最近由WebARX重命名的Patchstack发布了2020年安全白皮书。该报告确定了总共582个安全漏洞。但是,只有22个问题来自WordPress本身。第三方插件和主题占剩余的96.22%。
“这些都是Patchstack内部研究团队,Patchstack Red Team社区,第三方安全供应商以及其他独立安全研究人员所披露的所有安全问题,” Patchstack创始人兼首席执行官Oliver Sild说。“因此,它包括有关漏洞的所有公共信息。”
Patchstack是一家安全公司,专注于WordPress的第三方扩展。它的漏洞数据库是公开的,任何人都可以查看。
2020年第二季度,Patchstack对近400名Web开发人员,自由职业者和代理商进行了有关Web安全性的调查。白皮书说:“超过70%的人回答说,他们越来越担心自己的网站的安全性,首要原因是’第三方插件的漏洞’。” “大约有45%的受访者发现对其所管理的网站的攻击有所增加,而25%的受访者在参与调查的前一个月内必须处理被黑的网站。”
在漏洞排名中,排名最高的是跨站点脚本(XSS)问题,占总数的36.2%。
“ WordPress插件中的XSS几乎总是发生,因为用户输入的数据被直接打印到屏幕上而没有任何清理,” Sild说。”esc_html
用于将某些字符转换为它们的HTML实体,因此它将按字面意义打印在屏幕上。然后,还有esc_attr
用于用户输入的变量,需要在HTML属性中使用。OWASP(开放Web应用程序安全性项目)发布了许多很好的资源,例如“安全编码实践”。”
其中注入漏洞排名第二(共70个案例)。其次是38个跨站请求伪造(CSRF)问题和29个敏感数据泄露实例。
“在插件和主题中发现的漏洞往往比在WordPress核心中发现的漏洞更为严重,” Sild在白皮书中写道。“更糟糕的是,许多流行的插件存在数百万个激活安装,而当我们查看有漏洞的插件影响了多少网站时,数量还不是很多。”
全年激活的安全比较薄弱的主题和插件安装总数为7000万。根据WordCamp Central的统计,WordPress已安装在7500万个网站上。到2020年,许多站点可能拥有多个易受攻击的插件,而不是有7000万个单独站点处于风险之中。
Patchstack对50,000个网站进行了调查,发现它们平均有23个激活插件。每个站点上约有四个插件的版本已经过时,并且没有可用的升级,这通常会增加出现安全问题的风险。
WordPress插件解决了该报告中的478个漏洞。但是,只有82个独特的主题问题。尽管主题的范围通常受到更大的限制,但除了少数例外,它们可以做插件可以做的任何事情。
看到主题的数量减少并不奇怪。但是,人们不得不怀疑,正在进行的放宽WordPress.org主题目录审查指南的计划是否会在未来一两年内将其纳入考虑范围。当前,官方目录的审阅者会进行广泛的代码检查,这很可能在主题到达用户手中之前就发现了问题。如果要权衡是更好的自动化,这还意味着更严格的编码标准和更少的人工审核者可能会错过的安全性问题。
Sild在报告中总结道:“来自第三方代码的漏洞仍然是对基于WordPress的网站的最大威胁之一。” “相比2020年和2021年初,我们已经看到WordPress插件和主题中报告的独特漏洞有所增加。”
评论留言