首页>>建站知识>>建站技术

WordPress网站的安全漏洞有98%来自插件

点击次数:34   发布时间:2023-11-23 11:10:39

专门提供WordPress网站安全服务的Wordfence本周指出,他们在过去一个月看到同一个黑客集团,针对逾90万个WordPress网站发动攻击,企图将造访相关网站的使用者导至恶意广告网站,以及知名资安业者Imperva也在2018年所进行的调查显示,尽管WordPress是黑客最常锁定的内容管理平台(Content Management System),但全球的WordPress网站漏洞,却有高达98%与插件有关,只有2%涉及WordPress核心。

根据Wordfence的观察,黑客主要开采插件的跨站脚本(Cross-Site Scripting,XSS)漏洞,而且锁定的都是一些名不见经传的插件,包括Easy2Map、Blog Designer、WP GDPR Compliance、Total Donations及Newspaper等,这些漏洞可能存在几个月或甚至长达数年之久。 研究人员是在4月28日发现大规模的攻击移动,那几天的攻击量是平常的30倍,而且光是在5月3日,黑客便针对超过50万个网站展开逾2千万次的攻击,近一个月来,有超过90万个网站遭到来自2.4万个IP地址的攻击。

黑客利用这些年代久远的XSS漏洞,在WordPress网站上植入恶意的JavaScript,以将网站的造访者引导到恶意广告网站。

为了避免成为攻击目标,Wordfence建议WordPress网站所有人应该采用最新的插件,而且删除或关闭那些已被WordPress外挂市集所移除的程序。

在全球的网站中,有28%是以WordPress架设,若计算全球基于CMS的网站,WordPress的市占率更高达59%。

市占率最高的平台自然也成为黑客的头号攻击目标,与排名二、三的Joomla及Drupal相较,WordPress网站在去年出现542个安全漏洞,Joomla不到200个,Drupal则仅有100个。

而Imperva的研究则显示,WordPress网站的漏洞有高达98%源自于用来扩充网站功能的插件。根据WordPress官网的统计,目前支持WordPress的插件数量接近5.5万个,基于开源码的WordPress允许任何人打造及出版插件,且仅采用最低的安全标准,因而漏洞丛生。

最近的例子为在线客服程序WP Live Chat Support,它允许WordPress网站与造访者进行实时的在线交流,而且可在客户送出信息前就看到信息内容,亦具备档案或影像分享能力,估计至少有6万个WordPress网站安装了WP Live Chat Support。

不过,先是Sucuri Firewall团队在4月底发现WP Live Chat Support含有常驻的跨站脚本漏洞。Alert Logic研究团队继之于5月初,揭露WP Live Chat Support团队在去年5月释出的8.0.11,理应完成CVE‐2018‐12426漏洞的修补,但并没有真正地解决问题,黑客依然能够上传恶意档案到用户计算机。

令人不解的是,WP Live Chat Support已在5月15日释出最新的8.0.27以修补相关漏洞,但WordPress却在5月17日关闭了WP Live Chat Support的下载服务,且不管是WordPress或WP Live Chat Support团队,都未提出任何的说明。

不论如何,在使用开源的平台或插件时,应记得慎选风评良好的开发者。

相关文章:

联系我们

联系人: 荣先生

建站QQ: 97532866

手机: 15919993369

联系我们
  • 联系人: 荣先生
  • 建站QQ: 97532866
  • 手机: 15919993369
Copyright © 2016-2024 深圳网站建设 All Rights Reserved.
扫描二维码! 关闭
二维码