Wordfence和WPScan发布2021年WordPress安全年中报告

根据该公司与Wordfence发布的2021年WordPress安全年中报告,WPScan有望为提交到其数据库的WordPress插件漏洞发布破纪录的一年。2021年上半年,WPScan记录了602个新漏洞,迅速超过了2020年全年报告的514个。

该报告基于来自Wordfence平台的攻击数据和来自WPScan漏洞数据库的数据,提供了比两家公司单独提供的WordPress安全当前状态更全面的数据。

报告中强调的趋势之一是密码攻击的增加。Wordfence在2021年上半年拦截了超过860亿次密码攻击尝试。攻击者使用多种方法来访问WordPress网站,包括针对已泄露密码列表测试网站、字典攻击和资源密集型暴力攻击。

Wordfence和 WPScan发布2021年WordPress安全年中报告-1 资料来源:2021年WordPress年中安全报告

Wordfence发现标准登录是40.4%尝试的主要密码攻击目标,其次是XML-RPC (37.7%)。由于这些攻击似乎在增加,报告建议网站所有者对所有可用帐户使用2 因素身份验证,使用每个帐户唯一的强安全密码,在不使用时禁用XML-RPC,并实施暴力保护。

来自Wordfence的Web应用程序防火墙的数据显示,由于漏洞利用和 IP 地址被阻止,超过40亿个请求被拦截。该报告包括按防火墙规则被防火墙阻止的请求百分比的细分。目录遍历占请求的27.1%。例如,当攻击者试图在未经授权的情况下访问文件并执行诸如读取或删除站点的 /wp-config.php 文件之类的操作时。这种细分还强调了一个事实,即某些较旧的漏洞仍然经常成为攻击者的目标。

Wordfence和 WPScan发布2021年WordPress安全年中报告-2 资料来源:2021年WordPress年中安全报告

您在WordPress生态系统中听到的绝大多数漏洞都来自插件,主题所占的比例要小得多。该报告指出,今年上半年WPScan列出的602个漏洞中,只有三个是在WordPress核心中发现的。

在按类型分析漏洞时,WPScan发现跨站脚本(XSS)漏洞占所有漏洞的一半以上(52%),其次是跨站请求伪造(CSRF),占16%,SQL注入(13%) 、访问控制问题 (12%) 和文件上传问题 (7%)。使用通用漏洞评分系统 (CVSS) 的分数,WPScan发现报告的漏洞中有17%为超级严重,31%为高级严重,50% 为中等严重性。

Wordfence和WPScan均声称,今年报告的更多漏洞表明WordPress生态系统的增长以及对安全性的成熟、健康的兴趣。随着时间的推移,主题和插件并没有变得越来越不安全,而是有更多的人对发现和报告漏洞感兴趣。

“首先,我们没有在插件和主题中看到很多新引入的漏洞,而是在旧插件和主题中看到许多旧漏洞被报告/修复,直到现在才发现,” Wordfence威胁分析师克洛伊·钱伯兰 (Chloe Chamberland) 说。

“漏洞并没有被频繁地引入,并且仅仅由于研究人员的活跃度更高而被检测到更多的漏洞,这反过来又对WordPress生态系统的安全性产生了积极影响。考虑到经常发现的并不是新引入的漏洞,我有信心地说,发现的增加并不表明生态系统变得越来越不安全,而是变得更加安全。”

Chamberland还表示,她认为当漏洞被披露给供应商并让他们从事故中吸取教训时,会产生多米诺骨牌效应,促使他们在未来开发更安全的产品。

“根据经验,我花了很多时间寻找WordPress插件中的漏洞,从我的角度来看,事情肯定变得更加安全,”她说。“今天,我经常在所有正确的地方找到能力检查和随机数检查,以及适当的文件上传验证措施,以及所有好东西。在积极维护的插件和主题中找到容易被利用的漏洞变得越来越难,这是一件好事!”

年中报告以PDF格式提供,可从WPScan网站免费下载。WPScan创始人兼首席执行官Ryan Dewhurst表示,他预计2021年将有一份年终报告。他尚未与Wordfence讨论此事,但两家公司正在集思广益,探讨其他合作方式。

评论留言