指南的計(jì)劃是否會(huì)在未來(lái)一兩年內(nèi)將其納入考慮范圍。當(dāng)前，官方目錄的審閱者會(huì)進(jìn)行廣泛的代碼檢查，這很可能在主題到達(dá)用戶手中之前就發(fā)現(xiàn)了問(wèn)題。如果要權(quán)衡是更好的自動(dòng)化，這還意味著更嚴(yán)格的編碼標(biāo)準(zhǔn)和更少的人工審核者可能會(huì)錯(cuò)過(guò)的安全性問(wèn)題。

Sild在報(bào)告中總結(jié)道：“來(lái)自第三方代碼的漏洞仍然是對(duì)基于WordPress的網(wǎng)站的最大威脅之一?！?“相比2020年和2021年初，我們已經(jīng)看到WordPress插件和WordPress主題中報(bào)告的獨(dú)特漏洞有所增加?！?/p>

奉勸大家千萬(wàn)不要使用來(lái)路不明的盜版WordPress插件和盜版WordPress主題。