根據該公司與Wordfence釋出的2021年WordPress安全年中報告,WPScan有望為提交到其資料庫的WordPress外掛漏洞釋出破紀錄的一年。2021年上半年,WPScan記錄了602個新漏洞,迅速超過了2020年全年報告的514個。
該報告基於來自Wordfence平臺的攻擊資料和來自WPScan漏洞資料庫的資料,提供了比兩家公司單獨提供的WordPress安全當前狀態更全面的資料。
報告中強調的趨勢之一是密碼攻擊的增加。Wordfence在2021年上半年攔截了超過860億次密碼攻擊嘗試。攻擊者使用多種方法來訪問WordPress網站,包括針對已洩露密碼列表測試網站、字典攻擊和資源密集型暴力攻擊。
資料來源:2021年WordPress年中安全報告
Wordfence發現標準登入是40.4%嘗試的主要密碼攻擊目標,其次是XML-RPC (37.7%)。由於這些攻擊似乎在增加,報告建議網站所有者對所有可用帳戶使用2 因素身份驗證,使用每個帳戶唯一的強安全密碼,在不使用時禁用XML-RPC,並實施暴力保護。
來自Wordfence的Web應用程式防火牆的資料顯示,由於漏洞利用和 IP 地址被阻止,超過40億個請求被攔截。該報告包括按防火牆規則被防火牆阻止的請求百分比的細分。目錄遍歷佔請求的27.1%。例如,當攻擊者試圖在未經授權的情況下訪問檔案並執行諸如讀取或刪除站點的 /wp-config.php 檔案之類的操作時。這種細分還強調了一個事實,即某些較舊的漏洞仍然經常成為攻擊者的目標。
資料來源:2021年WordPress年中安全報告
您在WordPress生態系統中聽到的絕大多數漏洞都來自外掛,主題所佔的比例要小得多。該報告指出,今年上半年WPScan列出的602個漏洞中,只有三個是在WordPress核心中發現的。
在按型別分析漏洞時,WPScan發現跨站指令碼(XSS)漏洞佔所有漏洞的一半以上(52%),其次是跨站請求偽造(CSRF),佔16%,SQL隱碼攻擊(13%) 、訪問控制問題 (12%) 和檔案上傳問題 (7%)。使用通用漏洞評分系統 (CVSS) 的分數,WPScan發現報告的漏洞中有17%為超級嚴重,31%為高階嚴重,50% 為中等嚴重性。
Wordfence和WPScan均聲稱,今年報告的更多漏洞表明WordPress生態系統的增長以及對安全性的成熟、健康的興趣。隨著時間的推移,主題和外掛並沒有變得越來越不安全,而是有更多的人對發現和報告漏洞感興趣。
“首先,我們沒有在外掛和主題中看到很多新引入的漏洞,而是在舊外掛和主題中看到許多舊漏洞被報告/修復,直到現在才發現,” Wordfence威脅分析師克洛伊·錢伯蘭 (Chloe Chamberland) 說。
“漏洞並沒有被頻繁地引入,並且僅僅由於研究人員的活躍度更高而被檢測到更多的漏洞,這反過來又對WordPress生態系統的安全性產生了積極影響。考慮到經常發現的並不是新引入的漏洞,我有信心地說,發現的增加並不表明生態系統變得越來越不安全,而是變得更加安全。”
Chamberland還表示,她認為當漏洞被披露給供應商並讓他們從事故中吸取教訓時,會產生多米諾骨牌效應,促使他們在未來開發更安全的產品。
“根據經驗,我花了很多時間尋找WordPress外掛中的漏洞,從我的角度來看,事情肯定變得更加安全,”她說。“今天,我經常在所有正確的地方找到能力檢查和隨機數檢查,以及適當的檔案上傳驗證措施,以及所有好東西。在積極維護的外掛和主題中找到容易被利用的漏洞變得越來越難,這是一件好事!”
年中報告以PDF格式提供,可從WPScan網站免費下載。WPScan創始人兼執行長Ryan Dewhurst表示,他預計2021年將有一份年終報告。他尚未與Wordfence討論此事,但兩家公司正在集思廣益,探討其他合作方式。
評論留言