安全企业Imperva在2018年所进行的调查显示,尽管WordPress是黑客最常锁定的内容管理平台(Content Management System),但全球的WordPress网站漏洞,却有高达98%与插件程序有关,只有2%涉及WordPress核心。
在全球的网站中,有28%是以WordPress架设,若计算全球基于CMS的网站,WordPress的市场占有率更高达59%。
市场占有率最高的平台自然也成为黑客的头号攻击目标,与排名二、三的Joomla及Drupal相较,WordPress网站在去年出现542个安全漏洞,Joomla不到200个,Drupal则仅有100个。
而Imperva的研究则显示,WordPress网站的漏洞有高达98%源自于用来扩展网站功能的插件程序。根据WordPress官网的统计,目前支持WordPress的插件程序数量接近5.5万个,基于开源的WordPress允许任何人打造及出版插件程序,且仅采用最低的安全标准,因而漏洞丛生。
最近的例子为线上客服程序WP Live Chat Support,它允许WordPress网站与访问者进行即时的线上交流,而且可在客户送出消息前就看到消息内容,也具备文件或图片分享能力,估计至少有6万个WordPress网站安装了WP Live Chat Support。
不过,先是Sucuri Firewall团队在4月底发现WP Live Chat Support含有常驻的跨站脚本漏洞。Alert Logic研究团队之后于5月初,披露WP Live Chat Support团队在去年5月发布的8.0.11,理应完成CVE‐2018‐12426漏洞的修补,但并没有真正地解决问题,黑客依然能够上传恶意文件到用户计算机。
令人不解的是,WP Live Chat Support已在5月15日发布最新的8.0.27以修补相关漏洞,但WordPress却在5月17日关闭了WP Live Chat Support的下载服务,且不管是WordPress或WP Live Chat Support团队,都未提出任何的说明。
不论如何,在使用开源的平台或插件程序时,应记得慎选风评良好的开发者。