专门提供WordPress插件程序安全服务的Patchstack,本周出版了WordPress安全状态的年度报告,指出在2021年所发现的WordPress插件程序重大安全漏洞中,有29%没有被开发者修补,而且用户可能浑然不觉。
开源的WordPress为全球最热门的内容管理系统,去年全球大约有43.2%的网站采用WordPress构建,高于2020年的39.5%,这些WordPress网站使用了各式各样的插件程序来改善网站功能或呈现,也让专门强化WordPress插件程序安全性的安全公司应运而生,如Wordfence或Patchstack。根据Patchstack去年的分析,每个WordPress网站平均采用了18个不同的插件程序或主题。
Patchstack的调查显示,2020年在有关WordPress的安全漏洞中,3.78%出现在WordPress核心,却有96.22%现身于插件程序及主题,但到了2021年,插件程序及主题的漏洞却增加到99.42%,主题占了6.61%,插件程序则是92.81%,WordPress核心漏洞降至0.58%。
图片来源/Patchstack
这些漏洞以跨站脚本(Cross Site Scripting,XSS)为首,总计占了49.82%,居次的是跨站请求伪造(CSRF)的11.18%,仅有0.94%属于远程程序攻击漏洞。值得注意的是,在所有的WordPress网站中,有42%都安装了至少1个含有安全漏洞的组件。
图片来源/Patchstack
此外,在所有的漏洞中,有3.41%被列为重大等级,CVSS风险评分超过9,去年总计有35个WordPress插件程序漏洞被列为重大等级,其中一个藏匿在All in One SEO plugin中,该插件程序的安装数量超过300万,另一个出现在WP Fastest Cache plugin,安装数量也超过100万。
图片来源/Patchstack
尽管上述两个插件程序开发者都已修补了漏洞,但也有高达29%的插件程序重大漏洞并没有被修补。Patchstack说,这些未修补的插件程序有时只是简单被WordPress、其它市场或开发者下架,并没有警告既有的用户,代表用户必须手动检查这些插件程序的版本别或安全状态,再加以移除或选择其它的替代程序。
Patchstack的调查还暴露出另外一个问题,也即尽管WordPress生态体系存在着许多安全漏洞,但WordPress网站并没有太多的安全预算,例如有28%完全没有安全预算,有27%每月的安全预算低于3美元,只有7%每月会安排50美元的安全预算。