2017年WordPress 插件和主题漏洞统计

外媒1月23日消息，安全研究人员近期公布了2017年WordPress 插件和主题漏洞的统计数据，这些数据来源于ThreatPress 最新的WordPress 漏洞数据库。据悉，目前ThreatPress 正在监视大量的数据源，以便实时向数据库中添加新的漏洞。

2017年整体统计数据

2017 年ThreatPress 在其数据库中添加了 221 个漏洞，总数较之前减少了 69 %。数据显示， 跨站脚本(XSS)与 2016 年一样，仍然位列榜首。研究人员猜测是因为许多开发人员不重视转义数据输出，才导致了越来越多的 WordPress 插件和主题受到跨站点脚本(XSS)漏洞的攻击。此外， SQL 注入漏洞在 2017 年也大幅上升。

令人惊讶的是，目前有许多网站受到 WordPress 插件中的漏洞威胁，据初步统计，安装插件的网站总数已达 17,101,300 + ，其中：

○ 易受攻击的插件 – 202

○ 易受攻击的主题 – 5

○ 受 WordPress.org 存储库漏洞影响的插件 – 153

○ 受漏洞影响的 非 WordPress.org 存储库插件 – 24

WordPress 的三大漏洞

○ 跨站点脚本( XSS )

○ SQL 注入( SQLi )

○ 损坏的访问控制

按漏洞类型分类的插件TOP 5 统计

○ XSS(跨站脚本) – 71

○ SQL注入 – 40

○ 不受限制的访问 – 20

○ 跨站请求伪造(CSRF) – 12

○ 多重攻击(Multi) – 10

在2017 年受到漏洞影响的最受欢迎的5个插件

○ Yoast SEO(最流行的 SEO 插件) – 5,000,000 –> 受 XSS(跨站脚本)影响

○ WooCommerce(最流行的电子商务插件) – 3,000,000 –> 受 XSS(跨站脚本)影响

○ Smush 图像压缩和优化 – 1,000,000 –> 受 目录遍历 影响

○ Duplicator – 1,000,000 –> 受 XSS(跨站脚本)影响

○ Loginizer – 600,000 –> 受 SQL 注入影响

滞后的安全更新

○ WordPress 在 2017 年发布了 8 个安全更新

○ 安全漏洞数据库中的漏洞总数为 3321

○ 第一个漏洞发现于 2005-02-20

相关资讯：

WordPress将在2017年要求主机支持HTTPS

12月1日WordPress发布了一个决定,将在2017年要求主机具有HTTPS可用功能。正如JavaScript,平滑的用户体验是很有必要的,SSL可能会成为用户下一个需要面对的“障碍”。

Wordpress站点被入侵 进行Dropbox钓鱼

Wordpress站点被入侵 进行Dropbox钓鱼,这些电子邮件的整体外观和整体感觉都是模仿Dropbox的,而且邮件的发件地址使用的是dropbox@smtp.com。